資源描述:
《黑客經(jīng)驗(yàn)談:跳板攻擊入侵技術(shù)實(shí)例解析》由會(huì)員上傳分享,免費(fèi)在線閱讀���,更多相關(guān)內(nèi)容在工程資料-天天文庫(kù)����。
1�����、黑客經(jīng)驗(yàn)談:跳板攻擊入侵技術(shù)實(shí)例解析~教育資源庫(kù) 網(wǎng)絡(luò)入侵���,安全第一�����。一個(gè)狡猾�����、高明的入侵者����,不會(huì)冒然實(shí)行動(dòng)。他們?cè)谌肭謺r(shí)前會(huì)做足功課��,入侵時(shí)會(huì)通過(guò)各種技術(shù)手段保護(hù)自己�����,以防被對(duì)方發(fā)現(xiàn)��,引火燒身�����。其中�,跳板技術(shù)是攻擊者通常采用的技術(shù)��。下面筆者結(jié)合實(shí)例����,解析攻擊入侵中的跳板技術(shù)�。 1�、確定目標(biāo) 攻擊者在通過(guò)掃描工具進(jìn)行定點(diǎn)(IP)掃描或者對(duì)某IP段掃描的過(guò)程中發(fā)現(xiàn)了該系統(tǒng)(服務(wù)器)的某個(gè)漏洞,然后準(zhǔn)備實(shí)施攻擊����。 比如��,筆者通過(guò)對(duì)某IP段的掃描�,發(fā)現(xiàn)該IP段IP地址為211.52.*.84的主機(jī)存在MYSQL漏洞�,可以通過(guò)提權(quán)獲取系統(tǒng)權(quán)限進(jìn)而控制該服務(wù)器��。 2����、設(shè)計(jì)跳板
2、跳板通俗講就是一條通往目標(biāo)主機(jī)的主機(jī)鏈,理論上講當(dāng)然是鏈越長(zhǎng)就越安全��,但是鏈太長(zhǎng)的話連接的速度太慢����,因?yàn)槠渲械闹修D(zhuǎn)太多。攻擊者往往會(huì)評(píng)估入侵風(fēng)險(xiǎn)�����,從而制定或者設(shè)計(jì)跳板。一般的原則是�����,如果是政府����、軍隊(duì)等敏感部門(mén)往往跳板會(huì)比較多,甚至這些跳板主機(jī)會(huì)縱橫七大洲四大洋���。另外�,入侵國(guó)內(nèi)服務(wù)器往往也會(huì)需要國(guó)外的跳板主機(jī)����。 另外跳板主機(jī)的選擇�,入侵者往往是一些安全性一般速度較快,很少有人光顧的主機(jī)��。因?yàn)槿绻翘宄隽税踩珕?wèn)題,安全人員從中間入手��,進(jìn)行反向追蹤�,定位入侵者的相對(duì)比較容易?�! 」P者演示進(jìn)行入侵檢測(cè)的目標(biāo)主機(jī)是一家韓國(guó)的服務(wù)器(通過(guò)[url].ip138.[/url]查詢)�,綜合考
3、慮�,設(shè)計(jì)了三級(jí)跳板,即通過(guò)三個(gè)主機(jī)中轉(zhuǎn)在第三級(jí)跳板上進(jìn)行目標(biāo)主機(jī)的入侵就愛(ài)你從�。設(shè)計(jì)的路線為:遠(yuǎn)程登陸(3389)到一IP地址為203.176.*.237的馬來(lái)西亞服務(wù)器;然后在該服務(wù)器上通過(guò)CMD命令登陸到一IP地址為203.115.*.85的印度Cisco路由器;最后該路由器上tel到一某韓國(guó)主機(jī)。最后以該韓國(guó)服務(wù)器為工作平臺(tái)實(shí)施MYSQL提權(quán)操作�。 特別說(shuō)明:攻擊者往往在跳板中加入路由器或者交換機(jī)(比如Cisco的產(chǎn)品)��,雖然路由器的日志文件會(huì)記錄登陸IP���,但是可以通過(guò)相關(guān)的命令清除該日志��。并且這些日志清除后將永遠(yuǎn)消失��,因?yàn)槁酚善鞯娜罩颈4嬖趂lash中,一旦刪除將無(wú)法恢
4�����、復(fù)。如果跳板全部用主機(jī)的話�,雖然也可以清除日志,但是現(xiàn)在的恢復(fù)軟件往往可以恢復(fù)這些日志�,就會(huì)留下痕跡,網(wǎng)絡(luò)安全人員可以通過(guò)這些蛛絲馬跡可能找到自己��?����! ?�����、跳板入侵 (1).第一跳���,遠(yuǎn)程桌面 開(kāi)始→運(yùn)行→mstsc����,打開(kāi)遠(yuǎn)程桌面連接�,輸入馬來(lái)西亞服務(wù)器的IP地址203.176.*.237,隨后輸入用戶名、密碼即可遠(yuǎn)程連接到該服務(wù)器����。 一個(gè)非常狡猾高明的的入侵者一般不會(huì)用自己平時(shí)使用的主機(jī)進(jìn)行遠(yuǎn)程桌面連接入侵�,他們往往通過(guò)一些人員流動(dòng)比較大的公共電腦進(jìn)行入侵。如果找不到的話�,他們一般不會(huì)用物理主機(jī),會(huì)采用虛擬機(jī)系統(tǒng)進(jìn)行入侵�����。因?yàn)槲锢碇鳈C(jī)的入侵會(huì)留下痕跡��,就
5����、算刪除格式化也會(huì)被恢復(fù)。而虛擬機(jī)�����,入侵完成后可以刪除���,呼之即來(lái)����,棄之毫不可惜�。 (2).第二跳���,tel路由器 打開(kāi)服務(wù)器命令行工具(cmd)����,輸入tel203.115.*.85進(jìn)行連接���。該路由器是一Cisco設(shè)置了虛擬終端的密碼���,輸入密碼進(jìn)入路由器一般模式。此時(shí)即可以通過(guò)路由器tel到下一個(gè)跳板�。當(dāng)然最好有該cisco路由器的特權(quán)密碼,敲入en�����,然后輸入特權(quán)密碼進(jìn)入特權(quán)模式����。因?yàn)榫退銢](méi)有進(jìn)入路由器的特權(quán)模式,但路由器還是記錄了此次登陸,因此一定要進(jìn)入特權(quán)模式��,通過(guò)路由器命令清除登陸記錄和歷史命令��。筆者為了安全用SecureCRT(類(lèi)似tel)進(jìn)行登陸��?����! ∽鳛橐粋€(gè)狡猾的入侵者
6�����、�����,在進(jìn)入路由器特權(quán)模式后��,不是馬上進(jìn)入下一跳板��。往往通過(guò)shosysqlcdbinmysql-h211.52.118.84-uroot.c:mysqlbin2003.txt 在工作平臺(tái)上再打開(kāi)一個(gè)cmd���,輸入命令nc211.52.118.843306 即監(jiān)聽(tīng)該ip的3306端口��,返回一個(gè)目標(biāo)主機(jī)的shell��,獲取該主機(jī)的控制權(quán)�。 在該shell上輸入命令建立管理員用戶usertesttest/addlocalgouradministratorstest/add 下面看看對(duì)方是否開(kāi)了遠(yuǎn)程桌面連接���,在命令行下敲入命令stat-ano 對(duì)方開(kāi)3389端口,即可以進(jìn)行遠(yuǎn)程桌面的
7����、連接?��! ∮捎趯?duì)方是XP系統(tǒng)�,不能多用戶遠(yuǎn)程連接��,筆者的入侵檢測(cè)到此為止�����?����! ?、全身而退 入侵完成獲得目標(biāo)主機(jī)的管理權(quán)限��,入侵者就得擦除痕跡����,準(zhǔn)備撤退了?����! ?1).由于從目標(biāo)主機(jī)獲得的shell反向連接獲得的�,不會(huì)有日志記錄,所以不用管直接斷開(kāi)連接��?��! ?2).上傳clearlog工具�����,清除tel主機(jī)上的登陸日志����?! ?3).輸入exit���,退出路由器到主機(jī)的的tel連接。在路由器上輸入clearlogging 分別用來(lái)清除登陸日志�。 (4).退出路由器登陸�,通過(guò)工具清除
