第三章 黑客攻防剖析(xin)-2

第三章黑客攻防剖析1/15/20231電子科技大學(xué)成都學(xué)院3.1“黑客”與“駭客”3.2黑客攻擊分類3.3基于協(xié)議的攻擊手法與防范3.4操作系統(tǒng)漏洞攻擊3.5針對IIS漏洞攻擊3.6Web應(yīng)用漏洞3.7黑客攻擊的思路3.8黑客攻擊防范3.9互聯(lián)網(wǎng)“黑色產(chǎn)業(yè)鏈”揭秘1/15/20232電子科技大學(xué)成都學(xué)院3.3.3TCP協(xié)議漏洞漏洞描述三次握手過程請求端A發(fā)送一個初始序號ISNa的SYN報文；被請求端B收到A的SYN報文后，發(fā)送給A自己的初始序列號ISNb，同時將ISNa+1作為確認的SYN+ACK報文；A對SYN+ACK進行確認，同時將ISNa+1，ISNb+1發(fā)送給B，TCP連接完成。漏洞三次握手未完成時，被請求端B一般會重試，并等待一段時間，常會被用來進行DOS、Land和SYNFlood攻擊。1/15/20233電子科技大學(xué)成都學(xué)院攻擊實現(xiàn)在SYNFlood中，黑客機器向受害主機發(fā)送大量偽造源地址的TCPSYN報文，受害主機分配必要的資源，然后向源地址返回SYN+ACK包，并等待源端返回ACK包。源地址是偽造的，所以不會返回ACK報文，受害主機繼續(xù)發(fā)送SYN+ACK，并將半連接放入端口的積壓隊列中。由于端口的半連接隊列的長度有限，若不斷向受害主機發(fā)送大量的SYN報文，半連接隊列很快被填滿，服務(wù)器拒絕新的連接，將導(dǎo)致端口無法響應(yīng)其他連接請求。受害主機的資源耗盡。1/15/20234電子科技大學(xué)成都學(xué)院防御方法通過防火墻、路由器等過濾網(wǎng)關(guān)防護SYNcookie技術(shù)——實現(xiàn)了無狀態(tài)的握手，避免了SYNFlood的資源消耗。基于監(jiān)控的源地址狀態(tài)技術(shù)——對每一個連接服務(wù)器的IP地址的狀態(tài)進行監(jiān)控，主動采取避免SYNFlood攻擊的影響?？s短SYNTimeout時間1/15/20235電子科技大學(xué)成都學(xué)院通過加固TCP/IP協(xié)議棧防范SynAttackProtect機制為防范SYN攻擊，win2000和Win2003系統(tǒng)的tcp/ip協(xié)議棧內(nèi)嵌了SynAttackProtect機制。SynAttackProtect機制是通過關(guān)閉某些socket選項，增加額外的連接指示和減少超時時間，使系統(tǒng)能處理更多的SYN連接，以達到防范SYN攻擊的目的。默認情況下，Win2000操作系統(tǒng)并不支持SynAttackProtect保護機制，需要在注冊表以下位置增加SynAttackProtect鍵值：HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

1/15/20236電子科技大學(xué)成都學(xué)院3.4操作系統(tǒng)漏洞攻擊3.4.1輸入法漏洞1.win2000漏洞描述SP2補丁安裝之前，默認安裝的情況下，win2000中的簡體中文輸入法不能正確檢測當(dāng)前的狀態(tài)，導(dǎo)致在系統(tǒng)登錄界面中提供了不應(yīng)有的功能。別有用心者可以通過直接操作該系統(tǒng)的登錄界面得到當(dāng)前系統(tǒng)權(quán)限，運行其選擇的代碼，更改系統(tǒng)配置，新建用戶，添加或刪除系統(tǒng)服務(wù)，添加、更改或刪除數(shù)據(jù)，或執(zhí)行其他非法操作。1/15/20237電子科技大學(xué)成都學(xué)院攻擊實現(xiàn)（1）進入Windows2000登錄界面，將光標放至【用戶名】文本框中。（2）然后按Ctrl+shift快捷鍵調(diào)出全拼輸入法狀態(tài)。1/15/20238電子科技大學(xué)成都學(xué)院（3）鼠標指針移到微軟標志處單擊右鍵，便彈出一個關(guān)于全拼輸入法的快捷菜單。（4）選擇【幫助】→【操作指南】命令。1/15/20239電子科技大學(xué)成都學(xué)院（5）打開【輸入法操作指南】窗口，在基本操作目錄下選擇一項幫助目錄后，單擊鼠標右鍵，從彈出的快捷菜單中選擇【跳至URL】命令。

1/15/202310電子科技大學(xué)成都學(xué)院（6）在【跳至URL】的【跳至該URL】中輸入【e:\】，單擊【確定】按鈕。1/15/202311電子科技大學(xué)成都學(xué)院（7）此時可以列出E盤中的文件夾：也可以在【跳至URL】中輸入C:\、D:\等，可以列出目標服務(wù)器目錄，同時還具有對每一個文件的完全控制權(quán)限。

1/15/202312電子科技大學(xué)成都學(xué)院利用“net.exe”激活被禁止使用的guest賬戶在“跳轉(zhuǎn)到URL”中輸入：c:\winnt\system32在該目錄下找到“net.exe”；為“net.exe”創(chuàng)建一個快捷方式；右鍵點擊該快捷方式，在“屬性”—“目標”—c:\winnt\system32\net.exe后面空一格，填入“userguest/active:yes”。點擊“確定”運行該快捷方式。（雖然看不到運行狀態(tài)，但guest用戶已被激活。）1/15/202313電子科技大學(xué)成都學(xué)院利用“net.exe”將guest變?yōu)橄到y(tǒng)管理員在“跳轉(zhuǎn)到URL”中輸入：c:\winnt\system32在該目錄下找到“net.exe”；為“net.exe”創(chuàng)建一個快捷方式；在“屬性”—“目標”—c:\winnt\system32\net.exe后面空一格，填入localgroupadministratorsguest/add；再次登錄終端服務(wù)器，以“guest”身份進入，此時guest已是系統(tǒng)管理員，已具備一切可執(zhí)行權(quán)及一切操作權(quán)限。1/15/202314電子科技大學(xué)成都學(xué)院遠程攻擊基于3389端口結(jié)合輸入法漏洞入侵

通過3389入侵系統(tǒng)，是入侵者的最愛，因為可以通過圖形界面，就像操作本地計算機一樣來控制遠程計算機。由于MicrosoftWindows2000Server在安裝服務(wù)器時，其中有一項是超級終端服務(wù)。該服務(wù)所開放的端口號為3389，是微軟為了方便用戶遠程管理而設(shè)。中文Windows2000存在有輸入漏洞，其漏洞就是用戶在登錄Windows2000時，利用輸入法的幫助文件可以獲得Administrators組權(quán)限。

1/15/202315電子科技大學(xué)成都學(xué)院攻擊防范打補丁刪除輸入法幫助文件和多余的輸入法，對應(yīng)的幫助文件有：Windowsime.exe——輸入法操作指南Windowssp.exe——雙拼輸入法幫助Windowszm.exe——鄭碼輸入法幫助防止net.exe被惡意利用，可以考慮將其移出目錄（C:\winnt\system32），或者改名。1/15/202316電子科技大學(xué)成都學(xué)院2.WindowsVista漏洞觸發(fā)條件條件1：6.0版本的《極點五筆輸入法》輸入法（最新的版本已經(jīng)填補了漏洞）。此外，Google輸入法最初的1.0版本也存在此漏洞。條件2：系統(tǒng)處于鎖定狀態(tài)。當(dāng)Vista啟動到登錄界面時，是不會觸發(fā)漏洞的，只有當(dāng)系統(tǒng)處于鎖定狀態(tài)時，漏洞才會被激活。1/15/202317電子科技大學(xué)成都學(xué)院攻擊實現(xiàn)Step1：假設(shè)當(dāng)前登錄界面處于鎖定狀態(tài)下，點擊界面左下角鍵盤狀的輸入法選擇按鈕，在出現(xiàn)的菜單中選擇《極點五筆輸入法》。Step2：點擊一下登錄界面的空白處，這時會出現(xiàn)《極點五筆輸入法》的輸入法狀態(tài)條，在上面點右鍵，在出現(xiàn)的菜單中依次選擇“輸入法設(shè)置→設(shè)置另存為”。Step3：在登錄界面會彈出一個文件保存對話框，在該對話框中可以瀏覽硬盤中的任意文件，包括創(chuàng)建和刪除文件。Step4：在對話框中操作文件很不方便，況且并不能算是真正的入侵，因此可以利用漏洞創(chuàng)建一個具有管理員權(quán)限的賬戶，用這個賬戶進入系統(tǒng)。1/15/202318電子科技大學(xué)成都學(xué)院 在對話框的地址欄中輸入“c：\windows\system32\net.exeuserhacker123456/add”，并點擊“前進”按鈕。系統(tǒng)中則會創(chuàng)建一個名為hacker，密碼為123456的普通賬戶。Step5：在地址欄中輸入“netlocalgroupadministratorshacker/add”并回車，則提升為系統(tǒng)管理員。Step6：關(guān)閉當(dāng)前的對話框窗口，點擊登錄界面上的“切換用戶”按鈕。登錄界面上則會出現(xiàn)hacker賬戶。1/15/202319電子科技大學(xué)成都學(xué)院攻擊防范方法1

升級《極點五筆輸入法》的版本，是最簡單也是最有效的方法。方法2： 不對當(dāng)前用戶進行“鎖定”操作，或用“切換用戶”代替。1/15/202320電子科技大學(xué)成都學(xué)院3.4.2IPC$攻擊IPC$(InternetProcessConnection)是共享“命名管道”的資源，為了讓進程間通信而開放的命名管道，通過提供可信任的用戶名和口令，連接雙方可以建立安全的通道并以此通道進行加密數(shù)據(jù)的交換，從而實現(xiàn)對遠程計算機的訪問。IPC$是NT/2000的一項新功能，它有一個特點，即在同一時間內(nèi)，兩個IP之間只允許建立一個連接。NT/2000在提供了IPC$功能的同時，在初次安裝系統(tǒng)時還打開了默認共享，即所有的邏輯共享(c$,d$,e$……)和系統(tǒng)目錄winnt

或windows(admin$)共享。所有的這些，微軟的初衷都是為了方便管理員的管理，但在有意無意中，導(dǎo)致了系統(tǒng)安全性的降低。1/15/202321電子科技大學(xué)成都學(xué)院會話建立過程安全會話在WindowsNT4.0中使用挑戰(zhàn)響應(yīng)協(xié)議與遠程機器建立會話，建立成功的會話將成為一個安全隧道，建立雙方通過它互通信息，過程如下：1）會話請求者（客戶）向會話接收者（服務(wù)器）傳送一個數(shù)據(jù)包，請求安全隧道的建立；2）服務(wù)器產(chǎn)生一個隨機的64位數(shù)（實現(xiàn)挑戰(zhàn)）傳送回客戶；3）客戶取得這個由服務(wù)器產(chǎn)生的64位數(shù)，用試圖建立會話的帳號的口令打亂它，將結(jié)果返回到服務(wù)器（實現(xiàn)響應(yīng)）；1/15/202322電子科技大學(xué)成都學(xué)院4）服務(wù)器接受響應(yīng)后發(fā)送給本地安全驗證（LSA），LSA通過使用該用戶正確的口令來核實響應(yīng)以便確認請求者身份。如果請求者的帳號是服務(wù)器的本地帳號，核實本地發(fā)生；如果請求的帳號是一個域的帳號，響應(yīng)傳送到域控制器去核實。當(dāng)對挑戰(zhàn)的響應(yīng)核實為正確后，一個訪問令牌產(chǎn)生，然后傳送給客戶?？蛻羰褂眠@個訪問令牌連接到服務(wù)器上的資源直到建議的會話被終止。1/15/202323電子科技大學(xué)成都學(xué)院空會話在沒有信任的情況下與服務(wù)器建立的會話（即未提供用戶名與密碼）。根據(jù)WIN2000的訪問控制模型，空會話的建立同樣需要提供一個令牌，但令牌中不包含用戶信息（因為空會話在建立過程中并沒有經(jīng)過用戶信息的認證），因此這個會話不能讓系統(tǒng)間發(fā)送加密信息。然而這并不表示空會話的令牌中不包含安全標識符SID，對于空會話，LSA提供的令牌的SID是S-1-5-7，用戶名是：ANONYMOUSLOGON。這個訪問令牌包含偽裝的組：Everyone和Network。在安全策略的限制下，這個空會話將被授權(quán)訪問到上面兩個組有權(quán)訪問到的一切信息。1/15/202324電子科技大學(xué)成都學(xué)院空會話可以作什么？對于NT，在默認安全設(shè)置下，借助空連接可以列舉目標主機上的用戶和共享，訪問everyone權(quán)限的共享，訪問小部分注冊表等，并沒有什么太大的利用價值；對2000作用更小，因為在Windows2000和以后版本中默認只有管理員和備份操作員有權(quán)從網(wǎng)絡(luò)訪問到注冊表，而且實現(xiàn)起來也不方便，需借助工具。從一次完整的ipc$入侵來看，空會話是一個不可缺少的跳板。1/15/202325電子科技大學(xué)成都學(xué)院一些具體命令1.建立一個空會話注意：需要目標開放ipc$命令：netuse\\ip\ipc$""/user:""前邊引號“”內(nèi)為空密碼，后邊user:""引號中為空用戶名注意：上面的命令包括四個空格，net與use中間有一個空格，use后面一個，密碼左右各一個空格。

1/15/202326電子科技大學(xué)成都學(xué)院2查看遠程主機的共享資源命令：netview\\ip

解釋：前提是建立了空連接后，用此命令可以查看遠程主機的共享資源，如果它開了共享，可以得到如下面的結(jié)果，但此命令不能顯示默認共享。在\\*.*.*.*的共享資源 資源共享名類型用途注釋1/15/202327電子科技大學(xué)成都學(xué)院3查看遠程主機的當(dāng)前時間命令：nettime\\ip解釋：用此命令可以得到一個遠程主機的當(dāng)前時間。

4得到遠程主機的NetBIOS用戶名列表（需要打開自己的NBT）

命令：nbtstat-Aip

解釋：用此命令可以得到一個遠程主機的NetBIOS用戶名列表。

通過空連接，可以借助第三方工具對遠程主機的管理賬戶和弱口令進行枚舉。猜到弱口令便可進一步完成入侵，并植入后門。1/15/202328電子科技大學(xué)成都學(xué)院防范ipc$入侵1禁止空連接進行枚舉運行regedit

，找到如下主鍵

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA]

把RestrictAnonymous=DWORD的鍵值改為：1注意：如果設(shè)置為“1”，一個匿名用戶仍然可以連接到IPC$共享，但無法通過這種連接得到列舉SAM帳號和共享信息的權(quán)限；在Windows2000中增加了“2”，未取得匿名權(quán)的用戶將不能進行ipc$空連接。建議設(shè)置為1。若主鍵不存在，則新建一個再改鍵值。此外，也可以在本地安全設(shè)置中設(shè)置此項：在本地安全設(shè)置－本地策略－安全選項－'對匿名連接的額外限制'1/15/202329電子科技大學(xué)成都學(xué)院2禁止默認共享1）察看本地共享資源運行-cmd-輸入netshare2）刪除共享（重起后默認共享仍然存在）

netshareipc$/delete

netshareadmin$/delete

netsharec$/delete

netshared$/delete如果有e,f,……則可以繼續(xù)刪除

1/15/202330電子科技大學(xué)成都學(xué)院3）停止server服務(wù)

netstopserver/y（重新啟動后server服務(wù)會重新開啟）4）禁止自動打開默認共享（此操作并不能關(guān)閉ipc$共享）運行-regedit

server版:找到主鍵

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters]

將AutoShareServer（DWORD）的鍵值改為:00000000。1/15/202331電子科技大學(xué)成都學(xué)院pro版:找到如下主鍵

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters]

將AutoShareWks（DWORD）的鍵值改為:00000000。3關(guān)閉ipc$和默認共享依賴的服務(wù):server服務(wù)控制面板-管理工具-服務(wù)-找到server服務(wù)（右擊）-屬性-常規(guī)-啟動類型-選已禁用4設(shè)置復(fù)雜密碼，防止通過ipc$窮舉出密碼。1/15/202332電子科技大學(xué)成都學(xué)院3.5針對IIS漏洞攻擊3.5.1Unicode漏洞漏洞分析NSFOCUS安全小組發(fā)現(xiàn)IIS4.0和IIS5.0在Unicode字符解碼的實現(xiàn)中存在一個安全漏洞，導(dǎo)致用戶可以遠程通過IIS執(zhí)行任意命令。當(dāng)IIS打開文件時，如果該文件名包含unicode字符，它會對其進行解碼，如果用戶提供一些特殊的編碼，將導(dǎo)致IIS錯誤的打開或者執(zhí)行某些web根目錄以外的文件。1/15/202333電子科技大學(xué)成都學(xué)院3.5針對IIS漏洞攻擊后果通過漏洞，攻擊者可查看文件內(nèi)容、建立文件夾、刪除文件、拷貝文件且改名、顯示目標主機當(dāng)前的環(huán)境變量、把某個文件夾中的全部文件一次性拷貝到另外的文件夾中、把某個文件夾移動到指定的目錄、顯示某一路徑下相同文件類型的文件內(nèi)容等。1/15/202334電子科技大學(xué)成都學(xué)院漏洞成因影響版本中文IIS4.0+SP6中文WIN2000+IIS5.0中文WIN2000+IIS5.0+SP1臺灣繁體中文利用擴展Unicode字符（如用“../”取代“/”和“\”）進行目錄遍歷漏洞。“\”在WinNT4編碼為：%c1%9c，而在Win2000英文版編碼為：%c0%af。1/15/202335電子科技大學(xué)成都學(xué)院對于IIS5.0/4.0中文版，當(dāng)IIS收到的URL請求的文件名中包含一個特殊的編碼例如“%c1%hh”或者“%c0%hh”它會首先將其解碼變成:0xc10xhh，然后嘗試打開這個文件。Windows系統(tǒng)認為0xc10xhh