第三章 黑客攻防剖析(xin)-2

第三章黑客攻防剖析1/15/20231電子科技大學(xué)成都學(xué)院3.1“黑客”與“駭客”3.2黑客攻擊分類3.3基于協(xié)議的攻擊手法與防范3.4操作系統(tǒng)漏洞攻擊3.5針對IIS漏洞攻擊3.6Web應(yīng)用漏洞3.7黑客攻擊的思路3.8黑客攻擊防范3.9互聯(lián)網(wǎng)“黑色產(chǎn)業(yè)鏈”揭秘1/15/20232電子科技大學(xué)成都學(xué)院3.3.3TCP協(xié)議漏洞漏洞描述三次握手過程請求端A發(fā)送一個(gè)初始序號(hào)ISNa的SYN報(bào)文；被請求端B收到A的SYN報(bào)文后，發(fā)送給A自己的初始序列號(hào)ISNb，同時(shí)將ISNa+1作為確認(rèn)的SYN+ACK報(bào)文；A對SYN+ACK進(jìn)行確認(rèn)，同時(shí)將ISNa+1，ISNb+1發(fā)送給B，TCP連接完成。漏洞三次握手未完成時(shí)，被請求端B一般會(huì)重試，并等待一段時(shí)間，常會(huì)被用來進(jìn)行DOS、Land和SYNFlood攻擊。1/15/20233電子科技大學(xué)成都學(xué)院攻擊實(shí)現(xiàn)在SYNFlood中，黑客機(jī)器向受害主機(jī)發(fā)送大量偽造源地址的TCPSYN報(bào)文，受害主機(jī)分配必要的資源，然后向源地址返回SYN+ACK包，并等待源端返回ACK包。源地址是偽造的，所以不會(huì)返回ACK報(bào)文，受害主機(jī)繼續(xù)發(fā)送SYN+ACK，并將半連接放入端口的積壓隊(duì)列中。由于端口的半連接隊(duì)列的長度有限，若不斷向受害主機(jī)發(fā)送大量的SYN報(bào)文，半連接隊(duì)列很快被填滿，服務(wù)器拒絕新的連接，將導(dǎo)致端口無法響應(yīng)其他連接請求。受害主機(jī)的資源耗盡。1/15/20234電子科技大學(xué)成都學(xué)院防御方法通過防火墻、路由器等過濾網(wǎng)關(guān)防護(hù)SYNcookie技術(shù)——實(shí)現(xiàn)了無狀態(tài)的握手，避免了SYNFlood的資源消耗。基于監(jiān)控的源地址狀態(tài)技術(shù)——對每一個(gè)連接服務(wù)器的IP地址的狀態(tài)進(jìn)行監(jiān)控，主動(dòng)采取避免SYNFlood攻擊的影響?？s短SYNTimeout時(shí)間1/15/20235電子科技大學(xué)成都學(xué)院通過加固TCP/IP協(xié)議棧防范SynAttackProtect機(jī)制為防范SYN攻擊，win2000和Win2003系統(tǒng)的tcp/ip協(xié)議棧內(nèi)嵌了SynAttackProtect機(jī)制。SynAttackProtect機(jī)制是通過關(guān)閉某些socket選項(xiàng)，增加額外的連接指示和減少超時(shí)時(shí)間，使系統(tǒng)能處理更多的SYN連接，以達(dá)到防范SYN攻擊的目的。默認(rèn)情況下，Win2000操作系統(tǒng)并不支持SynAttackProtect保護(hù)機(jī)制，需要在注冊表以下位置增加SynAttackProtect鍵值：HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

1/15/20236電子科技大學(xué)成都學(xué)院3.4操作系統(tǒng)漏洞攻擊3.4.1輸入法漏洞1.win2000漏洞描述SP2補(bǔ)丁安裝之前，默認(rèn)安裝的情況下，win2000中的簡體中文輸入法不能正確檢測當(dāng)前的狀態(tài)，導(dǎo)致在系統(tǒng)登錄界面中提供了不應(yīng)有的功能。別有用心者可以通過直接操作該系統(tǒng)的登錄界面得到當(dāng)前系統(tǒng)權(quán)限，運(yùn)行其選擇的代碼，更改系統(tǒng)配置，新建用戶，添加或刪除系統(tǒng)服務(wù)，添加、更改或刪除數(shù)據(jù)，或執(zhí)行其他非法操作。1/15/20237電子科技大學(xué)成都學(xué)院攻擊實(shí)現(xiàn)（1）進(jìn)入Windows2000登錄界面，將光標(biāo)放至【用戶名】文本框中。（2）然后按Ctrl+shift快捷鍵調(diào)出全拼輸入法狀態(tài)。1/15/20238電子科技大學(xué)成都學(xué)院（3）鼠標(biāo)指針移到微軟標(biāo)志處單擊右鍵，便彈出一個(gè)關(guān)于全拼輸入法的快捷菜單。（4）選擇【幫助】→【操作指南】命令。1/15/20239電子科技大學(xué)成都學(xué)院（5）打開【輸入法操作指南】窗口，在基本操作目錄下選擇一項(xiàng)幫助目錄后，單擊鼠標(biāo)右鍵，從彈出的快捷菜單中選擇【跳至URL】命令。

1/15/202310電子科技大學(xué)成都學(xué)院（6）在【跳至URL】的【跳至該URL】中輸入【e:\】，單擊【確定】按鈕。1/15/202311電子科技大學(xué)成都學(xué)院（7）此時(shí)可以列出E盤中的文件夾：也可以在【跳至URL】中輸入C:\、D:\等，可以列出目標(biāo)服務(wù)器目錄，同時(shí)還具有對每一個(gè)文件的完全控制權(quán)限。

1/15/202312電子科技大學(xué)成都學(xué)院利用“net.exe”激活被禁止使用的guest賬戶在“跳轉(zhuǎn)到URL”中輸入：c:\winnt\system32在該目錄下找到“net.exe”；為“net.exe”創(chuàng)建一個(gè)快捷方式；右鍵點(diǎn)擊該快捷方式，在“屬性”—“目標(biāo)”—c:\winnt\system32\net.exe后面空一格，填入“userguest/active:yes”。點(diǎn)擊“確定”運(yùn)行該快捷方式。（雖然看不到運(yùn)行狀態(tài)，但guest用戶已被激活。）1/15/202313電子科技大學(xué)成都學(xué)院利用“net.exe”將guest變?yōu)橄到y(tǒng)管理員在“跳轉(zhuǎn)到URL”中輸入：c:\winnt\system32在該目錄下找到“net.exe”；為“net.exe”創(chuàng)建一個(gè)快捷方式；在“屬性”—“目標(biāo)”—c:\winnt\system32\net.exe后面空一格，填入localgroupadministratorsguest/add；再次登錄終端服務(wù)器，以“guest”身份進(jìn)入，此時(shí)guest已是系統(tǒng)管理員，已具備一切可執(zhí)行權(quán)及一切操作權(quán)限。1/15/202314電子科技大學(xué)成都學(xué)院遠(yuǎn)程攻擊基于3389端口結(jié)合輸入法漏洞入侵

通過3389入侵系統(tǒng)，是入侵者的最愛，因?yàn)榭梢酝ㄟ^圖形界面，就像操作本地計(jì)算機(jī)一樣來控制遠(yuǎn)程計(jì)算機(jī)。由于MicrosoftWindows2000Server在安裝服務(wù)器時(shí)，其中有一項(xiàng)是超級(jí)終端服務(wù)。該服務(wù)所開放的端口號(hào)為3389，是微軟為了方便用戶遠(yuǎn)程管理而設(shè)。中文Windows2000存在有輸入漏洞，其漏洞就是用戶在登錄Windows2000時(shí)，利用輸入法的幫助文件可以獲得Administrators組權(quán)限。

1/15/202315電子科技大學(xué)成都學(xué)院攻擊防范打補(bǔ)丁刪除輸入法幫助文件和多余的輸入法，對應(yīng)的幫助文件有：Windowsime.exe——輸入法操作指南Windowssp.exe——雙拼輸入法幫助Windowszm.exe——鄭碼輸入法幫助防止net.exe被惡意利用，可以考慮將其移出目錄（C:\winnt\system32），或者改名。1/15/202316電子科技大學(xué)成都學(xué)院2.WindowsVista漏洞觸發(fā)條件條件1：6.0版本的《極點(diǎn)五筆輸入法》輸入法（最新的版本已經(jīng)填補(bǔ)了漏洞）。此外，Google輸入法最初的1.0版本也存在此漏洞。條件2：系統(tǒng)處于鎖定狀態(tài)。當(dāng)Vista啟動(dòng)到登錄界面時(shí)，是不會(huì)觸發(fā)漏洞的，只有當(dāng)系統(tǒng)處于鎖定狀態(tài)時(shí)，漏洞才會(huì)被激活。1/15/202317電子科技大學(xué)成都學(xué)院攻擊實(shí)現(xiàn)Step1：假設(shè)當(dāng)前登錄界面處于鎖定狀態(tài)下，點(diǎn)擊界面左下角鍵盤狀的輸入法選擇按鈕，在出現(xiàn)的菜單中選擇《極點(diǎn)五筆輸入法》。Step2：點(diǎn)擊一下登錄界面的空白處，這時(shí)會(huì)出現(xiàn)《極點(diǎn)五筆輸入法》的輸入法狀態(tài)條，在上面點(diǎn)右鍵，在出現(xiàn)的菜單中依次選擇“輸入法設(shè)置→設(shè)置另存為”。Step3：在登錄界面會(huì)彈出一個(gè)文件保存對話框，在該對話框中可以瀏覽硬盤中的任意文件，包括創(chuàng)建和刪除文件。Step4：在對話框中操作文件很不方便，況且并不能算是真正的入侵，因此可以利用漏洞創(chuàng)建一個(gè)具有管理員權(quán)限的賬戶，用這個(gè)賬戶進(jìn)入系統(tǒng)。1/15/202318電子科技大學(xué)成都學(xué)院 在對話框的地址欄中輸入“c：\windows\system32\net.exeuserhacker123456/add”，并點(diǎn)擊“前進(jìn)”按鈕。系統(tǒng)中則會(huì)創(chuàng)建一個(gè)名為hacker，密碼為123456的普通賬戶。Step5：在地址欄中輸入“netlocalgroupadministratorshacker/add”并回車，則提升為系統(tǒng)管理員。Step6：關(guān)閉當(dāng)前的對話框窗口，點(diǎn)擊登錄界面上的“切換用戶”按鈕。登錄界面上則會(huì)出現(xiàn)hacker賬戶。1/15/202319電子科技大學(xué)成都學(xué)院攻擊防范方法1

升級(jí)《極點(diǎn)五筆輸入法》的版本，是最簡單也是最有效的方法。方法2： 不對當(dāng)前用戶進(jìn)行“鎖定”操作，或用“切換用戶”代替。1/15/202320電子科技大學(xué)成都學(xué)院3.4.2IPC$攻擊IPC$(InternetProcessConnection)是共享“命名管道”的資源，為了讓進(jìn)程間通信而開放的命名管道，通過提供可信任的用戶名和口令，連接雙方可以建立安全的通道并以此通道進(jìn)行加密數(shù)據(jù)的交換，從而實(shí)現(xiàn)對遠(yuǎn)程計(jì)算機(jī)的訪問。IPC$是NT/2000的一項(xiàng)新功能，它有一個(gè)特點(diǎn)，即在同一時(shí)間內(nèi)，兩個(gè)IP之間只允許建立一個(gè)連接。NT/2000在提供了IPC$功能的同時(shí)，在初次安裝系統(tǒng)時(shí)還打開了默認(rèn)共享，即所有的邏輯共享(c$,d$,e$……)和系統(tǒng)目錄winnt

或windows(admin$)共享。所有的這些，微軟的初衷都是為了方便管理員的管理，但在有意無意中，導(dǎo)致了系統(tǒng)安全性的降低。1/15/202321電子科技大學(xué)成都學(xué)院會(huì)話建立過程安全會(huì)話在WindowsNT4.0中使用挑戰(zhàn)響應(yīng)協(xié)議與遠(yuǎn)程機(jī)器建立會(huì)話，建立成功的會(huì)話將成為一個(gè)安全隧道，建立雙方通過它互通信息，過程如下：1）會(huì)話請求者（客戶）向會(huì)話接收者（服務(wù)器）傳送一個(gè)數(shù)據(jù)包，請求安全隧道的建立；2）服務(wù)器產(chǎn)生一個(gè)隨機(jī)的64位數(shù)（實(shí)現(xiàn)挑戰(zhàn)）傳送回客戶；3）客戶取得這個(gè)由服務(wù)器產(chǎn)生的64位數(shù)，用試圖建立會(huì)話的帳號(hào)的口令打亂它，將結(jié)果返回到服務(wù)器（實(shí)現(xiàn)響應(yīng)）；1/15/202322電子科技大學(xué)成都學(xué)院4）服務(wù)器接受響應(yīng)后發(fā)送給本地安全驗(yàn)證（LSA），LSA通過使用該用戶正確的口令來核實(shí)響應(yīng)以便確認(rèn)請求者身份。如果請求者的帳號(hào)是服務(wù)器的本地帳號(hào)，核實(shí)本地發(fā)生；如果請求的帳號(hào)是一個(gè)域的帳號(hào)，響應(yīng)傳送到域控制器去核實(shí)。當(dāng)對挑戰(zhàn)的響應(yīng)核實(shí)為正確后，一個(gè)訪問令牌產(chǎn)生，然后傳送給客戶。客戶使用這個(gè)訪問令牌連接到服務(wù)器上的資源直到建議的會(huì)話被終止。1/15/202323電子科技大學(xué)成都學(xué)院空會(huì)話在沒有信任的情況下與服務(wù)器建立的會(huì)話（即未提供用戶名與密碼）。根據(jù)WIN2000的訪問控制模型，空會(huì)話的建立同樣需要提供一個(gè)令牌，但令牌中不包含用戶信息（因?yàn)榭諘?huì)話在建立過程中并沒有經(jīng)過用戶信息的認(rèn)證），因此這個(gè)會(huì)話不能讓系統(tǒng)間發(fā)送加密信息。然而這并不表示空會(huì)話的令牌中不包含安全標(biāo)識(shí)符SID，對于空會(huì)話，LSA提供的令牌的SID是S-1-5-7，用戶名是：ANONYMOUSLOGON。這個(gè)訪問令牌包含偽裝的組：Everyone和Network。在安全策略的限制下，這個(gè)空會(huì)話將被授權(quán)訪問到上面兩個(gè)組有權(quán)訪問到的一切信息。1/15/202324電子科技大學(xué)成都學(xué)院空會(huì)話可以作什么？對于NT，在默認(rèn)安全設(shè)置下，借助空連接可以列舉目標(biāo)主機(jī)上的用戶和共享，訪問everyone權(quán)限的共享，訪問小部分注冊表等，并沒有什么太大的利用價(jià)值；對2000作用更小，因?yàn)樵赪indows2000和以后版本中默認(rèn)只有管理員和備份操作員有權(quán)從網(wǎng)絡(luò)訪問到注冊表，而且實(shí)現(xiàn)起來也不方便，需借助工具。從一次完整的ipc$入侵來看，空會(huì)話是一個(gè)不可缺少的跳板。1/15/202325電子科技大學(xué)成都學(xué)院一些具體命令1.建立一個(gè)空會(huì)話注意：需要目標(biāo)開放ipc$命令：netuse\\ip\ipc$""/user:""前邊引號(hào)“”內(nèi)為空密碼，后邊user:""引號(hào)中為空用戶名注意：上面的命令包括四個(gè)空格，net與use中間有一個(gè)空格，use后面一個(gè)，密碼左右各一個(gè)空格。

1/15/202326電子科技大學(xué)成都學(xué)院2查看遠(yuǎn)程主機(jī)的共享資源命令：netview\\ip

解釋：前提是建立了空連接后，用此命令可以查看遠(yuǎn)程主機(jī)的共享資源，如果它開了共享，可以得到如下面的結(jié)果，但此命令不能顯示默認(rèn)共享。在\\*.*.*.*的共享資源 資源共享名類型用途注釋1/15/202327電子科技大學(xué)成都學(xué)院3查看遠(yuǎn)程主機(jī)的當(dāng)前時(shí)間命令：nettime\\ip解釋：用此命令可以得到一個(gè)遠(yuǎn)程主機(jī)的當(dāng)前時(shí)間。

4得到遠(yuǎn)程主機(jī)的NetBIOS用戶名列表（需要打開自己的NBT）

命令：nbtstat-Aip

解釋：用此命令可以得到一個(gè)遠(yuǎn)程主機(jī)的NetBIOS用戶名列表。

通過空連接，可以借助第三方工具對遠(yuǎn)程主機(jī)的管理賬戶和弱口令進(jìn)行枚舉。猜到弱口令便可進(jìn)一步完成入侵，并植入后門。1/15/202328電子科技大學(xué)成都學(xué)院防范ipc$入侵1禁止空連接進(jìn)行枚舉運(yùn)行regedit

，找到如下主鍵

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA]

把RestrictAnonymous=DWORD的鍵值改為：1注意：如果設(shè)置為“1”，一個(gè)匿名用戶仍然可以連接到IPC$共享，但無法通過這種連接得到列舉SAM帳號(hào)和共享信息的權(quán)限；在Windows2000中增加了“2”，未取得匿名權(quán)的用戶將不能進(jìn)行ipc$空連接。建議設(shè)置為1。若主鍵不存在，則新建一個(gè)再改鍵值。此外，也可以在本地安全設(shè)置中設(shè)置此項(xiàng)：在本地安全設(shè)置－本地策略－安全選項(xiàng)－'對匿名連接的額外限制'1/15/202329電子科技大學(xué)成都學(xué)院2禁止默認(rèn)共享1）察看本地共享資源運(yùn)行-cmd-輸入netshare2）刪除共享（重起后默認(rèn)共享仍然存在）

netshareipc$/delete

netshareadmin$/delete

netsharec$/delete

netshared$/delete如果有e,f,……則可以繼續(xù)刪除

1/15/202330電子科技大學(xué)成都學(xué)院3）停止server服務(wù)

netstopserver/y（重新啟動(dòng)后server服務(wù)會(huì)重新開啟）4）禁止自動(dòng)打開默認(rèn)共享（此操作并不能關(guān)閉ipc$共享）運(yùn)行-regedit

server版:找到主鍵

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters]

將AutoShareServer（DWORD）的鍵值改為:00000000。1/15/202331電子科技大學(xué)成都學(xué)院pro版:找到如下主鍵

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters]

將AutoShareWks（DWORD）的鍵值改為:00000000。3關(guān)閉ipc$和默認(rèn)共享依賴的服務(wù):server服務(wù)控制面板-管理工具-服務(wù)-找到server服務(wù)（右擊）-屬性-常規(guī)-啟動(dòng)類型-選已禁用4設(shè)置復(fù)雜密碼，防止通過ipc$窮舉出密碼。1/15/202332電子科技大學(xué)成都學(xué)院3.5針對IIS漏洞攻擊3.5.1Unicode漏洞漏洞分析NSFOCUS安全小組發(fā)現(xiàn)IIS4.0和IIS5.0在Unicode字符解碼的實(shí)現(xiàn)中存在一個(gè)安全漏洞，導(dǎo)致用戶可以遠(yuǎn)程通過IIS執(zhí)行任意命令。當(dāng)IIS打開文件時(shí)，如果該文件名包含unicode字符，它會(huì)對其進(jìn)行解碼，如果用戶提供一些特殊的編碼，將導(dǎo)致IIS錯(cuò)誤的打開或者執(zhí)行某些web根目錄以外的文件。1/15/202333電子科技大學(xué)成都學(xué)院3.5針對IIS漏洞攻擊后果通過漏洞，攻擊者可查看文件內(nèi)容、建立文件夾、刪除文件、拷貝文件且改名、顯示目標(biāo)主機(jī)當(dāng)前的環(huán)境變量、把某個(gè)文件夾中的全部文件一次性拷貝到另外的文件夾中、把某個(gè)文件夾移動(dòng)到指定的目錄、顯示某一路徑下相同文件類型的文件內(nèi)容等。1/15/202334電子科技大學(xué)成都學(xué)院漏洞成因影響版本中文IIS4.0+SP6中文WIN2000+IIS5.0中文WIN2000+IIS5.0+SP1臺(tái)灣繁體中文利用擴(kuò)展Unicode字符（如用“../”取代“/”和“\”）進(jìn)行目錄遍歷漏洞。“\”在WinNT4編碼為：%c1%9c，而在Win2000英文版編碼為：%c0%af。1/15/202335電子科技大學(xué)成都學(xué)院對于IIS5.0/4.0中文版，當(dāng)IIS收到的URL請求的文件名中包含一個(gè)特殊的編碼例如“%c1%hh”或者“%c0%hh”它會(huì)首先將其解碼變成:0xc10xhh，然后嘗試打開這個(gè)文件。Windows系統(tǒng)認(rèn)為0xc10xhh