駭客攻擊手法演示課件

1、駭客攻擊手法演示臺中縣教育網(wǎng)路中心 張本和 王慶祥97.3.12大綱駭客簡介實驗演示偵查工具實作 - WayBackMachine偵查工具實作 - Email Spiders掃描實作 - NMAP掃描實作 - HTTrack Web Site Copier列舉實作 - SuperScan4權(quán)限提升實作 - X木馬工具實作-Trojan Generator大綱 (cont.)實驗演示木馬工具實作- Beast Trojan木馬實作 - DesktopSpy檔案隱藏實作 - NTFS檔案包裝術(shù)實作 - OneFilesExeMaker結(jié)論駭客的定義駭客(Hacker)又叫黑客，字典裡定義：一個對於

2、程式設計、系統(tǒng)安全與網(wǎng)路安全非常樂衷研究的人，並且擁有高超的知識與技術(shù)原本駭客是指那些熱衷專研電腦系統(tǒng)的專家，現(xiàn)在被污名為危害網(wǎng)路系統(tǒng)安全者的壞人。駭客的種類駭客入侵的目的檢視系統(tǒng)是否有漏洞 好玩、證明自己的功力發(fā)洩、表達自己的不滿竊取資料報復或變態(tài)的破壞 其他原因例如設立養(yǎng)雞場、建立跳板、利用他人儲存空間放置非法軟體、色情媒體等。駭客入侵的步驟偵查掃描取得權(quán)限維持權(quán)限擦拭足跡駭客/弱點研究網(wǎng)站駭客/弱點研究網(wǎng)站駭客/弱點研究網(wǎng)站駭客/弱點研究網(wǎng)站弱點研究網(wǎng)站弱點研究網(wǎng)站/security駭客網(wǎng)站駭客網(wǎng)站駭客網(wǎng)站駭客網(wǎng)站 偵查工具實作 WayBackMachine偵查工具實作 - Email

3、Spiders掃描工具實作 - NMAPNMAP掃描方法ICMPICMP Type 8 - Echo Request ICMP Type 0 - Echo Reply ROUTERICMP ping 成功的例子ICMP Type 8 - Echo Request ICMP Type 3 - Destination Unreachable ROUTERICMP ping 失敗的例子路由器找不到結(jié)點，或是沒有通往結(jié)點的路由NMAP掃描方法 TCP (一)旗標意義：SYN 初始主機之間的連線ACK 建立主機間的連線PSH 告知接收方系統(tǒng)立刻送出所有BUFFER中資料URG 聲明此封包中所有的資料必須

4、立刻處理FIN 告訴遠端系統(tǒng)不再傳送資料RST 重設網(wǎng)路連線NMAP掃描方法 TCP (二)XMAS TREE (FIN+URG+PSH)+PORT 618 RST XMAS TREE SCANSDClosed portXMAS TREE (FIN+URG+PSH)+PORT 618 SDOpened port丟棄* WINDOWS 2000 會有不正常的回應NMAP掃描方法 TCP (二)NULL FLAGS+PORT 438RST NULL SCANSDOpened port:UNIX, WindowsClosed port:BSDNULL FLAGS+PORT 110 SDOpened

5、port:BSD丟棄* RFC793並未定義該封包如何處理NMAP掃描方法 TCP (二)FIN+PORT 443 RST FIN SCANSDClosed portFIN+PORT 23 SDOpened port丟棄NMAP掃描方法 TCP (二)ACK+PORT 389RST ACK SCANSDS 收到 RST表示封包未被阻隔 unfiteredACK+PORT 6969 SDS 沒收到 RST的封包表示被濾掉了 filtered丟棄* ACK SCAN是用來偵測是否有防火牆或入侵偵測設備過濾NMAP掃描方法 TCP (二)SYN+PORT 113RST SYN SCANSDClose

6、d portSYN+PORT 80 SDOpened port*SYN SCAN 又稱 half-open SYN+ACK RST NMAP掃描方法 TCP (二)ACK+PORT 25RST+WIN=0 WINDOW SCANSD* 極類似 ACK SCAN，但會多檢查 WINDOW SIZEClosed portACK+PORT 23RST+WIN=2048 SDOpened portNMAP掃描方法 TCP (二)IDLE SCAN圖片來源http:/nmap/NMAP掃描方法 UDP (三)UDP+PORT 514UDP SCANSDClosed portSDOpened portUD

7、P+PORT 514ICMP Type 3 - Destination UnreachableCode 3-Port Unreachable 偵查工具實作 - HTTrack Web Site Copier列舉取出使用者名稱、機器名稱、網(wǎng)路分享資源或服務的方法用於內(nèi)網(wǎng)直接連入系統(tǒng)並直接的詢問列舉-Netbios Null Sessions利用空的使用者名稱和密碼和Windows (NT/2000/XP)建立 null sessionNull sessions是利用 CIFS/SMB (Common Internet File System/Server Messaging Block)的缺點W

8、indows: C:net use IPC$ “” /u:“”Linux:$ smbclient targetipc$ “” U “”列舉實作 - SuperScan4權(quán)限提升實作 - X大小只有3K執(zhí)行後直接取得一個叫X的帳號，具有最高權(quán)限。木馬工具實作-Trojan Generator木馬工具實作- Beast Trojan木馬實作-Desktop Spy檔案隱藏實作 - NTFS streamNTFS 支援多個資料流的資料，以取得 NTFS 檔案系統(tǒng) ；支援作業(yè)系統(tǒng) (Windows、 Macintosh、 Windows NT, 2000, XP, 2003 和 Win 32 s)NT

9、FS stream執(zhí)行 notepad test.txt輸入一些文字並存檔，檢查檔案大小執(zhí)行 notepad test.txt:hidden.txt輸入一些文字並存檔如果下指令 type test.txt:hidden.txt 會出錯但是可執(zhí)行編輯 notepad test.txt:hidden.txt檔案隱藏實作 - NTFS stream檔案包裝術(shù)實作- OneFilesExeMaker避免 Null session的對策Null sessions 針對 TCP 139 and/or TCP 445 portsNull sessions 對 Windows 2003 無效關閉 SMB services編輯註冊檔限制匿名使用者:開啟 regedt32HKLMSYSTEMCurrentControlSetLSA選擇 edit add valuevalue name: Restrict AnonymousData Type: REG_WORDValue: 2避免木馬的對策木馬比你想像的更可怕。不要太相信朋友交/寄給你的檔案。不