入侵技术原理ppt课件.ppt

《入侵技术原理ppt课件.ppt》由会员分享，可在线阅读，更多相关《入侵技术原理ppt课件.ppt（77页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、.主要攻击类型1、DOS命令攻击: (1) 系统内部命令 (2)系统外部命令,需要下载2、木马攻击3、分布式工具攻击端口扫描端口扫描httpftptelnetsmtp二二.黑客攻击一般过程黑客攻击一般过程黑客攻击一般过程黑客攻击一般过程口令暴力攻击口令暴力攻击用户名用户名:john口令口令:john1234黑客攻击一般过程黑客攻击一般过程用用john登录登录服务器服务器利用漏洞获得利用漏洞获得超级用户权限超级用户权限留后门留后门隐藏用户隐藏用户更改主页信息更改主页信息 网络攻击的步骤网络攻击的步骤攻击者在一次攻击过程中的通常做法是：首先隐藏位置，接着网络探测和资料收集、对系统弱点进行挖掘、获得

2、系统控制权、隐藏行踪，最后实施攻击、开辟后门等七个步骤，如右图所示。1隐藏位置 攻击者经常使用如下技术隐藏其真实的IP地址或者域名：利用被侵入的主机作为跳板，如在安装Windows的计算机内利用Wingate软件作为跳板，利用配置不当的Proxy作为跳板；使用电话转接技术隐蔽自己，如利用800电话的无人转接服务联接ISP；盗用他人的账号上网，通过电话联接一台主机，再经由主机进入Internet；免费代理网关；伪造IP地址；假冒用户账号。2网络探测和资料收集网络探测和资料收集网络探测和资料收集主要是为了寻找目标主机和收集目标信息。攻击者首先要寻找目标主机并分析目标主机。在Internet上能真正

3、标识主机的是IP地址，域名是为了便于记忆主机的IP地址而另起的名字，只要利用域名和IP地址就可以顺利地找到目标主机。当然，知道了要攻击目标的位置还是远远不够的，还必须将主机的操作系统类型及其所提供服务等资料作个全面的了解，为攻击作好充分的准备。攻击者感兴趣的信息主要包括：操作系统信息、开放的服务端口号、系统默认账号和口令、邮件账号、IP地址分配情况、域名信息、网络设备类型、网络通信协议、应用服务器软件类型等。步骤：锁定目标、服务分析 、系统分析 、获取账号信息 、获得管理员信息 信息的收集信息的收集并不对目标产生危害，只是为进一步的入侵提供有用信息。黑客可能会利用下列的公开协议或工具，收集驻留

4、在网络系统中的各个主机系统的相关信息： （1）TraceRoute程序 能够用该程序获得到达目标主机所要经过的网络数和路由器数。 （2）SNMP协议 用来查阅网络系统路由器的路由表，从而了解目标主机所在网络的拓扑结构及其内部细节（3）DNS服务器 该服务器提供了系统中可以访问的主机IP地址表和它们所对应的主机名。 （4）Whois协议 该协议的服务信息能提供所有有关的DNS域和相关的管理参数。 （5）Ping实用程序 可以用来确定一个指定的主机的位置或网线是否连通。 3弱点挖掘弱点挖掘系统中漏洞的存在是系统受到备种安全威胁的根源。外部攻击者的攻击主要利用了系统提供的网络服务中的漏洞；内部人员作

5、案则利用了系统内部服务及其配置上的漏洞，而拒绝服务攻击主要是利用资源分配上的漏洞，长期占用有限资源不释放，使其它用户得不到应得的服务，或者是利用服务处理中的漏洞，使该服务崩溃。攻击者攻击的重要步骤就是尽量挖掘出系统的弱点/漏洞，并针对具体的漏洞研究相应的攻击方法。常见的漏洞有：系统或应用服务软件漏洞。 主机信任关系漏洞。 寻找有漏洞的网络成员。 安全策略配置漏洞。 通信协议漏洞。 网络业务系统漏洞。主要探测的方式 （1）自编程序 对某些系统，互联网上已发布了其安全漏洞所在，但用户由于不懂或一时疏忽未打上网上发布的该系统的“补丁”程序，那么黒客就可以自己编写一段程序进入到该系统进行破坏。 （2）

6、慢速扫描 由于一般扫描侦测器的实现是通过监视某个时间段里一台特定主机发起的连接的数目来决定是否在被扫描，这样黑客可以通过使用扫描速度慢一些的扫描软件进行扫描。 （3）体系结构探测 黑客利用一些特殊的数据包传送给目标主机，使其作出相对应的响应。由于每种操作系统的响应时间和方式都是不一样的，黒客利用这种特征把得到的结果与准备好的数据库中的资料相对照，从中便可轻而易举地判断出目标主机操作系统所用的版本及其他相关信息。 （4）利用公开的工具软件 像审计网络用的安全分析工具SATAN、Internet的电子安全扫描程序IIS等一些工具对整个网络或子网进行扫描，寻找安全方面的漏洞。4获得控制权获得控制权攻

7、击者要想入侵一台主机，首先要有该主机的一个账号和口令，再想办法去获得更高的权限，如系统管理账户的权限。获取系统管理权限通常有以下途径：获得系统管理员的口令，如专门针对root用户的口令攻击；利用系统管理上的漏洞：如错误的文件许可权，错误的系统配置，某些SUID程序中存在的缓冲区溢出问题等；让系统管理员运行一些特洛伊木马程序，使计算机内的某一端口开放，再通过这一端口进入用户的计算机。 5隐藏行踪隐藏行踪作为一个入侵者，攻击者总是惟恐自己的行踪被发现，所以在进入系统之后，聪明的攻击者要做的第一件事就是隐藏自己的行踪，攻击者隐藏自己的行踪通常要用到如下技术：连接隐藏，如冒充其他用户、修改 LOGNA

8、ME环境变量、修改utmp日志文件、使用IP SPOOF技术等；进程隐藏，如使用重定向技术减少PS给出的信息量、用特洛伊木马代替PS程序等；篡改日志文件中的审计信息；改变系统时间，造成日志文件数据紊乱，以迷惑系统管理员。6实施攻击实施攻击不同的攻击者有不同的攻击目的，可能是为了获得机密文件的访问权，也可能是为了破坏系统数据的完整性，也可能是为了获得整个系统的控制权（系统管理权限），以及其他目的等。一般说来，可归结为以下几种方式：下载敏感信息；在目标系统中安装探测器软件，以便进一步收集攻击者感兴趣的信息，或进一步发现受损系统在网络中的信任等级；攻击其它被信任的主机和网络；使网络瘫痪；修改或删除重

9、要数据。7开辟后门开辟后门一次成功的入侵通常要耗费攻击者的大量时间与精力，所以精于算计的攻击者在退出系统之前会在系统中制造一些后门，以方便自己的下次入侵，攻击者设计后门时通常会考虑以下方法：放宽文件许可权；重新开放不安全的服务，如REXD、TFTP等；修改系统的配置，如系统启动文件、网络服务配置文件等；替换系统本身的共享库文件；安装各种特洛伊木马程序，修改系统的源代码；安装sniffers。典型的网络攻击示意图典型的网络攻击示意图选中选中攻击攻击目标目标获取普通获取普通用户权限用户权限擦除入擦除入侵痕迹侵痕迹安装后安装后门新建门新建帐号帐号获取超级获取超级用户权限用户权限攻击其它攻击其它主机主

10、机获取或获取或修改信息修改信息从事其它从事其它非法活动非法活动扫描扫描网络网络利用系统已知的漏洞、通过输入区向CGI发送特殊的命令、发送特别大的数据造成缓冲区溢出、猜测已知用户的口令，从而发现突破口。实例1:远程桌面登陆略看操作.实例2:绕过windows 2000登陆验证验证机制受影响的软件及系统：=- Microsoft Windows 2000 - Microsoft Windows 2000 with SP1这个问题影响所有使用简体中文输入法的Windows 2000系统。很多微软自带的简体中文输入法中的帮助栏包含了一些选项可以打开浏览器窗口或者进行一些设置。正常情况下，在用户未登录进

11、系统时，用户不应该被允许访问这些选项。但是，在Windows 2000进行登录验证的提示界面下，用户可以打开各种输入法的帮助栏，并可以利用其中的一些功能访问文件系统。这也就绕过了Windows 2000的登录验证机制，并能以管理员权限访问系统。续通常攻击者只有获得对系统的物理访问权限才可以利用此漏洞进行攻击，但是，如果系统安装了Terminal Service (终端服务)，攻击者也可能通过网络进行远程攻击。测试方法：=1. 在Windows 2000登陆界面将光标移至用户名输入框，按键盘上的Ctrl+Shift键，这时在缺省的安装状态下会出现输入法状态条(例如全拼，双拼，郑码等等) 2. 将

12、鼠标移至输入法状态条点击鼠标右键，在出现的对话框中选择帮助帮助，选择操作指南操作指南或输入法入门（微软拼音输入法和智能ABC没有这个选项），在出现的操作指南或输入法入门窗口中会出现几个按钮，在选项选项栏中可以对网络设置进行修改。 3. 在窗口的标题栏上右键，选择跳至跳至URL.，在对话框中输入c:等路径等路径，就可以看到目录内容。尽管不能直接进入目录、打开文件、执行程序，但是可以进行更名、删更名、删除、共享等操作。除、共享等操作。 也可以在帮助文件中查找链接，在链接上按Shift+鼠标左键，可以打开一个可以打开一个IE的窗口的窗口。在里面可以以及网络邻居，以及网络邻居，访问控制面板等资源，也可

13、以打开执行任意浏览本地硬盘访问控制面板等资源，也可以打开执行任意浏览本地硬盘程序。程序。 4. 对于安装了Service Pack 1的Windows 2000系统，在IE窗口中不能直接进入目录，打开文件也不能执行程序。但是仍然可以删除或者拷贝程序，攻击者也可以通过将重要目录/文件设置成共享来远程访问。解决办法:方法一：Windows系统的输入法文件的后缀是*.ime ，在Windows2000系列中是放置在本身安装目录（例如：C:WINNT）中的system32文件夹中，一共有六个文件分别对应的是：WINABC.IME 智能ABC输入法PINTLGNT.IME 微软拼音输入法WINGB.IM

14、E 内码输入法WINPY.IME 全拼输入法WINSP.IME 双拼输入法WINZM.IME 郑码输入法目前发现微软拼音输入法和智能ABC输入法不受此问题影响。NSFOCUS安全小组建议您将其它输入法文件删除或者改名存放。对于其它的的微软以及第三方输入法，也可能存在问题，建议用户根据测试步骤中的介绍自行检查。方法二：因为这些操作是通过调用输入法的帮助文件来进行的。您也可以通过删除或者重命名输入法的帮助文件来加以解决。经过搜索Windows2000有将近几百个帮助文件，其中输入法分别对应的是安装目录(例如：C:WINNT)中help文件夹中：WINIME.CHM 输入法操作指南WINSP.CHM

15、 双拼输入法帮助WINZM.CHM 郑码输入法帮助WINPY.CHM 全拼输入法帮助WINGB.CHM 内码输入法帮助对于其它的的微软以及第三方输入法，也可能存在问题，建议用户根据测试步骤中的介绍自行检查。方法三:安装补丁:提供了补丁程序下载地址，简体中文Windows 2000 : http:/ 2000 : http:/ 2000系统的用户尽快下载并安装相应的补丁IPCIPC$(Internet Process Connection) 是共享“命名管道”的资源，它是为了让进程间通信而开放的命名管道，通过提供可信任的用户名和口令，连接双方可以建立安全的通道并以此通道进行加密数据的交换，从而实

16、现对远程计算机的访问。IPC$是NT/2000的一项新功能，它有一个特点，即在同一时间内，两个IP之间只允许建立一个连接。NT/2000在提供了ipc$功能的同时，在初次安装系统时还打开了默认共享，即所有的逻辑共享(c$,d$,e$)和系统目录winnt或windows (admin$)共享。所有的这些，微软的初衷都是为了方便管理员的管理，但在有意无意中，导致了系统安全性的降低。 会话过程会话过程在Windows NT 4.0中是使用挑战响应协议与远程机器建立一个会话的，建立成功的会话将成为一个安全隧道，建立双方通过它互通信息，这个过程的大致顺序如下： 1）会话请求者（客户）向会话接收者（服务

17、器）传送一个数据包，请求安全隧道的建 立； 2）服务器产生一个随机的64位数（实现挑战）传送回客户； 3）客户取得这个由服务器产生的64位数，用试图建立会话的帐号的口令打乱它，将结果返回到服务器（实现响应）； 4）服务器接受响应后发送给本地安全验证（LSA），LSA通过使用该用户正确的口令来核实响应以便确认请求者身份。如果请求者的帐号是服务器的本地帐号，核实本地发生；如果请求的帐号是一个域的帐号，响应传送到域控制器去核实。当对挑战的响应核实为正确后，一个访问令牌产生，然后传送给客户。客户使用这个访问令牌连接到服务器上的资源直到建议的会话被终止。 空会话空会话空会话是在没有信任的情况下与服务器建

18、立的会话（即未提供用户名与密码），但根据WIN2000的访问控制模型，空会话的建立同样需要提供一个令牌，可是空会话在建立过程中并没有经过用户信息的认证，所以这个令牌中不包含用户信息，因此，这个会话不能让系统间发送加密信息，但这并不表示空会话的令牌中不包含安全标识符SID（它标识了用户和所属组）对于一个空会话，LSA提供的令牌的SID是S-1-5-7，这就是空会话的SID，用户名是：ANONYMOUS LOGON（这个用户名是可以在用户列表中看到的，但是是不能在SAM数据库中找到，属于系统内置的帐号），这个访问令牌包含下面伪装的组： Everyone Network 空会话的用途空会话的用途对于

19、NT，在默认安全设置下，借助空连接可以列举目标主机上的用户和共享，访问everyone权限的共享，访问小部分注册表等，并没有什么太大的利用价值；对2000作用更小，因为在Windows 2000 和以后版本中默认只有管理员和备份操作员有权从网络访问到注册表，而且实现起来也不方便，需借助工具。 实例3:建立超级隐身帐户1.用x-scan等端口扫描工具,扫描远程主机(比如局域网模拟机ip172.16.22.254)的漏洞.2.利用扫描出的漏洞(比如帐户信息用户名:administrator 密码为弱口令)与远程主机建立非空连接:Net use 172.16.22.254ipc$ “”/user:”

20、administrator”3.利用pstools黑客工具登陆,先把pstools复制到某个盘,比如c: 在开一个cmd 转到c:pstools输入 psexec 172.16.22.254 cmd 得到对方一个cmd shell4.建立超级隐身帐户: (1)打开注册表编辑器:开始-运行 cmd regedt32,并且把administrators组提升为完全权限. (2)新建一个带$的帐号(如crz$) net user crz$ 123 /add (123是密码) (3) 打开注册表regedit,把帐户crz$克隆成管理员权限 ,复制F值(4)导出提权后的帐户的注册表文件的两个键值 (n

21、ame 和user)(5)删除帐户crz$ net user crz$ /del(6)导入注册表文件键值 (name 和user)到远程主机演示.权限提升权限提升 localgroup 提权2.注册表提权3外部工具提权ERunAsXWindows的漏洞：可以将任意用户提升到SYSTEM级别的权限。漏洞出在smss.exe中的DEBUG子系统，所有普通用户都可以通过该漏洞获得对系统中任意进程或线程句柄的控制，从而可以以SYSTEM或管理员权限执行任意命令。使用方法使用方法假设我们已经获得一台机器上的一个GUEST用户（或其他普通用户），现在我们要这个工具来获得系统最高权限。使用方法使用方法1.把ERunAsX.exe和ERunAsX.dll这两个文件复制到目标主机上可访问的目录下，例如C:下；2.以GUEST身份运行“ERunAsX 要执行命令”，例如“ERunAsX cmd.exe”，这时执行的命令是以SYSTEM权限运行的；影响影响1）Windows XP不受这个漏洞的影响；2）在系统中运行这个程序会引起系统不稳定，而且对每一个系统进程只能操作一次，第二次运行ERunAsX时需要在第二个参数位置指定另外一个系统进程的PID；