資源描述:
《黑客技術(shù)初級(jí)教程》由會(huì)員上傳分享�����,免費(fèi)在線閱讀�,更多相關(guān)內(nèi)容在教育資源-天天文庫(kù)。
1���、當(dāng)然大多數(shù)攻擊成功的范例還是利用了系統(tǒng)軟件本身的漏洞���。造成軟件漏洞的主要原因在于編制該軟件的程序員缺乏安全意識(shí)。當(dāng)攻擊者對(duì)軟件進(jìn)行非正常的調(diào)用請(qǐng)求時(shí)造成緩沖區(qū)溢出或者對(duì)文件的非法訪問(wèn)��。其中利用緩沖區(qū)溢出進(jìn)行的攻擊最為普遍����,據(jù)統(tǒng)計(jì)80%以上成功的攻擊都是利用了緩沖區(qū)溢出漏洞來(lái)獲得非法權(quán)限的。關(guān)于緩沖區(qū)溢出在后面用專門章節(jié)來(lái)作詳細(xì)解釋�����。 無(wú)論作為一個(gè)黑客還是一個(gè)網(wǎng)絡(luò)管理員����,都需要掌握盡量多的系統(tǒng)漏洞。黑客需要用它來(lái)完成攻擊���,而管理員需要根據(jù)不同的漏洞來(lái)進(jìn)行不同的防御措施。了解最新最多的漏洞信息�����,可
2��、以到諸如Rootshell(www.rootshell.com)�、Packetstorm(packetstorm.securify.com)、Securityfocus(www.securityfocus.com)等網(wǎng)站去查找��?! ?.權(quán)限的擴(kuò)大 系統(tǒng)漏洞分為遠(yuǎn)程漏洞和本地漏洞兩種,遠(yuǎn)程漏洞是指黑客可以在別的機(jī)器上直接利用該漏洞進(jìn)行攻擊并獲取一定的權(quán)限����。這種漏洞的威脅性相當(dāng)大,黑客的攻擊一般都是從遠(yuǎn)程漏洞開始的��。但是利用遠(yuǎn)程漏洞獲取的不一定是最高權(quán)限,而往往只是一個(gè)普通用戶的權(quán)限����,這樣常常沒(méi)有
3、辦法做黑客們想要做的事���。這時(shí)就需要配合本地漏洞來(lái)把獲得的權(quán)限進(jìn)行擴(kuò)大���,常常是擴(kuò)大至系統(tǒng)的管理員權(quán)限。只有獲得了最高的管理員權(quán)限之后��,才可以做諸如網(wǎng)絡(luò)監(jiān)聽(tīng)�����、打掃痕跡之類的事情����。要完成權(quán)限的擴(kuò)大,不但可以利用已獲得的權(quán)限在系統(tǒng)上執(zhí)行利用本地漏洞的程序�����,還可以放一些木馬之類的欺騙程序來(lái)套取管理員密碼����,這種木馬是放在本地套取最高權(quán)限用的��,而不能進(jìn)行遠(yuǎn)程控制���。例如一個(gè)黑客已經(jīng)在一臺(tái)機(jī)器上獲得了一個(gè)普通用戶的賬號(hào)和登錄權(quán)限,那么他就可以在這臺(tái)機(jī)器上放置一個(gè)假的su程序�。一旦黑客放置了假su程序,當(dāng)真正的合法
4���、用戶登錄時(shí),運(yùn)行了su�,并輸入了密碼,這時(shí)root密碼就會(huì)被記錄下來(lái)�����,下次黑客再登錄時(shí)就可以使用su變成root了����。 攻擊的善后工作 1.日志系統(tǒng)簡(jiǎn)介 如果攻擊者完成攻擊后就立刻離開系統(tǒng)而不做任何善后工作�,那么他的行蹤將很快被系統(tǒng)管理員發(fā)現(xiàn),因?yàn)樗械木W(wǎng)絡(luò)操作系統(tǒng)一般都提供日志記錄功能���,會(huì)把系統(tǒng)上發(fā)生的動(dòng)作記錄下來(lái)�。所以,為了自身的隱蔽性��,黑客一般都會(huì)抹掉自己在日志中留下的痕跡�����。想要了解黑客抹掉痕跡的方法��,首先要了解常見(jiàn)的操作系統(tǒng)的日志結(jié)構(gòu)以及工作方式����。Unix的日志文件通常放在下面這幾個(gè)
5、位置�����,根據(jù)操作系統(tǒng)的不同略有變化 ?��。痷sr/adm——早期版本的Unix����。 ?。疺ar/adm新一點(diǎn)的版本使用這個(gè)位置?! 。疺arflort一些版本的Solaris���、LinuxBSD�、FreeBSD使用這個(gè)位置�����?�! ����。痚tc�����,大多數(shù)Unix版本把Utmp放在此處��,一些Unix版本也把Wtmp放在這里�����,這也是Syslog.conf的位置?����! ∠旅娴奈募赡軙?huì)根據(jù)你所在的目錄不同而不同: acct或pacct-一記錄每個(gè)用戶使用的命令記錄��?����! ccesslog主要用來(lái)服務(wù)器運(yùn)行了NCSAHT
6�����、TP服務(wù)器�����,這個(gè)記錄文件會(huì)記錄有什么站點(diǎn)連接過(guò)你的服務(wù)器���?��! culo保存撥出去的Modems記錄��?��! astlog記錄了最近的Login記錄和每個(gè)用戶的最初目的地,有時(shí)是最后不成功Login的記錄��?! oginlog一記錄一些不正常的L0gin記錄?! essages——記錄輸出到系統(tǒng)控制臺(tái)的記錄,另外的信息由Syslog來(lái)生成 security記錄一些使用UUCP系統(tǒng)企圖進(jìn)入限制范圍的事例����。 sulog記錄使用su命令的記錄�。 utmp記錄當(dāng)前登錄到系統(tǒng)中的所有用戶����,這個(gè)文件伴
7�、隨著用戶進(jìn)入和離開系統(tǒng)而不斷變化?! tmpx,utmp的擴(kuò)展���?���! tmp記錄用戶登錄和退出事件?! yslog最重要的日志文件,使用syslogd守護(hù)程序來(lái)獲得�����?����! ?.隱藏蹤跡 攻擊者在獲得系統(tǒng)最高管理員權(quán)限之后就可以隨意修改系統(tǒng)上的文件了(只對(duì)常規(guī)Unix系統(tǒng)而言)�,包括日志文件,所以一般黑客想要隱藏自己的蹤跡的話�,就會(huì)對(duì)日志進(jìn)行修改。最簡(jiǎn)單的方法當(dāng)然就是刪除日志文件了�����,但這樣做雖然避免了系統(tǒng)管理員根據(jù)IP追蹤到自己��,但也明確無(wú)誤地告訴了管理員���,系統(tǒng)己經(jīng)被人侵了�。所以最常用的辦法是
8、只對(duì)日志文件中有關(guān)自己的那一部分做修改���。關(guān)于修改方法的具體細(xì)節(jié)根據(jù)不同的操作系統(tǒng)有所區(qū)別�����,網(wǎng)絡(luò)上有許多此類功能的程序���,例如zap、wipe等���,其主要做法就是清除utmp�����、wtmp���、Lastlog和Pacct等日志文件中某一用戶的信息,使得當(dāng)使用w��、who����、last等命令查看日志文件時(shí),隱藏掉此用戶的信息�。管理員想要避免日志系統(tǒng)被黑客修改,應(yīng)該采取一定的措施����,例如用打印機(jī)實(shí)時(shí)記錄網(wǎng)絡(luò)日志信息。但這樣做也有弊端�,黑客一旦了解到你的做法就會(huì)不停地向日志里寫入無(wú)用的信息,使得打印機(jī)不停地打印日志����,直到所
