骇客攻击手法演示
黑客攻击手法演示
台中县教育网络中心张本和王庆祥
97.3.12
大纲
黑客简介
实验演示
侦查工具实作---WayBackMachine
侦查工具实作--- Email Spiders
扫描实作--- NMAP
扫描实作--- HTTrack Web Site Copier
列举实作--- SuperScan4
权限提升实作--- X
木马工具实作-Trojan Generator
大纲(cont.)
实验演示
木马工具实作-Beast Trojan
木马实...
黑客攻击手法演示
台中县教育网络中心张本和王庆祥
97.3.12
大纲
黑客简介
实验演示
侦查工具实作---WayBackMachine
侦查工具实作--- Email Spiders
扫描实作--- NMAP
扫描实作--- HTTrack Web Site Copier
列举实作--- SuperScan4
权限提升实作--- X
木马工具实作-Trojan Generator
大纲(cont.)
实验演示
木马工具实作-Beast Trojan
木马实作---DesktopSpy
档案隐藏实作---NTFS
档案包装术实作---OneFilesExeMaker
结论
黑客的定义
黑客(Hacker)又叫黑客,字典里定义:「一
个对于程序
、系统安全与网络安全非常
乐衷研究的人,并且拥有高超的知识与技术」
原本「黑客」是指那些热衷专研计算机系统
的专家,现在被污名为危害网络系统安全者
的坏人。
黑客的种类
黑客入侵的目的
检视系统是否有漏洞
好玩、证明自己的功力
发泄、表达自己的不满
窃取资料
报复或变态的破坏
其他原因—例如设立养鸡场、建立跳板、利
用他人储存空间放置非法软件、色情媒体等。
黑客入侵的步骤
侦查
扫描
取得权限
维持权限
擦拭足迹
黑客/弱点研究网站
www.securiteam.com
黑客/弱点研究网站
www.securitytracker.com
黑客/弱点研究网站
www.hackstorm.com
黑客/弱点研究网站
www.packetstormsecurity.com
弱点研究网站
www.hackerwatch.org
弱点研究网站
www.microsoft.com/security
黑客网站
www.hackbase.com
黑客网站
www.hackvip.com
黑客网站
www.hookbase.com
黑客网站www.remotespy.com
侦查工具实作WayBackMachine
www.archive.org
侦查工具实作--- Email Spiders
扫描工具实作---NMAP
NMAP扫描方法–ICMP
163.17.38.1 163.17.40.1
ICMP Type 8 - Echo Request
ICMP Type 0 - Echo Reply
ROUTER
ICMP ping成功的例子
163.17.38.1 163.17.40.3
ICMP Type 8 - Echo Request
ICMP Type 3 - Destination
Unreachable
ROUTER
ICMP ping失败的例子
路由器找不到结点
163.17.40.3,或是
没有通往结点
163.17.40.3的路由
NMAP扫描方法–TCP (一)
旗标意义:
SYN初始主机之间的联机
ACK建立主机间的联机
PSH告知接收方系统立刻
送出所有BUFFER中资料
URG声明此封包中所有的
数据必须立刻处理
FIN告诉远程系统不再传送
数据
RST重设网络联机
NMAP扫描方法–TCP (二)
XMAS TREE (FIN+URG+PSH)+PORT 618
RST
XMAS TREE SCAN
S D Closed port
XMAS TREE (FIN+URG+PSH)+PORT 618
S D Opened port
丢弃
* WINDOWS 2000会有不正常的回应
NMAP扫描方法–TCP (二)
NULL FLAGS+PORT 438
RST
NULL SCAN
S D
Opened port:
UNIX, Windows
Closed port:
BSD
NULL FLAGS+PORT 110
S D Opened port:
BSD
丢弃
*RFC793并未定义该封包如何处理
NMAP扫描方法–TCP (二)
FIN+PORT 443
RST
FIN SCAN
S D Closed port
FIN+PORT 23
S D Opened port
丢弃
NMAP扫描方法–TCP (二)
ACK+PORT 389
RST
ACK SCAN
S D S收到RST表示封包未被阻
隔unfitered
ACK+PORT 6969
S D S没收到RST的封包表示被滤
掉了filtered
丢弃
* ACKSCAN是用来侦测是否有防火墙或入侵检测设备过滤
NMAP扫描方法–TCP (二)
SYN+PORT 113
RST
SYN SCAN
S D Closed port
SYN+PORT 80
S D Opened port
*SYN SCAN又称half-open
SYN+ACK
RST
NMAP扫描方法–TCP (二)
ACK+PORT 25
RST+WIN=0
WINDOW SCAN
S D
*极类似ACKSCAN,但会多检查WINDOW SIZE
Closed port
ACK+PORT 23
RST+WIN=2048S D Opened port
NMAP扫描方法–TCP (二)
IDLE SCAN
•图片来源
•http://www.networkuptime.com/nmap/
NMAP扫描方法–UDP (三)
UDP+PORT 514
UDP SCAN
S D
Closed portS D
Opened port
UDP+PORT 514
ICMP Type 3 - Destination Unreachable
Code 3-Port Unreachable
侦查工具实作--- HTTrack Web
Site Copier
列举
取出用户名称、机器名称、网络分
享资源或服务的方法
用于内网
直接连入系统并直接的询问
列举--Netbios Null Sessions
利用空的用户名称和密码和Windows
(NT/2000/XP)建立 null session
Nullsessions是利用CIFS/SMB (Common
Internet File System/Server Messaging
Block)的缺点
Windows:
C:\>net use \\192.34.34.2\IPC$ “” /u:“”
Linux:
$ smbclient \\\\target\\ipc\$ “” –U “”
列举实作---SuperScan4
权限提升实作--- X
大小只有3K
执行后直接取得一个叫X的账号,具有最高权
限。
木马工具实作-Trojan Generator
木马工具实作-Beast Trojan
木马实作-Desktop Spy
档案隐藏实作---NTFS stream
NTFS支持多个数据流的数据,以取得NTFS文件系
统;支持操作系统(Windows、Macintosh、
Windows NT, 2000, XP, 2003和Win 32 s)
NTFS stream
执行notepad test.txt
输入一些文字并存盘,检查档案大小
执行notepad test.txt:hidden.txt
输入一些文字并存盘
如果下指令type test.txt:hidden.txt会出错
但是可执行编辑notepad test.txt:hidden.txt
档案隐藏实作---NTFS stream
档案包装术实作-OneFilesExeMaker
避免Nullsession的对策
Null sessions针对TCP 139 and/or TCP
445 ports
Null sessions对Windows 2003无效
关闭SMB services
编辑注册档限制匿名用户:
开启regedt32
HKLM\SYSTEM\CurrentControlSet\LSA
选择editadd value
value name: Restrict Anonymous
Data Type: REG_WORD
Value: 2
避免木马的对策
木马比你想象的更可怕。
不要太相信朋友交/寄给你的档案。
不要任意下载执行任何档案。
木马是非常非常难以移除的,甚至无法移除。
发现中木马时第一件事就是拔掉网络线。
随时提高警觉,观察计算机正在执行的程序。
随时注意自己的联机状态。
最好移除木马的方式就是重灌。
防火墙和防病毒软件不一定对木马有效。
安全的系统?
安全性、功能性、方便性三角形
方便性安全性
功能性
简报结束,谢谢指教。
本文档为【骇客攻击手法演示】,请使用软件OFFICE或WPS软件打开。作品中的文字与图均可以修改和编辑,
图片更改请在作品中右键图片并更换,文字修改请直接点击文字进行修改,也可以新增和删除文档中的内容。
[版权声明] 本站所有资料为用户分享产生,若发现您的权利被侵害,请联系客服邮件isharekefu@iask.cn,我们尽快处理。
本作品所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用。
网站提供的党政主题相关内容(国旗、国徽、党徽..)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。