版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
1、第七讲 开辟后门,王大勇 ,2,主要内容,攻击过程 开辟后门,3,主要内容,攻击过程 开辟后门,4,连续攻击过程,寻找攻击目标,攻击主机并获取控制权,在已攻击成功的主机中安装攻击程序,利用已攻击成功的主机继续进行扫描和攻击,攻击者在主控端给客户端攻击程序发布攻击命令,5,主要内容,攻击过程 开辟后门,6,开辟后门,文件系统后门 攻击者需要在服务器上储存文件与数据,并不被管理员发现。攻击者经常利用的是:exploit脚本工具、后门集、sniffer日志、email的备份、源代码等。有时为了防止管理员发现这些文件,需要修补ls,du,fsck,隐匿特定的目录和文件。还有一种方法是,以专有的格式在硬
2、盘上割出一部分,且表示为坏的扇区,攻击者应用特别的工具访问这些隐藏的文件,7,主要内容,Rhosts+后门 在联网的UNIX机器中,像rsh和rlogin这样的服务是基于Rhosts文件里的主机名提供的认证服务。用户改变设置不需口令就能进入系统。攻击者只要向可以访问的某用户的rhosts文件中输入“+”,就可以允许任何人从任何地方无须口令进入这个帐号。这些帐号也成了攻击者再次入侵的后门。许多攻击者更喜欢使用rsh,因为它通常缺少日志能力许多管理员经常检查“+”,所以攻击者实际上设置来自网上的另一个帐号的主机名和用户名,从而不易被发现,8,开辟后门,密码破解后门 这是攻击者使用的最古老的方法,它
3、不仅可以获得对UNIX机器的访问权限,而且可以通过破解密码制造后门。 在破解具有弱口令的帐号以后即使管理员关闭了攻击者的当前帐号,这些新的帐号仍然可能是重新入侵的后门。多数情况下,攻击者寻找具有弱口令的未使用帐号,然后将口令改得难一些,当管理员寻找弱口令帐号时,不会发现这些口令已被修改的帐号,9,开辟后门,Login后门 在UNIX里,login程序通常用来对telnet用户进行口令验证。攻击者获取login.c的源代码并修改,使它在比较输入口令与存储口令时先检查后门口令。如果攻击者敲入后门口令,它将忽视管理员设置的口令使攻击者通过认证。这将允许攻击者进入任何帐号,甚至root帐号。管理员注意
4、到这种后门后,便用strings命令搜索login程序寻找文本信息。多数情况下会使后门口令原形毕露,10,开辟后门,Telnet后门 当用户telnet到系统,监听端口的Inetd服务接受连接,并传递给in.telnetd,由它运行login。一些攻击者知道管理员会检查login是否被修改,于是修改in.telnetd。在in.telnet内部有一些对用户信息的检查,比如用户使用了何种终端。典型设置是Xterm或VT100。攻击者可以做这样的后门,当终端设置为“letmein”时产生一个不要任何验证的shell。攻击者已对某些服务作了后门,对来自特定源端口的连接产生一个shell,11,开辟后
5、门,库后门 几乎所有的UNIX系统都使用共享库,共享库用于相同函数的重用从而减少代码长度。一些攻击者在crypt.c这类函数里做后门,像login.c这样的程序调用crypt(),当使用后门口令是产生一个shell。因此,即使管理员用MD5检查login程序,仍然能产生一个后门函数。管理员有一种方法可以找到后门,就是静态编连MD5校验程序然后运行,12,开辟后门,校验和时间戳后门 早期,许多攻击者用自己的trojan程序替代二进制文件。系统管理员校验及程序辨别二进制文件是否被改变。后来,攻击者开发了使torjan文件和原文件时间戳同步的新技术。它是这样实现的:先将系统时钟拨回到原文件时间,然后
6、调整trojan文件的时间为系统时间。一旦二进制trojan文件与原文件精确同步,就可以把系统设回当前时间。sum程序基于CRC校验,很容易骗过。攻击者可以将trojan的校验和调整为原文件的校验和,13,开辟后门,服务后门 几乎所有的网络服务都曾被攻击者做过后门,finger,rsh,rlogin,FTP,甚至inetd等的后门版本随处可见。有的只是连接到某个TCP端口的shell,通过后门口令就能获取访问权限。这些程序有时用uucp这样不常用的服务,或者加入到inetd.conf作为一个新的服务,14,开辟后门,Cronjob后门 UNIX上的cronjob可以按时间表调度特定程序的运行。
7、攻击者可以加入后门shell程序使它在1AM到2AM之间运行,那么每晚有一个小时可以获得访问权限。攻击者可以查看cronjob中经常运行的合法程序,同时置入后门。根用户的crontab文件放在/var/spool/root中,其格式如下: (1) (2) (3)(4)(5) (6) 0 0 * * 3 / usr /bin /updatedb 以上内容设置/usr/bin/updatedb程序于每个星期三0:0运行,15,开辟后门,内核后门 内核是UNIX等各种操作系统工作的核心,内核中嵌入后门程序最难被管理员发现。 boot块后门 在PC世界里,通过杀毒软件检查引导区的完整性发现病毒。在UN
8、IX中,多数管理员没有检查引导区的软件,所以攻击者常常将后门程序留在引导区,16,开辟后门,隐匿进程后门 攻击者希望隐匿他们运行的程序,通常是口令破解程序和监听程序(sniffer)。较常用的方法是:编写程序时修改自己的argv 使它看起来像其他进程名;将sniffer程序改名为in.syslog在执行。因此当管理员用“ps”检查运行进程时,出现的是标准服务名。修改库函数使“ps”不能显示所有的进程。将一个后门或程序嵌入中断驱动程序使它不会在进程表中显示,17,开辟后门,网络通信后门 攻击者不仅希望隐匿他们留在系统里的痕迹,而且也希望要隐匿他们的网络通信。有许多网络后门程序允许攻击者建立某个端
9、口号,并不用通过普通服务就能实现访问。因为这是通过非标准网络端口进行的,管理员可能忽视攻击者的踪迹。这种后门通常使用TCP,UDP和ICMP,但也有可能是其他类型的报文,18,开辟后门,TCP shell后门 攻击者可能在放火墙没有阻塞的高位TCP端口建立这些TCP shell后门。许多情况下,他们用口令进行保护以免管理员连接上后立即看到是shell访问。管理员可以用netstat命令查看当前的连接状态,哪些端口在侦听,以及目前的连接状态等。通常这些后门可以让攻击者躲过TCP wrapper检查。这些后门可以放在SMTP端口,因为许多防火墙允许E-mail通过,19,开辟后门,UDP shel
10、l后门 管理员经常注意TCP连接并观察其异常情况,而UDP shell后门没有这样的连接,所以Netstat不能显示攻击者的访问痕迹,许多放火墙设置成允许类似DNS的UDP报文的通行,通常攻击者将UDP shell放置在这个端口,通过它穿越防火墙,20,开辟后门,ICMP shell后门 ping是通过发送和接受ICMP包检测机器活动状态的通用方法之一。许多防火墙允许外界ping它内部的机器。攻击者可以将数据放进ping的ICMP包,在ping通过的机器间形成一个Shell通道。管理员也许会注意到ping包风暴,但除非他查看包内数据,否则攻击者痕迹不会暴露,21,手工克隆帐号后门,把管理员权限
11、复制给一个普通帐号 例如将系统内建guest帐号变换成管理员权限帐号 可以使用权限提升工具PSU.exe来实现,修改注册表SAM PSU可以捕获system系统进程,并以该权限修改SAM,22,制造Unicode漏洞后门,替换目标服务器IIS服务文件,制造unicode漏洞 在IIS Web文档根目录中放入cmd.exe,并将其隐藏,23,制造.idq漏洞后门,将idq.dll放入目标IIS服务器Scripts目录中,并将其隐藏 在本地使用ispc与目标服务器建立连接: ispc 目标IP/scripts/idq.dll 如果连接成功,就会在本地得到:C:winntsystem32 远程服务器
12、的Shell,24,Winshell后门,Windows平台上精巧的telnet服务器,主程序5k左右,可以完全独立运行而不依赖任何系统动态链接库 支持定制端口、密码保护、多用户登陆、NT服务方式、远程文件下载、信息自定义及独特的反DDOS功能,25,Wollf木马后门,一款经典的木马程序,功能强大,几乎就是一个小型的操作系统 拥有自己的专用命令、扩展了Telnet服务、集成文件传输服务、FTP服务、键盘记录、Sniffer、端口转发等功能,还可以实现反向连接 可以随系统启动,或作为普通程序启动,26,SQL后门,即使入侵者掌握了目标服务器的SQL服务SA口令,通常也不能从外部直接连接访问目标服务器,因为防火墙上一般会过滤掉对1433端口的访问请求 使用工具SqlRootKit.a
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 2024年木材托盘经销协议模板
- 2024年度高效汽车运送协议范本
- 2024餐饮业操作人员劳动协议范例
- 2024项目协作委托详细协议模板大全
- 不动产过户协议样本 2024 年规范
- 跨境电商网店设计趋势
- 2024年家具定制协议范本综合指南
- 创新型企业知识产权保护服务协议范例
- 2024年度学生宿舍租赁协议样本
- 太阳课件模板教学课件
- (2024年)传染病培训课件
- 供应商QPA稽核点检表(线材)
- 资质挂靠协议
- 凸函数的性质及其应用
- 标记有丝分裂百分率法计算
- HCGE2P孕三项化验单模板
- QA软件过程检查单(XXJSTZPPQAChecklist)
- BA88半自动生化分析仪维修手册
- 各系统调试报告
- 英语人称代词-物主代词-名词所有格(共4页)
- 《质量管理体系文件》ISO9001_2015_中英文对照
评论
0/150
提交评论