WINDOWS系统的入侵方法1

WINDOWS系统的入侵与防护孙巍2004.3.23主要内容WINDOWS下漏洞的类型介绍黑客攻击的基本流程比较常见的攻击方法参考资料系统漏洞是如何产生的??漏洞也叫脆弱性（Vulnerability），是计算机系统在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷和不足。漏洞一旦被发现，就可使用这个漏洞获得计算机系统的额外权限，使攻击者能够在未授权的情况下访问或破坏系统。漏洞的形成时间表漏洞形成时间规划设计阶段源程序代码阶段目标程序代码阶段维护阶段操作阶段漏洞存在的位置漏洞的层次攻击层次ModemAccessRouterCommsTheWorldTheWorld通讯&服务层-TCP/IP-IPX-X.25-Ethernet-FDDI-RouterConfigurations-Hubs/Switches第一层操作系统层-UNIX-MVS-Windows95-OS/2-WindowsNT-DOS-Macintosh-VMS第二层应用程序层-Databases-WebServer-InternetBrowser-Maintenance-OfficeAutomation第三层漏洞的分析模型外部环境软件系统(内部环境)内部对象内部对象操作外部输入间接影响直接影响漏洞产生的原因操作系统本身的脆弱性程序编写过程中的漏洞错误的配置微软自带的简体中文输入法中的帮助栏包含一些选项可以打开浏览器窗口或者进行一些设置。正常情况下，在用户未登录进系统时，用户不应该被允许访问这些选项。但是，在Windows2000进行登录验证的提示界面下，用户可以打开各种输入法的帮助栏，并可以利用其中的一些功能访问文件系统。这也就绕过了Windows2000的登录验证机制，并能以管理员权限访问系统。漏洞产生的原因操作系统本身的脆弱性程序编写过程中的漏洞错误的配置Windows9x系统提供的文件和打印共享服务可以设置口令保护，以避免非法用户的访问。然而微软NETBIOS协议的口令校验机制存在严重漏洞，使得这种保护形同虚设。服务端在对客户端的口令进行校验时是以客户端发送的长度数据为依据的。因此，客户端在发送口令认证数据包时可以设置长度域为1,同时发送一个字节的明文口令给服务端。服务端就会将客户端发来口令与服务端保存的共享口令的第一个字节进行明文比较，如果匹配就认为通过了验证。漏洞产生的原因操作系统本身的脆弱性程序编写过程中的漏洞错误的配置系统配置可以看作成软件资源和硬件资源的组合。这样，计算机系统提供的应用程序和各个服务程序就是配置的一个部分。配置错误可以分为：程序安装在不合适的位置；程序安装时参数设置错误；程序在安装时的访问权限错误。主要内容WINDOWS下漏洞的类型介绍黑客攻击的基本流程比较常见的攻击方法参考资料基本上所有的攻击都是一个流程，首先要尽可能多的了解目标主机的情况，必要的时候使用扫描器，然后利用某种漏洞攻击进入，最后会清理留下的痕迹和安装后门。流程介绍信息收集网络拓扑探测常用工具软件安装后门清除痕迹信息的收集非接触式信息收集相关信息收集—在InterNet上搜索与目标的相关信息域名注册信息查询—whois，域名查询Dns查询目标网络结构勘查接触式信息收集端口扫描漏洞扫描操作系统探测漏洞扫描历史上最有名的扫描器应该说是SATAN，1995年4月在Internet上公开。SATAN将攻击者的某些攻击过程自动化从而大大的缩短了攻击所需要的时间。这个程序当初曾经引起了很大的争论，许多人怀疑发布这样的扫描程序无助于增强本来已经很脆弱的网络的安全性Nmap介绍Nmap是一种目前最强大的信息收集工具，其中综合了各种扫描模式和OSFingerprint技术，以及TCP序列号预测难度评估，它的检测精度是非常令人吃惊的.ISS介绍国内的用户了解扫描器一般是从ISS公司的InternetSecurityScanner开始的，ISS公司维持了一个称为Xforce的研究小组来跟踪攻击技术的发展，这使得他们能够及时提供最新的版本。另外，ISS的技术文档也是一个很好的学习安全的材料，但是IIS不是一个给黑客使用的扫描器。隐秘扫描端口扫描几乎是攻击者必须做的一件事情，但是端口扫描很容易被发现，所以开发出所谓的StealthAttack技术。StealthAttack故意违反TCP3次握手协议，利用操作系统对这些违规数据包的处理来识别系统，这样的方法包括SYN/ACK扫描，RESET扫描,XMAS扫描等。慢速扫描随着入侵检测技术的发展，以前所谓的StealthAttack（隐秘攻击）手法，由于明显的违反协议规则，在网络流量中显得非常醒目，其实变得非常不隐秘。目前看来，使用端口扫描需要足够的耐心，如果对同一主机不同端口的扫描间隔足够长的时间，几乎没有什么可靠的办法可以检测这种刺探行为。流程介绍信息收集网络拓扑探测常用工具软件安装后门清除痕迹网络拓扑探测直接对目标的攻击有时候难以奏效，而需要通过逐步渗透的办法来靠近目标，特别是对于一个大的网络来说，了解目标网络的拓扑结构是很重要的。使用扫描工具可以得到一些网络构造的资料，但是还有一个办法是利用SNMP，简单网管协议。SNMP是种网络设备之间客户机/服务器模式的简单通信协议。路由器、交换机、打印机、HUB等等都可以成为SNMP系统中的服务器方。而SNMP系统中的客户机方往往是单独的一台计算机，轮询网络设备并记录它们所返回的数据。这里允许一台服务器多个客户机的情形。流程介绍信息收集网络拓扑探测常用工具软件安装后门清除痕迹常用工具软件在系统攻击过程中,熟练掌握一些流行的工具软件，可以使攻击变的更容易.NET命令的用法NET命令是一个强大的命令行程序。可以用来管理网络环境、服务、用户、登录等本地信息，WIN98，WINNT/2000都内置了NET命令基本上NET所能实现的功能都可以用WINDOWS提供的图形化程序来实现，为什么说NET很有用呢，这是因为在攻击过程中我们通常是没有办法使用对方系统的图形界面的，一般只能够执行命令行程序。ASPACK的用法ASPACK压缩一个病毒或者木马程序，压缩以后的程序功能没有任何变化,有的时候自己编写木马太麻烦，如果有现成的满足要求的程序，就可以采用这种办法。SNAKE代理跳板的用法Snake代理跳板（SSS）是一个sock5的代理服务程序，普通的Sock代理程序不支持多跳板之间的连续跳，而SSS却可支持最多达255个跳板之间的连跳。普通的Sock代理程序之间的数据传输是不加密的，而SSS支持的跳板之间传输的数据是经过动态加密的，也就是说每次传输过程中，数据加密的方式都不相同。因此这个程序很适合安装在目标机器上，把目标机器作为攻击跳板来使用。psExec的用法psExec是一个很有用的程序，它的独到之处是如果知道一台远程主机的帐号和口令，那么可以在对方主机上远程执行命令，这就比用at要方便多了。这个程序是systeminternal开发的一个工具包中的一个.NtShell的用法NTShell是一个WindowNT/2000下的类似telnet服务端的程序，当你用telnet客户端和该程序连接后，就可以使用任何命令行的程序了。NTShell程序内置命令包括直接上传文件、下载文件、进程管理、添加自动运行、安装窃听登录密码的木马，使用起来非常方便。流程介绍信息收集网络拓扑探测常用工具软件安装后门清除痕迹安装后门攻击者在获得系统的权限以后，会千方百计的保持这个权限，这样即使管理员安装了安全补丁程序，攻击者仍然可以轻松的进出系统。为了达到目的，一般采用的方式是在系统中安装后门。在Windows下有大量的后门程序，最有名的可能就是BO了，这个程序曾经造成了很大的危害，其实BO不是最好用的程序，原因是它太有名，几乎所以的杀毒软件都能发现它。后门程序有一个很大的缺点，就是它一般要在系统中开一个监听端口。通过检查非法端口很容易发现它，由于这个问题，对安装了防火墙的系统一般无效。有些主动连出来的后门可以克服这个缺点。反弹端口技术和HTTP隧道防火墙有这样一个特性：防火墙对于连入的连接往往会进行非常严格的过滤，但是对于连出的连接却疏于防范。于是，与一般的软件相反，反弹端口型软件的服务端(被控制端)主动连接客户端(控制端)，就是反弹端口技术的原理。HTTP隧道:简单的来说，就是把所有要传送的数据全部封装到HTTP协议里进行传送，就可以通过HTTP、SOCKS4/5代理，而且也不会有什么防火墙会拦截。留下有漏洞的程序在目标主机上留下一些有漏洞的程序是相当隐蔽的，比如在对方机器的/_vti_bin/目录下留下一个有溢出漏洞的dvwssr.dll，下次我们就可以很方便的溢出这个DLL来获得访问权限了。流程介绍信息收集网络拓扑探测常用工具软件安装后门清除入侵痕迹清除入侵痕迹清除下面日志：IISFTPScheduler系统日志以上就是黑客入侵的基本流程主要内容WINDOWS下漏洞的类型介绍黑客攻击的基本流程比较常见的攻击方法参考资料比较常见的攻击方法攻击IIS拒绝服务攻击分布式拒绝服务攻击其他攻击方法绕过IDS突破防火墙攻击IISIIS是一种非常流行的Web服务器，IIS具有灵活的脚本和服务器端功能，通过其他流行的编程工具，例如VB，ASP，很容易在IIS建立应用。特别在国内的小型企业级网站和政府网站上IIS几乎随处可见。但是任何东西都是有代价的，IIS的安全性一直不是太好，已经发现了大量的漏洞，这些漏洞使得攻击IIS傻瓜化了.IIS的安全性防护不使用缺省安装目录名：C:\inetpub删除IIS例子程序的所在目录，如C:\inetpub\iissamples，C:\inetpub\scripts从ISM(InternetServiceManager)中删除如下目录:IISSamples、Scripts、IISAdmin、IISHelp、IISADMPWD删除不必要的IIS扩展名映射，例如htr、hta、idc等如果不使用serversideinclude，删除.shtm.stm和.shtml”禁止缺省的站点禁止管理员从网络登陆，这要使用NTresourcekit中的工具passprop使用SecEdit运行最新的bastion.inf加固脚本，这个脚本改变了事件查看器、注册表等的安全设置在需要高度安全的环境中使用SSL安全机制，当然这会将增大系统开销，增加了服务器CPU的额外负担IIS目录权限设置IIS的执行许可权限执行权限向服务器发送一个如下的请求：内部服务器错误（InternalServererror）那么就说明这个目录的执行权限是开着HTTP404-未找到文件那么就说明这个目录的执行权限没有开。写权限发送一个如下请求：PUT/dir/my_file.txtHTTP/1.1Host:iis-serverContent-Length:10enterenter这时服务器会返回一个100(继续)的信息，接着，我们输入10个字母：如果是一个201Created响应那么就说明这个目录的写权限是开着的纯脚本执行权限发送一个如下一个请求：返回404文件不存在说明有执行权限，返回403则是没有开。IDA/IDQ溢出.printer溢出dvwssr溢出相关的内容可以到网络上去检索几种溢出的攻击比较常见的攻击方法攻击IIS拒绝服务攻击分布式拒绝服务攻击其他攻击方法绕过IDS突破防火墙拒绝服务攻击从技术上讲拒绝服务攻击是比较简单的但是这种攻击方法值得注意，原因是：第一，由于简单，所以很容易实现。第二，它的确能够造成很大的危害，特别是针对银行和电子商务网站的攻击危害很大，最近对未来信息