骇客攻击手法演示课件

1、駭客攻擊手法演示台中縣教育網路中心 張本和 王慶祥97.3.12大綱駭客簡介實驗演示偵查工具實作 - WayBackMachine偵查工具實作 - Email Spiders掃描實作 - NMAP掃描實作 - HTTrack Web Site Copier列舉實作 - SuperScan4權限提升實作 - X木馬工具實作-Trojan Generator大綱 (cont.)實驗演示木馬工具實作- Beast Trojan木馬實作 - DesktopSpy檔案隱藏實作 - NTFS檔案包裝術實作 - OneFilesExeMaker結論駭客的定義駭客(Hacker)又叫黑客，字典裡定義：一個對於

2、程式設計、系統安全與網路安全非常樂衷研究的人，並且擁有高超的知識與技術原本駭客是指那些熱衷專研電腦系統的專家，現在被污名為危害網路系統安全者的壞人。駭客的種類駭客入侵的目的檢視系統是否有漏洞 好玩、證明自己的功力發洩、表達自己的不滿竊取資料報復或變態的破壞 其他原因例如設立養雞場、建立跳板、利用他人儲存空間放置非法軟體、色情媒體等。駭客入侵的步驟偵查掃描取得權限維持權限擦拭足跡駭客/弱點研究網站駭客/弱點研究網站駭客/弱點研究網站駭客/弱點研究網站弱點研究網站弱點研究網站/security駭客網站駭客網站駭客網站駭客網站 偵查工具實作 WayBackMachine偵查工具實作 - Email

3、Spiders掃描工具實作 - NMAPNMAP掃描方法ICMPICMP Type 8 - Echo Request ICMP Type 0 - Echo Reply ROUTERICMP ping 成功的例子ICMP Type 8 - Echo Request ICMP Type 3 - Destination Unreachable ROUTERICMP ping 失敗的例子路由器找不到結點，或是沒有通往結點的路由NMAP掃描方法 TCP (一)旗標意義：SYN 初始主機之間的連線ACK 建立主機間的連線PSH 告知接收方系統立刻送出所有BUFFER中資料URG 聲明此封包中所有的資料必須

4、立刻處理FIN 告訴遠端系統不再傳送資料RST 重設網路連線NMAP掃描方法 TCP (二)XMAS TREE (FIN+URG+PSH)+PORT 618 RST XMAS TREE SCANSDClosed portXMAS TREE (FIN+URG+PSH)+PORT 618 SDOpened port丟棄* WINDOWS 2000 會有不正常的回應NMAP掃描方法 TCP (二)NULL FLAGS+PORT 438RST NULL SCANSDOpened port:UNIX, WindowsClosed port:BSDNULL FLAGS+PORT 110 SDOpened

5、port:BSD丟棄* RFC793並未定義該封包如何處理NMAP掃描方法 TCP (二)FIN+PORT 443 RST FIN SCANSDClosed portFIN+PORT 23 SDOpened port丟棄NMAP掃描方法 TCP (二)ACK+PORT 389RST ACK SCANSDS 收到 RST表示封包未被阻隔 unfiteredACK+PORT 6969 SDS 沒收到 RST的封包表示被濾掉了 filtered丟棄* ACK SCAN是用來偵測是否有防火牆或入侵偵測設備過濾NMAP掃描方法 TCP (二)SYN+PORT 113RST SYN SCANSDClose

6、d portSYN+PORT 80 SDOpened port*SYN SCAN 又稱 half-open SYN+ACK RST NMAP掃描方法 TCP (二)ACK+PORT 25RST+WIN=0 WINDOW SCANSD* 極類似 ACK SCAN，但會多檢查 WINDOW SIZEClosed portACK+PORT 23RST+WIN=2048 SDOpened portNMAP掃描方法 TCP (二)IDLE SCAN圖片來源http:/nmap/NMAP掃描方法 UDP (三)UDP+PORT 514UDP SCANSDClosed portSDOpened portUD

7、P+PORT 514ICMP Type 3 - Destination UnreachableCode 3-Port Unreachable 偵查工具實作 - HTTrack Web Site Copier列舉取出使用者名稱、機器名稱、網路分享資源或服務的方法用於內網直接連入系統並直接的詢問列舉-Netbios Null Sessions利用空的使用者名稱和密碼和Windows (NT/2000/XP)建立 null sessionNull sessions是利用 CIFS/SMB (Common Internet File System/Server Messaging Block)的缺點W

8、indows: C:net use IPC$ “” /u:“”Linux:$ smbclient targetipc$ “” U “”列舉實作 - SuperScan4權限提升實作 - X大小只有3K執行後直接取得一個叫X的帳號，具有最高權限。木馬工具實作-Trojan Generator木馬工具實作- Beast Trojan木馬實作-Desktop Spy檔案隱藏實作 - NTFS streamNTFS 支援多個資料流的資料，以取得 NTFS 檔案系統 ；支援作業系統 (Windows、 Macintosh、 Windows NT, 2000, XP, 2003 和 Win 32 s)NT

9、FS stream執行 notepad test.txt輸入一些文字並存檔，檢查檔案大小執行 notepad test.txt:hidden.txt輸入一些文字並存檔如果下指令 type test.txt:hidden.txt 會出錯但是可執行編輯 notepad test.txt:hidden.txt檔案隱藏實作 - NTFS stream檔案包裝術實作- OneFilesExeMaker避免 Null session的對策Null sessions 針對 TCP 139 and/or TCP 445 portsNull sessions 對 Windows 2003 無效關閉 SMB services編輯註冊檔限制匿名使用者:開啟 regedt32HKLMSYSTEMCurrentControlSetLSA選擇 edit add valuevalue name: Restrict AnonymousData Type: REG_WORDValue: 2避免木馬的對策木馬比你想像的更可怕。不要太相信朋友交/寄給你的檔案。不