骇客攻击手法演示

黑客攻击手法演示 台中县教育网络中心张本和王庆祥 97.3.12 大纲  黑客简介  实验演示  侦查工具实作---WayBackMachine  侦查工具实作--- Email Spiders  扫描实作--- NMAP  扫描实作--- HTTrack Web Site Copier  列举实作--- SuperScan4  权限提升实作--- X  木马工具实作-Trojan Generator 大纲(cont.)  实验演示  木马工具实作-Beast Trojan  木马实作---DesktopSpy  档案隐藏实作---NTFS  档案包装术实作---OneFilesExeMaker  结论 黑客的定义  黑客(Hacker)又叫黑客，字典里定义：「一 个对于程序、系统安全与网络安全非常 乐衷研究的人，并且拥有高超的知识与技术」  原本「黑客」是指那些热衷专研计算机系统 的专家，现在被污名为危害网络系统安全者 的坏人。 黑客的种类 黑客入侵的目的  检视系统是否有漏洞  好玩、证明自己的功力  发泄、表达自己的不满  窃取资料  报复或变态的破坏  其他原因—例如设立养鸡场、建立跳板、利 用他人储存空间放置非法软件、色情媒体等。 黑客入侵的步骤 侦查 扫描 取得权限 维持权限 擦拭足迹 黑客/弱点研究网站 www.securiteam.com 黑客/弱点研究网站 www.securitytracker.com 黑客/弱点研究网站 www.hackstorm.com 黑客/弱点研究网站 www.packetstormsecurity.com 弱点研究网站 www.hackerwatch.org 弱点研究网站 www.microsoft.com/security 黑客网站 www.hackbase.com 黑客网站 www.hackvip.com 黑客网站 www.hookbase.com 黑客网站www.remotespy.com 侦查工具实作WayBackMachine www.archive.org 侦查工具实作--- Email Spiders 扫描工具实作---NMAP NMAP扫描方法–ICMP 163.17.38.1 163.17.40.1 ICMP Type 8 - Echo Request ICMP Type 0 - Echo Reply ROUTER ICMP ping成功的例子 163.17.38.1 163.17.40.3 ICMP Type 8 - Echo Request ICMP Type 3 - Destination Unreachable ROUTER ICMP ping失败的例子 路由器找不到结点 163.17.40.3，或是 没有通往结点 163.17.40.3的路由 NMAP扫描方法–TCP (一) 旗标意义： SYN初始主机之间的联机 ACK建立主机间的联机 PSH告知接收方系统立刻 送出所有BUFFER中资料 URG声明此封包中所有的 数据必须立刻处理 FIN告诉远程系统不再传送 数据 RST重设网络联机 NMAP扫描方法–TCP (二) XMAS TREE (FIN+URG+PSH)+PORT 618 RST XMAS TREE SCAN S D Closed port XMAS TREE (FIN+URG+PSH)+PORT 618 S D Opened port 丢弃 * WINDOWS 2000会有不正常的回应 NMAP扫描方法–TCP (二) NULL FLAGS+PORT 438 RST NULL SCAN S D Opened port: UNIX, Windows Closed port: BSD NULL FLAGS+PORT 110 S D Opened port: BSD 丢弃 *RFC793并未定义该封包如何处理 NMAP扫描方法–TCP (二) FIN+PORT 443 RST FIN SCAN S D Closed port FIN+PORT 23 S D Opened port 丢弃 NMAP扫描方法–TCP (二) ACK+PORT 389 RST ACK SCAN S D S收到RST表示封包未被阻 隔unfitered ACK+PORT 6969 S D S没收到RST的封包表示被滤 掉了filtered 丢弃 * ACKSCAN是用来侦测是否有防火墙或入侵检测设备过滤 NMAP扫描方法–TCP (二) SYN+PORT 113 RST SYN SCAN S D Closed port SYN+PORT 80 S D Opened port *SYN SCAN又称half-open SYN+ACK RST NMAP扫描方法–TCP (二) ACK+PORT 25 RST+WIN=0 WINDOW SCAN S D *极类似ACKSCAN，但会多检查WINDOW SIZE Closed port ACK+PORT 23 RST+WIN=2048S D Opened port NMAP扫描方法–TCP (二) IDLE SCAN •图片来源 •http://www.networkuptime.com/nmap/ NMAP扫描方法–UDP (三) UDP+PORT 514 UDP SCAN S D Closed portS D Opened port UDP+PORT 514 ICMP Type 3 - Destination Unreachable Code 3-Port Unreachable 侦查工具实作--- HTTrack Web Site Copier 列举 取出用户名称、机器名称、网络分 享资源或服务的方法 用于内网 直接连入系统并直接的询问 列举--Netbios Null Sessions  利用空的用户名称和密码和Windows (NT/2000/XP)建立 null session  Nullsessions是利用CIFS/SMB (Common Internet File System/Server Messaging Block)的缺点  Windows: C:\>net use \\192.34.34.2\IPC$ “” /u:“”  Linux: $ smbclient \\\\target\\ipc\$ “” –U “” 列举实作---SuperScan4 权限提升实作--- X  大小只有3K  执行后直接取得一个叫X的账号，具有最高权 限。 木马工具实作-Trojan Generator 木马工具实作-Beast Trojan 木马实作-Desktop Spy 档案隐藏实作---NTFS stream  NTFS支持多个数据流的数据，以取得NTFS文件系 统；支持操作系统(Windows、Macintosh、 Windows NT, 2000, XP, 2003和Win 32 s)  NTFS stream  执行notepad test.txt  输入一些文字并存盘，检查档案大小  执行notepad test.txt:hidden.txt  输入一些文字并存盘  如果下指令type test.txt:hidden.txt会出错 但是可执行编辑notepad test.txt:hidden.txt 档案隐藏实作---NTFS stream 档案包装术实作-OneFilesExeMaker 避免Nullsession的对策  Null sessions针对TCP 139 and/or TCP 445 ports  Null sessions对Windows 2003无效  关闭SMB services  编辑注册档限制匿名用户:  开启regedt32 HKLM\SYSTEM\CurrentControlSet\LSA  选择editadd value value name: Restrict Anonymous Data Type: REG_WORD Value: 2 避免木马的对策  木马比你想象的更可怕。  不要太相信朋友交/寄给你的档案。  不要任意下载执行任何档案。  木马是非常非常难以移除的，甚至无法移除。  发现中木马时第一件事就是拔掉网络线。  随时提高警觉，观察计算机正在执行的程序。  随时注意自己的联机状态。  最好移除木马的方式就是重灌。  防火墙和防病毒软件不一定对木马有效。 安全的系统？ 安全性、功能性、方便性三角形 方便性安全性 功能性 简报结束，谢谢指教。