资源描述
信息安全培训系列之六梁华金CISSP,BS7799LA踩点踩点扫描扫描获取访问权获取访问权获取控制权获取控制权安装后门安装后门清除痕迹清除痕迹转移目标转移目标破坏性攻击破坏性攻击远程控制远程控制局域网嗅探局域网嗅探域名探测网络映射Ping Sweep端口扫描OS探测查点漏洞扫描口令破解网络欺骗数据驱动会话劫持DoSDDoS特权提升清除日志Rootkit远程ShellTrojan代理跳板CGI后门恶意代码l踩点及对策踩点及对策l扫描及对策扫描及对策l嗅探及对策嗅探及对策l破坏性攻击破坏性攻击l获取访问权攻击获取访问权攻击l提升权限攻击提升权限攻击l清除痕迹清除痕迹l后门技术及对策后门技术及对策#whois-h domain:SJTU.EDU.CNinetnum:202.120.0.0-202.120.63.255netname:SJTU-CNorgname:ShangHai Jiao Tong Universitystreet:1954#,Huashan Rd,Xuhui Districtcity:Shanghaiprovince:SHpostalcode:200030admin-c:ZG1-CNtech-c:ZG1-CNnserver:nserver:c-orgname:上海交通大学c-street:徐汇区华山路1954号$nslookupnslookupDefault Server:Address:202.112.*.*set type=ns set type=ns .com Server:Address:202.112.*.* origin= server dns.colababyserver .com ls-d colababyls-d .com ls-d dnsdump ls-d dnsdump Fscan bqr c 300 p 1-445,3389 u 88,135-137,161,500 10.0.0.1-99E:toolsnmapnmap-sT 192.168.0.9-p 21-25,80,139,8080Starting nmap V.2.54BETA27(www.insecure.org/nmap)Interesting ports on ANTIHACKER(192.168.0.9):Port State Service21/tcp open ftp22/tcp filtered ssh23/tcp filtered telnet24/tcp filtered priv-mail25/tcp filtered smtp80/tcp filtered http139/tcp open netbios-ssn8080/tcp filtered http-proxyNmap run completed-1 IP address(1 host up)scanned in 4 secondsc:telnet 192.168.0.241Trying 192.168.0.241.正在连接到192.168.0.241.Escape character is.SUN OS 5.6(ttyp2)login:c:nc-v 192.168.0.240 21yaojiang 192.168.0.240 21(ftp)open220 yaojiang Microsoft FTP Service(Version 5.0).rootaudit zyj#telnet localhost 25Trying 127.0.0.1.Connected to localhost.Escape character is.220 audit ESMTP Sendmail 8.9.3/8.9.3;Mon,19 Nov 2001 17:59:41+0800C:ping 192.168.0.162Pinging 192.168.0.162 with 32 bytes of data:Reply from 192.168.0.162:bytes=32 time10ms TTL=128Reply from 192.168.0.162:bytes=32 timeping 192.168.0.241Pinging 192.168.0.241 with 32 bytes of data:Reply from 192.168.0.241:bytes=32 time10ms TTL=255Reply from 192.168.0.241:bytes=32 timenet use RemoteServeripc$/user:命令成功完成。C:net view RemoteServer在 RemoteServer 的共享资源资源共享名 类型 用途 注释-My Documents Disktools Disktmp DiskPrinter Print Acrobat PDFWriter命令成功完成。For/L%I in(1,1,254)do nat u userlist p passdic 192.168.0.%I natresult.txt colaaudit cola$/usr/sbin/rpcinfo/usr/sbin/rpcinfo-p 192.168.0.37-p 192.168.0.37 program vers proto port 100000 4 tcp 111 portmapper 100000 3 tcp 111 portmapper 100000 2 tcp 111 portmapper 100000 4 udp 111 portmapper 100000 3 udp 111 portmapper 100000 2 udp 111 portmapper 100024 1 udp 32779 status 100024 1 tcp 32775 status 100133 1 udp 32779 100133 1 tcp 32775 100021 1 udp 4045 nlockmgr 100021 2 udp 4045 nlockmgr 100021 3 udp 4045 nlockmgr 100021 1 tcp 4045 nlockmgr 100021 2 tcp 4045 nlockmgr 100021 3 tcp 4045 nlockmgr 100005 1 udp 32781 mountd 100005 2 udp 32781 mountd C:WINNTsystem32LogFilesW3SVC1find/i/n cmd.exe ex01081*.log-EX010810.LOG-EX010811.LOG5822001-08-11 17:04:12 202.*.*.245-202.*.*.74 80 GET/cgi-bin/cmd.exe-404-7282001-08-11 17:07:04 202.*.*.245-202.*.*.74 80 GET/scripts/cmd.exe-404-EX010812.LOG-EX010813.LOG3902001-08-13 14:39:31 61.154.182.9-202.*.*.74 80 GET scripts/.%5c%5c./winnt/system32/cmd.exe/c+dir 404-共享式共享式 Hub A B C D 数据帧 数据帧 数据帧 数据帧 丢弃丢弃 丢弃丢弃 接受接受 E:toolsngrep-iw user|pass tcp port 21interface:DevicePacket_1A599C27-5ED7-4B72-B5D4-150916D53E3Afilter:ip and(tcp port 21)match:(user|passW)|(Wuser|pass$)|(Wuser|passW)#T 192.168.0.164:1205-192.168.0.245:21 AP USER colababy.#T 211.80.38.164:1205-202.*.*.245:21 AP PASS iloveyou.#T 202.*.*.245:21-211.80.38.164:1205 AP 230 User colababy logged in.#InternetInternet Intruder Master Master Daemon Daemon Daemon Daemon Daemon Daemon Victim root:iKjDBNKWOUkVo:0:1:Super-User:/:/bin/shroot:iKjDBNKWOUkVo:Administrator:500:EF60D54BF224CDAB2F752351E0EE69CC:AE95464718DA5B8EA3D90DF9943A08A8:DESuppercase(password1.7)magic wordLM_hash1.8DESuppercase(password8.14)LM_hash9.16KEY KEYmagic word enum-b-u administrator 192.168.0.1-“管理工具”-“组件服务”。在“控制台根目录”树的“组件服务”-“计算机”-“、我的电脑”上单击 右键,选“属性”。选取“默认属性”页,取消“在此计算机上启用分布式 COM”的复选框。点击下面的“确定”按钮,并退出“组件服务”。(注意:禁用DCOM可能导致某些应用程序运行失败和系统运行异常。不推荐)Internet ExplorerInternet Explorer:工具工具-Internet-Internet选项选项-安全安全-Internet-Internet-自定义级别自定义级别-脚本脚本OperaOpera:文件文件-快速参数快速参数-允许使用允许使用Java Java 文件文件-快速参数快速参数-允许使用插件允许使用插件 文件文件-快速参数快速参数-允许使用允许使用java scriptjava script 工作站服务器 Computer Economics 2002年初的调查统计显示:年初的调查统计显示:Code Code Red-26Red-26亿美元损失亿美元损失NimdaNimda 5.3 5.3亿美元损失,亿美元损失,2424小时内造成小时内造成220220万个系统感染万个系统感染Blast-Blast-美国微软公司、联邦调查局以及美国情报单位根据美国微软公司、联邦调查局以及美国情报单位根据收集的证据认为收集的证据认为BlasterBlaster病毒很可能是一场病毒很可能是一场“恐怖攻击恐怖攻击”root wipe-1.00#w 6:42pm up 3 days,1:21,1 user,load average:0.00,0.00,0.00USER TTY FROM LOGIN IDLE JCPU PCPU WHATzyj pts/0 211.80.38.164 6:16pm 0.00s 0.11s 0.02s wroot wipe-1.00#./wipe u zyj root wipe-1.00#w 7:46pm up 3 days,2:26,0 users,load average:0.00,0.00,0.00USER TTY FROM LOGIN IDLE JCPU PCPU WHATzyj zyj$ln s/dev/null/.bash_history 得到域名或 IP 踩点踩点 得到用户的 Email 扫描扫描 得到用户账号 远程口令猜解 攻击网络服务 DoS 攻击 获得访问权 得到开放端口信息 提升权限 获得控制权 攫取 SAM 信息 清除痕迹 安装后门 发送恶意邮件 攻击攻击 网络资源信息 获取网络资源 本地口令猜解 嗅探嗅探 安装跳板 获得账号口令 获得 SAM 信息 安装 Sniffer 系统崩溃 获得控制权 远程控制 转移目标 直接在局域网内嗅探 其它手段 Q&A?
展开阅读全文