网络攻防演示

网络攻防演示前言“这世界上没有进不去的电脑”———世界头号黑客：KEVINMITNICK案例分析在1999年5月,MITNICK入侵NASA入侵五角大楼2001年6月,在美国TMD搞得纷纷扬扬之制,MITNICK的得意弟子prime(网名)已经把目标瞄准了美国五角大楼的TMD计划资料,发现了五角大楼中的一台WINDOWS2000服务器WEB存在printer漏洞,prime使用了他最新发现的漏洞,成功增加了一临时管理员帐号,接着用终端服务成功登录该系统…….凭着黑客特有的毅力,在经过三个多星期的观察和窥探后,终于发现了TMD计划资料的确实存放位置,成功取得五角大楼最高机密资料-TMD计划。入侵过程图解NASA攻击者日本三菱中国某政府网站北约网站微软公司详解第一步：攻击组可使用letmein.exe等攻击程序获得系统的帐号并进行猜测密码,在WINDOWS下使用以下命令etmein\\ip-admin–g并使用猜中的帐号密码为administrator/administrator,使用终端服务连接上该服务器防守组可使用letmein.exe等攻击程序获得系统的帐号并进行猜测密码,在WINDOWS下使用以下命令:letmein\\ip-admin–g并使用猜中的帐号密码为administrator/administrator,使用终端服务连接上该服务器方法一：如果不需要共享目录文件服务的,可通过关闭SERVER服务,把该SERVER服务改为手动启动方法二：通过选择以下选项来限制只有合法用户才能建立连接本地安全策略-安全设置-本地策略-安全选项-对匿名连接的额外限制-没有显式匿名权限就无法访问。专家分析以上问题,主要被攻击原因是公司的安全策略的制定没有做好,网站投入运行前期工作准备不足,系统管理人员安全意识不够,没有对系统的帐号用户所使用的密码进行有效的监控第二步在获得了第一台跳板的控制权限后,MITNICK把第二台跳板服务器地址定为日本三菱网站（）,那是一台SOLARIS的服务器,被发现存在RPC.CMSD漏洞。攻击组使用RPC.CMSD漏洞程序.远程获得ROOT权限,在SOLARIS下运行CMSD漏洞程序cmsd–hhostname2IPtelnetIP1524连上攻击后开放的端口连上后运行以下命令来增加两个帐号留代以后作为登录该服务器入口(一个为root权限帐号,一个为普通帐号权限帐号)攻击组echo“hacker1:x:5000:10::/home:/bin/sh”/etc/passwdecho“hacker1::11401::::::”/etc/shadowecho“hacker2:x:0:0::/home:/bin/sh”/etc/passwdecho“hacker2::11402::::::”/etc/shadow防守组其实该问题,在不使用该服务的情况下,可以通过关闭rpc.cmsd服务来解决。方法是在/etc/inetd.conf中注释掉下列行：100068/2-5dgramrpc/udpwaitroot/usr/dt/bin/rpc.cmsdrpc.cmsd然后重新启动inetd.如果真的需要使用该服务时,下载并安装上以下补丁,运行以下命令:Wget专家组大家可以看到以上问题,主要是由于SunMicroSystem公司在设计rpc.cmsd服务端时的错误，造成一个远程的入侵者可以通过Rpc.cmsd的远程缓冲区溢出漏洞获得系统的管理员权限,而且管理员安全意识不够,没有做好系统的维护工作,也没有为系统打上及时的补丁,所以说一个公司或企业安全策略的制订是非常必要的。第三步在获得了两台跳板的访问控制权限后,他又继续将第三台跳板服务器定为北约网站该服务器是一台Linux的服务器,被发现存在wu-ftpd2.6.0漏洞攻击组使用WUFTP漏洞程序,远程获得ROOT权限,在LINUX下使用WUFTP漏洞攻击程序:./wu26-tIP-s0连上后运行以下命令来增加两个帐号留代以后作为登录该服务器入口(一个为root权限帐号,一个为普通帐号权限帐号)攻击组echo“hacker1:x:5000:10::/home:/bin/sh”/etc/passwdecho“hacker1::11401::::::”/etc/shadowecho“hacker2:x:0:0::/home:/bin/sh”/etc/passwdecho“hacker2::11402::::::”/etc/shadow防守组其实该问题,是可以通过升级该WUFTP服务来防止该问题,只需要下载并升级该RPM安装包,执行命令如下:wget–Fvhwu-ftpd-2.6.0-14.6x.i386.rpm专家组大家可以看到以上问题,主要由于该组织所使用管理员安全意识不够,虽然使用了FIREWALL等安全产品,但由于配置不当,系统的维护工作没有做好,并没有为系统打上及时的补丁等所做造的,所以说并不是使用了安全产品就可以高枕无忧,也并不是安全的终结,安全也是相对的,并没有绝对的安全,公司还应实施相应安全措施和相应的策略.专家组该漏洞其实是Wu-ftpd在SITEEXEC实现上存在严重安全问题，它将用户输入的数据错误的作为格式字符串传送给vsnprintf()函数，攻击者可以构造一个特殊的格式字符串，例如retloc%.f%.f%.f%.retd%n来覆盖堆栈中的某些重要数据，返回地址或者保存的uid等等，攻击者可以远程执行系统命令。这种攻击并不等同于通常的缓冲区溢出攻击，主要是错误的使用vsnprintf()以及缺乏对用户输入数据的检查引起的。专家组建议下载并升级该RPM安装包,地址如下:i386::::第四步在获得了第三台跳板服务器的访问控制权限后,踌躇满志的MITNICK竟把最后一台跳板服务器定为微软公司的网站该服务器是一台Windows2000AdvancedServer的服务器,在通过一般攻击方法的扫描分析后,发现该服务器安全性做的不错,一时无法得手,于是他决定通过微软员工入手,向微软员工发送一个能捕获帐号和密码并发送到指定邮箱的病毒,以使用该方法获得该系统的管理帐号和密码。在经过多个小时的焦急等候后,MITNICK欣喜的发现使用的免费邮箱有信到了,在使用最快的速度,把该密码记下后,他成功的使用该帐号和密码进入了该系统.攻击组使用任意程序,发送到我们自己的一个邮箱,然后我们其中一个人把密码发到要攻击的人的信箱中,发的帐号密码为abc/abc,再使用终端服务客户端程序连接上Windows2000AdvancedServer所默认安装的终端服务,登录进入该系统防守组以上问题,还是部分员工的安全警觉性不够,被攻击者所利用,其实是可以使用病毒FIREWALL来检查和过滤病毒邮件来防止的专家分析大家可以看到,连世界最大的软件公司都被人利用了公司员工管理上存在的漏洞,主要还是网络管理人员的安全素质没有提高,也没有受到过什么真正的上岗的安全培训,这其实也是公司的管理策略中雇员的权利和职责问题没有做好,除了以上问题外,还有该公司在考虑网络安全方案时,也并没有把防病毒方案考虑进去所造成的,其实在国内也存在非常多的大型公司并没有考虑到该问题,这方面的问题,其实可找相应的安全公司咨询,他们都有相应的防病毒产品和整体解决方案提供给客户,如:创源公司的安全之星产品,该公司还有针对不同客户的相应防病毒整体解决方案,等等入侵过程详解NASA攻击者日本三菱中国某政府网站北约网站微软公司利用帐号密码administrator/administrator使用telnet命令,利用帐号hacker1登录网站，再使用suhacker2命令,变成超级用户SADMIND攻击程序，获取ROOT权限利用帐号密码abc/abc使用telnet命令,利用帐号hacker1登录网站，再使用suhacker2命令,变成超级用户攻击组使用任意程序,发送到我们自己的一个邮箱,然后我们其中一个人把密码发到要攻击的人的信箱中,发的帐号密码为abc/abc,再使用终端服务客户端程序连接上Windows2000AdvancedServer所默认安装的终端服务,登录进入该系统当前状态进度与日程的宏观对比–与进度相符的部分–延期的部分–超前的部分意外的延迟或问题相关文档市场计划–存储位置或联系人姓名和电话预算–存储位置或联系人姓名和电话总结报告–存储位置或联系人姓名和电话提出问题–存储位置或联系人姓名和电话