安全攻防技術輕用其芒，動即有傷，是為兇器；深若藏拙，臨機取決，是為利器。--《古劍銘》今天的交流內(nèi)容

直觀展示黑客攻擊過程通常黑客攻擊思路與操作近期常見攻擊方法部份滲透測試結果課程內(nèi)容Windows溢出漏洞時間線索漏洞發(fā)布：2006(ms06040)攻擊程序發(fā)布：2006如何完成一次攻擊？演示

直觀展示黑客攻擊過程通常黑客攻擊思路與操作近期常見攻擊方法部份滲透測試結果課程內(nèi)容攻擊階段劃分(1)預攻擊內(nèi)容：獲得域名及IP分布獲得拓撲及OS等獲得端口和服務獲得應用系統(tǒng)情況跟蹤新漏洞發(fā)布目的：收集信息，進行進一步攻擊決策攻擊內(nèi)容：獲得遠程權限進入遠程系統(tǒng)提升本地權限進一步擴展權限進行實質(zhì)性操作目的：進行攻擊，獲得系統(tǒng)的一定權限后攻擊內(nèi)容：刪除日志修補明顯的漏洞植入后門木馬進一步滲透擴展進入潛伏狀態(tài)目的：消除痕跡，長期維持一定的權限攻擊階段劃分(2)

直觀展示黑客攻擊過程通常黑客攻擊思路與操作近期常見攻擊方法部份滲透測試結果課程內(nèi)容信息收集信息收集工具WhoisPingTracerouteNslookup網(wǎng)站公布信息路由信息Web信息搜索引擎查詢端口掃描技術一個端口就是一個潛在的通信通道。/neolabs/neo-ports/neo-ports.html對目標計算機進行端口掃描，得到有用的信息。掃描的方法手工進行掃描熟悉各種命令。對命令執(zhí)行后的輸出進行分析端口掃描軟件

許多掃描器軟件都有分析數(shù)據(jù)的功能。通過端口掃描，可以得到許多有用的信息，從而發(fā)現(xiàn)系統(tǒng)的安全漏洞。堆棧指紋掃描

利用TCP/IP來識別不同的操作系統(tǒng)和服務向系統(tǒng)的IP和端口發(fā)送各種特殊的包。根據(jù)系統(tǒng)對包回應的差別，推斷出操作系統(tǒng)的種類。堆棧指紋程序利用的部分特征ICMP錯誤信息抑制；服務類型值(TOS)；TCP/IP選項；對SYNFLOOD的抵抗力；TCP初始窗口端口掃描工具演示Nmap()Superscan()Sl()TCPSYN掃描也叫半開式掃描利用TCP連接三次握手的第一次進行掃描被掃描主機開放的端口不提供服務的端口防火墻過濾的端口

掃描器SYNSYNSYNSYN+ACK握手RST重置沒有回應或者其他端口掃描工具Nmap簡介被稱為“掃描器之王”有forUnix和forWin的兩種版本需要Libpcap庫和Winpcap庫的支持能夠進行普通掃描、各種高級掃描和操作系統(tǒng)類型鑒別等使用-sS：半開式掃描-sT:普通connect()掃描-sU：udp端口掃描-O：操作系統(tǒng)鑒別-P0：強行掃描（無論是否能夠ping通目標）-p：指定端口范圍-v：詳細模式NmapWinv1.3.0端口掃描工具SuperScan簡介基于Windows平臺速度快，圖形化界面最新版本為4.0使用傻瓜化漏洞掃描系統(tǒng)漏洞掃描特定服務的漏洞掃描WEB服務數(shù)據(jù)庫服務FTP服務Mail服務信息泄漏漏洞掃描用戶信息共享信息人為管理漏洞掃描弱口令錯誤配置網(wǎng)絡及管理設備漏洞掃描路由器、交換機SNMP設備漏洞掃描工具Nessus構架服務器端：基于Unix系統(tǒng)客戶端：有GTK、Java和Win系統(tǒng)支持運作客戶端連接服務器端，并下載插件和掃描策略真正的掃描由服務器端發(fā)起兩者之間的通信通過加密認證優(yōu)勢：具有強大的插件功能完全免費，升級快速非常適合作為網(wǎng)絡安全評估工具鏈接：ClientServerTargetsNessus工作流程漏洞掃描工具X-Scan國人自主開發(fā)完全免費X-Scan使用掃描開始安全漏洞掃描器安全漏洞掃描器的種類網(wǎng)絡型安全漏洞掃描器主機型安全漏洞掃描器數(shù)據(jù)庫安全漏洞掃描器安全漏洞掃描器的選用ISS（InternetSecurityScanner）：安氏SSS（ShadowSecurityScanner）：俄羅斯黑客RetinaNetworkSecurityScanner：eEyeLANguardNetworkSecurityScannerCyberCopScanner：NAISSS（ShadowSecurityScanner）RetinaNetworkSecurityScannerLANguardNetworkSecurityScanner操作系統(tǒng)類型鑒別主要依據(jù)利用不同操作系統(tǒng)對各種連接請求的不同反應和特征來判斷遠程主機操作系統(tǒng)的類型當使用足夠多的不同特征來進行判斷，操作系統(tǒng)的探測精度就能有很大保證間接鑒別操作系統(tǒng)說明不直接進行掃描利用網(wǎng)絡應用服務使用過程中的信息來推斷和分析操作系統(tǒng)類型，并得到其他有用信息如Telnet

80端口查看WEB服務器類型從而初步判斷操作系統(tǒng)類型這種方法難以被發(fā)現(xiàn)防御對策修改服務器上應用服務的banner信息，達到迷惑攻擊者的目的直接鑒別操作系統(tǒng)類型TCP/IP棧指紋探測技術各個操作系統(tǒng)在實現(xiàn)TCP/IP棧的時候有細微的不同，可以通過下面一些方法來進行判定TTL值Windows窗口值ToS類型DF標志位初始序列號（ISN）采樣MSS（最大分段大小）其他漏洞掃描工具Nessus(演示)X-Scan(實驗)GoogleHacking搜索技巧相關工具一般是用來進行搜索目標的一些相關信息，經(jīng)常用到的命令：inurl:intext:Intitle:filetype:特洛伊木馬攻擊希臘人攻打特洛伊城十年，始終未獲成功，后來建造了一個大木馬，并假裝撤退，希臘將士卻暗藏于馬腹中。特洛伊人以為希臘人已走，就把木馬當作是獻給雅典娜的禮物搬入城中。晚上，木馬中隱藏的希臘將士沖出來打開城門，希臘將士里應外合毀滅了特洛伊城。后來我們把進入敵人內(nèi)部攻破防線的手段叫做木馬計，木馬計中使用的里應外合的工具叫做特洛伊木馬來源于希臘神話中的特洛伊戰(zhàn)爭特洛伊木馬黑客在攻擊進入后會留下后門程序，以便于進行控制國內(nèi)較常見的是：冰河、灰鴿子等按連接的方式可分:正向、反向B/S，C/S傳統(tǒng)的遠程控制步驟反彈端口連接模式>1024反彈式的遠程控制程序防火墻IP數(shù)據(jù)包過濾目標主機Windows系統(tǒng)騙取系統(tǒng)IE進程木馬線程正常線程進入合法應用程序正常線程…InternetExplorer瀏覽網(wǎng)頁端口監(jiān)聽端口傳統(tǒng)遠程控制程序緩沖區(qū)溢出WIN漏洞(演示)Metasploit(/)緩沖區(qū)溢出-其它集成工具一個典型的問題程序voidfunction(char*str){charbuffer[16];strcpy(buffer,str);}voidmain(intargc,char**argv){

if(argc>1)function(argv[1]);}執(zhí)行結果[wlj@debianwlj]$gcc-ovulvul.c[wlj@debianwlj]$gdb./vul-q(gdb)r`perl-e'print"A"x28'`BBBBStartingprogram:/home/wlj/./vul`perl-e'print"A"x28'`BBBBProgramreceivedsignalSIGSEGV,Segmentationfault.0x42424242in??()(gdb)ireax0xbffffc60-1073742752ecx0x564eff411448017729edx0x575000421464860738ebx0x401621541075192148esp0xbffffc800xbffffc80ebp0x414141410x41414141esi0x400168e41073834212edi0xbffffd04-1073742588eip0x424242420x42424242....網(wǎng)絡監(jiān)聽攻擊的環(huán)境基于共享（HUB）環(huán)境的監(jiān)聽比較普遍實現(xiàn)較為簡單基于交換（Switch）環(huán)境的監(jiān)聽基礎是ARP欺騙技術網(wǎng)絡監(jiān)聽攻擊源目的sniffer加密解密passwd$%@&)*=-~`^,{基于共享環(huán)境的監(jiān)聽共享以太網(wǎng)環(huán)境中，所有物理信號都會被傳送到每一個主機節(jié)點上去如將系統(tǒng)的網(wǎng)絡接口設定為混雜模式(Promiscuous)，則就能接受到一切監(jiān)聽到的數(shù)據(jù)幀，而不管其目的MAC地址是什么共享環(huán)境監(jiān)聽的意義積極意義：方便網(wǎng)絡管理員進行管理和網(wǎng)絡故障分析消極意義：常被用來竊聽在網(wǎng)絡上以明文方式傳輸?shù)目诹詈唾~號密碼POP3郵件口令Ftp登錄口令Telnet登錄口令共享環(huán)境監(jiān)聽的檢測基于主機的檢測簡單的ifconfig命令，包括各種UNIX系統(tǒng)基于網(wǎng)絡的檢測針對系統(tǒng)硬件過濾和軟件過濾的檢測針對DNS反向域名解析的檢測針對網(wǎng)絡和主機響應時間的檢測使用專業(yè)的檢測工具AntiSniff（有forwin和forunix的版本）Promiscan嗅探工具Ethereal(，實驗)Windump(http://windump.polito.it/演示)Xsniff(實驗)口令猜測Hydra(/)BrutusX-Scan()以上是常見的密碼破解的工具,如破解ftp，pop3的密碼等說明：口令猜測與密碼破解的概念稍有不同猜解FTP的密碼

密碼破解John(/john/)L0phtCrack5()以上是兩個最經(jīng)常見到的破解系統(tǒng)密碼的工具破解WIN系統(tǒng)的密碼演示：MD5破解

MD5破解可以利用相關網(wǎng)站提供的接口或者用工具直接破解MD5(admin,32)=21232f297a57a5a743894a0e4a801fc3MD5(admin,16)=7a57a5a743894a0e

應用攻擊WebProxySPIKEProxySQL注入體驗應用攻擊現(xiàn)在最典型的是SQL注入攻擊所謂SQL注入（SQLInjection），就是利用程序員對用戶輸入數(shù)據(jù)的合法性檢測不嚴或不檢測的特點，故意從客戶端提交特殊的代碼，從而收集程序及服務器的信息，從而獲取想得到的資料。通常別有用心者的目標是獲取網(wǎng)站管理員的帳號和密碼。另外還有一個概念：旁注演示：SQL注入攻擊常見的注入工具：NBSIDomain3.6等PhishingeBay中國金融機構中間人攻擊戰(zhàn)爭中的“中間人攻擊”案例網(wǎng)絡中的“中間人攻擊”客戶端攻擊圖片、MP3、視頻、解碼工具瀏覽器(IE、Firefox)IM(MSN、QQ)Office(Word)多媒體軟件安全軟件旁路攻擊曲線救國旁注旁攻社會工程學攻擊社交工程是使用計謀和假情報去獲得密碼和其他敏感信息的科學，研究一個站點的策略其中之一就是盡可能多的了解這個組織的個體，因此黑客不斷試圖尋找更加精妙的方法從他們希望滲透的組織那里獲得信息。舉個例子：一組高中學生曾經(jīng)想要進入一個當?shù)氐墓镜挠嬎銠C網(wǎng)絡，他們擬定了一個表格，調(diào)查看上去顯得是無害的個人信息，例如所有秘書和行政人員和他們的配偶、孩子的名字，這些從學生轉變成的黑客說這種簡單的調(diào)查是他們社會研究工作的一部分。利用這份表格這些學生能夠快速的進入系統(tǒng)，因為網(wǎng)絡上的大多數(shù)人是使用寵物和他們配偶名字作為密碼。社會工程學攻擊目前社會工程學攻擊主要包括兩種方式：打電話請求密碼和偽造Email1、打電話請求密碼盡管不像前面討論的策略那樣聰明，打電話尋問密碼也經(jīng)常奏效。在社會工程中那些黑客冒充失去密碼的合法雇員，經(jīng)常通過這種簡單的方法重新獲得密碼。2、偽造Email使用telnet一個黑客可以截取任何一個身份證發(fā)送Email的全部信息，這樣的Email消息是真的，因為它發(fā)自于一個合法的用戶。在這種情形下這些信息顯得是絕對的真實。黑客可以偽造這些。一個冒充系統(tǒng)管理員或經(jīng)理的黑客就能較為輕松的獲得大量的信息，黑客就能實施他們的惡意陰謀。DoS與DDoS攻擊DoS(DenialofService)攻擊的中文含義是拒絕服務攻擊DDoS(DistributedDenialofService)攻擊的中文含義是分布式拒絕服務攻擊拒絕服務攻擊的種類發(fā)送大量的無用請求，致使目標網(wǎng)絡系統(tǒng)整體的網(wǎng)絡性能大大降低，喪失與外界通信的能力。利用網(wǎng)絡服務以及網(wǎng)絡協(xié)議的某些特性，發(fā)送超出目標主機處理能力的服務請求，導致目標主機喪失對其他正常服務請求的相應能力。利用系統(tǒng)或應用軟件上的漏洞或缺陷，發(fā)送經(jīng)過特殊構造的數(shù)據(jù)包，導致目標的癱瘓（稱之為nuke)拒絕服務攻擊網(wǎng)絡層SYNFloodICMPFloodUDPFloodPingofDeath應用層垃圾郵件CGI資源耗盡針對操作系統(tǒng)winnuke典型舉例：SYNFlood原理正常的三次握手建立通訊的過程SYN（我可以連接嗎？）ACK（可以）/SYN（請確認?。〢CK（確認連接）發(fā)起方應答方SYNFlood原理SYN（我可以連接嗎？）ACK（可以）/SYN（請確認?。┕粽呤芎φ邆卧斓刂愤M行SYN請求為何還沒回應就是讓你白等不能建立正常的連接連接耗盡正常tcpconnect攻擊者受害者大量的tcpconnect這么多需要處理？不能建立正常的連接正常tcpconnect正常tcpconnect正常tcpconnect正常tcpconnect正常用戶正常tcpconnect

直觀展示黑客攻擊過程通常黑客攻擊思路與操作近期常見攻擊方法部份滲透測試結果課程內(nèi)容現(xiàn)實：某ISP被滲透過程分析安全措施OS：SunSolarisFirewall策略只允許特定機器訪問特定網(wǎng)絡設立中間跳板被入侵者成功滲透某國外電信某國內(nèi)門戶網(wǎng)站聊天室、調(diào)查引擎、賀卡站uid=2(bin)gid=2(bin)/SunOSVIP5.7Genericsun4usparcSUNW,Ultra-4$/sbin/ifconfig-a/sbin/ifconfig-alo0:flags=849<UP,LOOPBACK,RUNNING,MULTICAST>mtu8232inetnetmaskff000000hme0:flags=863<UP,BROADCAST,NOTRAILERS,RUNNING,MULTICAST>mtu1500inetxx.151.243.78netmaskffffffc0broadcastxx.151.243.127cat/etc/passwdroot:x:0:1:Super-User:/:/bin/cshdaemon:x:1:1::/:bin:x:2:2::/usr/bin:sys:x:3:3::/:adm:x:4:4:Admin:/var/adm:lp:x:71:8:LinePrinterAdmin:/usr/spool/lp:某國內(nèi)門戶網(wǎng)站2www為x.x.x.197x.x.x.195ACEswitch180eSNMP使用private某國內(nèi)提供商一臺網(wǎng)絡設備配置不當IPAddress x.x.4.5SystemName xx7513Contact Location CiscoInternetworkOperatingSystemSoftwareIOS(tm)RSPSoftware(RSP-ISV-M),Version12.0(5)T1,RELEASESOFTWARE(fc1)Copyright(c)1986-1999byciscoSystems,Inc.CompiledThu19-Aug-9901:39bycmongRead-OnlyCommunityStrings ILMI public vcn_xx xxxGSR vcn_xxxRead-WriteCommunityStrings ILMI vcn_xx導致最后控制全省網(wǎng)絡設備某國內(nèi)某國內(nèi)提供商XX網(wǎng)管80端口網(wǎng)管密碼root:admintelnettest:testsuroot:admin導致直接控制骨干網(wǎng)全部xx設備網(wǎng)管工作站暴露在公網(wǎng)，存在RPC-DCOM溢出，直接取得設備密碼文件某國內(nèi)提供商2網(wǎng)管工作站，c、d盤完全共享，可能被下載重要數(shù)據(jù)或利用此臺進入內(nèi)網(wǎng)。重要服務器（radius），存在嚴重telnet緩沖區(qū)溢出漏洞，直接取得服務器權限。某國內(nèi)提供商2uid=2(bin)gid=2(bin)/SunOSrad5.8Generic_108528-03sun4usparcSUNW,Ultra-250Cat/etc/passwdhostnameradroot:x:0:1:Super-User:/:/usr/bin/cshdaemon:x:1:1::/:bin:x:2:2::/usr/bin:sys:x:3:3::/:/bin/shadm:x:4:4:Admin:/var/adm:/bin/shlp:x:71:8:LinePrinterAdmin:/usr/spool/lp:/bin/shsmtp:x:0:0:MailDaemonUser:/:u