經典攻擊入侵手段
(1)用"鉤子"工具在用戶終端上竊取超級用戶的密碼
其本質是一段用以處理系統消息的程序,通過系統調用,將其掛入系統。此種類程序(俗稱"鉤子")有很多,每種"鉤子"可以截獲並處理相應的消息,每當特定的消息發出,在到達目的窗口之前,鉤子程序先行截獲該消息、得到對此消息的控制權。此時在鉤子函數中就可以對截獲的消息進行加工處理,甚至可以強制結束消息的傳遞。
用於鍵盤敲擊的鉤子程序可以在windows系統或unix系統記錄下超級用戶的鍵盤輸入。
(2)利用系統漏洞獲得超級用戶的權限
下面是一些典型的系統漏洞:
域名服務系統BIND的弱點:nxt(在處理NXT記錄時存在漏洞,允許遠程攻擊者以運行DNS服務的身份(缺省為root)進入運行DNS服務的系統。) , in.named 守護進程的漏洞有洩漏root權限的危險。
微軟的IIS RDS 安全漏洞。
sadmind存在遠程溢出漏洞。
在存在sadmind漏洞的一些版本中如果傳送一個超長的緩存數據,會改寫堆棧指針,從而造成可執行任意代碼。因為sadmind以root身份來運行,因而這個漏洞會危及系統的最高安全。同時存在於某些系統內部的 mountd溢出漏洞,攻擊者通過修改堆數據有可能會獲得root特權。
NFS 以及WindowsNT 135-139服務端口(Windows2000的445服務端口),Unix NFS 的服務端口2049,還有蘋果機用戶支持基於IP文件共享的Appletalk over ip協議服務端口。這些服務的目的是讓用戶共享網絡資源,但不正確的配置,將有可能讓入侵者以root身份執行任意代碼。
許多網絡設備和網絡操作系統的SNMP(簡單網絡管理協議)在實現中,往往存在能進行SNMP寫操作的缺省community string。遠程攻擊者利用這些可寫操作的community string能夠無需任何認證直接影響設備或操作系統的運行狀態。這將導致攻擊者可以控制路由表和篡改ARP緩存等。
IMAP 和 POP 郵件服務器緩衝溢出漏洞和錯誤的配置存在的危險。
容易受攻擊的CGI程序和服務器端應用程序擴展。
在我們啟動Win2000到登陸驗證的提示界面時,任何用戶都可以通過"微軟拼音輸入法"、"全拼輸入法"以及"鄭碼"等任何一種進入到"輸入法幫?quot;中去,然後可以輕而易舉的進入系統了。如此,就可以成功繞過Win2000的用戶登錄機制並以管理員的權限進入到系統中了。如果主機開放了3389端口的話,那麼遠程主機就可以利用這個漏洞進行攻擊了。
(3)利用專門工具在網絡上進行竊聽
當主機工作在監聽模式下,所有的在此物理信道上傳輸的信息均可被應用程序接收。在通常的網絡環境下,用戶的所有信息,包括用戶名、密碼都是以明文傳輸的。這正是黑客興趣所在。有了用戶名和密碼,黑客就可以隨心所欲了。
(4)利用專門工具強行破解超級用戶的密碼
有三種方法:
一是通過網絡監聽非法得到用戶口令,這類方法有一定的局限性,但危害性極大,監聽者往往能夠獲得其所在網段的所有用戶賬號和口令,對局域網安全威脅巨大;
二是在知道用戶的賬號後(如電子郵件@前面的部分)利用一些專門軟件強行破解用戶口令,這種方法不受網段限制,但黑客要有足夠的耐心和時間;
三是在獲得一個服務器上的用戶口令文件(此文件成為Shadow文件)後,用暴力破解程序破解用戶
(5)用戶無意識的行為給網絡造成後門漏洞
網絡中的用戶有時為了自己上網方便,會用自己的PC撥號上網或者連接非法代理服務器去上網,這樣就給外面的黑客攻擊內網帶來可乘之機。在網絡文件系統中,系統管理員將目錄和文件以可寫的方式調出,將未加Shadow的用戶密碼文件以明碼方式存放在某一目錄下,這都會給黑客帶來可乘之機,應及時加以修正。
(6)使用木馬工具竊取超級權限
特洛伊木馬程序常被偽裝成工具程序或者遊戲等誘使用戶打開帶有特洛伊木馬程序的附件,一旦用戶打開了這些附件或者執行了這些程序之後,它們就會像古特洛伊人在敵人城外留下的藏滿士兵的木馬一樣留在自己的電腦中,並在自己的計算機系統中隱藏一個可以在windows啟動時悄悄執行的程序。當您連接到網絡上時,這個程序就會通知黑客,來報告您的IP地址以及預先設定的端口。
而在內網中,這種小程序很容易因為大家的疏於防範而得逞。
攻擊策略
攻擊WIN95/98/ME
A.WIN9X/ME遠程漏洞發掘和利用
A.1 直接連接到WIN9X/ME的共享資源
A.2 WIN9X/ME後門服務器和木馬
A.3 已知服務器程序的脆弱點
A.4 WIN9X拒絕服務
攻擊WINNT
A.索取ADMINISTRATOR帳號
A.1 遠程漏洞發掘:拒絕服務和緩衝區溢出漏洞
A.2 特權提升
B.鞏固得到的特權
B.1 發掘信任漏洞
B.2 SNIFFER
B.3 遠程控制和後門
B.4 端口重定向
B.5 一般性特權破壞對策
C.ROOTKIT:最厲害的終極破壞
D.掩蓋蹤跡
D.1 禁止審計
D.2 清空日誌
攻擊WIN2K
A.踩點
B.掃瞄
C.查點
D.滲透
D.1 NETBIOS-SMB密碼猜解
D.2 SNIFFER
D.3 攻擊IIS 5
D.4 遠程緩衝區溢出
E.拒絕服務
F.特權提升
G.偷竊
G.1 偷WIN2K密碼散列
G.2 發掘信任漏洞
H.後門
I.掩蓋蹤跡
I.1 禁止審計
I.2清空日誌
攻擊UNIX
A.取得ROOT權
B.遠程訪問和本地訪問
C.重點的遠程攻擊
C.1 數據驅動攻擊
C.2 得到自己的SHELL,最典型的方法:反向TELNET和反向通道
C.3 常用的遠程攻擊(1) TFTP(2) SENDMAIL(3) RPC(4) NFS(5) X-WINDOWS(6) DNS劫持(其實就是BIND漏洞 )
D.本地攻擊
D.1 弱口令
D.2 本地緩衝區溢出
D.3 SHELL攻擊
E.獲得ROOT權之後 建立ROOTKIT:
(1)木馬,像修改過的LOGIN,NETSTAT,PS等
(2)後門,像INETD配置表項中插入非法命令
(3)SNIFFER
(4)系統日誌清理程序
