2022-01-05 入侵前的准备
⒈寻找目标,[命令提示符]中运行cd\ 后,再运行ping www.163.com ,可以看出www.163.com所对应的IP地址为220.181.28.54
在[命令提示符]中运行nslookup 可以查看本机所在域的DNS服务器。
在命令提示符“>”后运行www.sohu.com ,Addresses 后显示的信息就是www.sohu.com所用服务器群的IP地址。
⒉获取目标主机地理位置
通过IP地址数据库获取IP地址的地理位置,IP管理机构多在国外,所以这里介绍2个可以查到IP数据库的国内网站。
在Internet Explorer 浏览器输入网址“http: //www.intron.ac/cn/service/whois.php ”
或者输入网址“http: //ip.loveroot.com/index.php?job=search ”
⒊获取网站备案信息
一个网站在发布前需要向有关机构申请域名,申请到的域名保存在域名管理机构的数据库服务器中,会暴露出很多敏感信息。
在浏览器输入网址http: //www.cnnic.com.cn 打开中国互联网信息中心,在首页[WHOIS 查询]输入想查询的baidu.com.cn 。
4.检测系统漏洞
检测工具是扫描器,三项功能是能发现主机和网络,能发现主机运行哪些服务,通过测试服务发现漏洞。
NSS 网络安全扫描器,解压后不能立即运行,需要对其进行一些修改,设置环境变量,主要环境变量包括$TmpDir_NSS 使用临时目录,$YPX-ypx应用程序的目录,等。
Strobe (超级优化TCP 端口检测程序)
SATAN (安全管理员的网络分析工具)
Jakal 秘密扫描器,可以扫描在防火墙后的区域而不留下痕迹。
IdentTCPscan 可以识别指定TCP 端口进程的所有者功能,测定该进程的UID CONNECT 是一个bin/sh 程序,用途是扫描TFTP 服务子网。
FSPScan 用于扫描FSP 服务器,它会记录下所有访问用户的主机名。
XSCAN 扫描器如果找到一个脆弱的目标,会立即加入记录,可以一次扫描多台主机。
5.运用扫描器扫描共享资源
使用工具IPScan
打开IPScan 主窗口,在IP范围文本框输入起始IP和终止IP。
使用局域网查看工具LanSee 是一款查看局域网各种信息的工具。
无需安装即可运行,下载压缩包后,点击.exe 即可打开。
搜索工作组,搜索计算机,搜索共享资源,搜索共享文件夹。
运用MBSA 检测系统安全性
用户可以在微软公司网站http://www.microsoft.com /zh/cn/default.aspx 搜索下载MBSA 安装文件。
单击Scan a computer 超链接,
在computer name 文本框输入本地计算机名或网络中需要扫描的计算机。
在IP address中输入IP地址。
6.运用MBSA 检测系统安全性:
用户可以在微软公司网站http://www.microsoft.com/zh/cn/default.aspx 下载。
扫描单台计算机的操作步骤:
在Microsoft Baseline Security Analyze主窗口左侧的功能栏中单击Welcome超链接后,在右侧窗格中单击Scan a computer超链接,即可自动转入Pick a computer scan 窗口。
在Computer name 文本框输入本地计算机名称或网络中需要扫描的计算机名称,也可在IP address 文本框输入要扫描的网络计算机IP地址。
在Options选项组中选择需要的扫描选项后,单击Star scan 超链接,即可开始扫描指定的计算机并给出最终扫描结果。
对于扫描到的每一项漏洞,都列出了What was scanned 、Result details 、how to correct this.等超链接,单击这些超链接可以查看相应的内容。
7.扫描局域网多台计算机,在Microsoft Baseline Security Analyze主窗口中单击Pick
Multiple Computers to scan功能项。
在Domain name 下拉列表选择域名,或在IP address range 文本框输入需要扫描的IP地址范围。
在Options中设置需要扫描的计算机,单击Star scan 超链接,即可开始扫描IP地址范围内的计算机并给出扫描结果。
在Microsoft Baseline Security Analyze 主窗口中单击Pick a Security to view 超链接即可进入扫描列表窗口,在sort order 下拉列表框选择报告的排列次序。
单击需要查看的计算机名称超链接即可进入View a Security report 窗口查看报告。
RPC ( remote procedure call ,远程过程调用)是Windows 中使用的一个协议,RPC中处理通过TCP/IP消息交换部分有一个漏洞,如果利用此漏洞,攻击者就可能完全控制远程计算机。
微软的描述为:一种能允许分布式应用程序调用网络上不同计算机的可用服务的消息传递实用程序,在计算机的远程管理期间使用。
RPC服务不能在Windows 服务项中手动停止,可以用第三方工具停止。在Windows 2000 中禁用此服务后,明显特征是复制文件时鼠标右键的粘贴功能被禁用。
RPC 漏洞可以让入侵者进入Windows 2000、Windows xp 、Windows 2003server 等系统。攻击者发送特殊请求到远程机135端口,即可通过漏洞取得系统的控制权。
RPC漏洞扫描工具:Retinarpcdcom 用户根据扫描结果查找容易受到攻击的计算机,并及时采取补救。
双击retinarpcdcom.exe程序图标,即可打开主窗口,选中Rang scan 复选框,则可以设置扫描的IP范围。
还可以选中show only vulnerable servers (只列出容易受到攻击的服务器)等复选框,在Threads数值框中输入连接的线程数,在connect timeout 数值框设置连接延迟时间。
设置完毕,单击scan 开始对指定IP范围内的计算机扫描,在窗口下半部分会显示扫描进度和扫描结果。
针对RPC 漏洞存在的问题,用以下方法进行补救 : 下载补丁,在防火墙封堵135端口,利用Internet连接防火墙,使用防火墙关闭所有不必要端口,禁用DCOM 。
8.用Web DAV 扫描个人服务器
WebDAV 远程溢出攻击是最流行的黑客攻击方法之一,IIS5.0包含的WebDAV 组件不充分检查传递给部分系统组件的数据,黑客利用这个漏洞对webdav 进行缓冲区溢出攻击,并以web 进程权限在系统上执行任意指令,这种危害非常大。
Microsoft IIS 5.0是Windows 2000自带的一个网络信息服务器,其中包含http服务功能。
漏洞产生原因:webDAV 使用了ntdll.dll中的一些API函数,这些函数存在一个缓冲区溢出漏洞,而Microsoft IIS 5.0带有webDAV 组件,对于用户输入的传递给ntdll.dll程序的处理请求未做充分边界检查,远程入侵者可以通过向webDAV 提交一个精心构造的超长数据请求,导致发生缓冲区溢出,成功利用这个漏洞可以获得LocalSystem 权限,这意味着入侵者可以获得主机的安全控制权。
检测web DAV 漏洞有Ptwebdav 和webDAV Scan 两个工具,Ptwebdav 是一个专门用于远程检测Windows 2000IIS 5.0服务器是否存在webDAV 远程缓冲区溢出漏洞的工具,只要在其IP or hostname 文本框输入要检测的主机和IIS 服务端口,然后单击check 按钮,它每次只能检测一台计算机,如果要检测某一网段内的主机是否存在webDAV 漏洞,就要用到webDAVScan 了。
9.攻击webDAV 漏洞
进行攻击的常用工具有wb 和webdavx ,wb 是一个Win32 平台下已经编译好的针对英文版IIS 下webDAV 远程溢出攻击的程序,如果攻击成功,Netcat 的监听窗口会显示远程主机的shell 了。
webdavx .exe 是针对中文版服务器的溢出程序,只对中文版服务器有效,对中文版Windows 2000系统成功率最高。
以扫描到的主机192.168.0.3 为例,用工具webdavx.exe 对其进行攻击 : 先用webDAVScan 扫描找到IIS 存在,而且支持webDAV 的主机,在其中任意选择一台主机,在DOS 命令窗口运行webdavx 192.168.0.3命令,当屏幕上出现“waiting for iis restart…surrender”提示信息时,说明溢出成功,可以进入目标主机任意操作了。
10.webDAV 漏洞解决方案
安装补丁或手工修补,要完全关闭webDAV 包括的请求,需要修改注册表,启动注册表编辑器,搜索注册表的键值,HKEY_LOCAL_MACHINE \ SYSTEM\ Current ControlSet \ Services\W3SVC \Parameters ,找到后选择>编辑>增加值,在其中增加如下注册表键值:
Value name : DisableWebDAV
Data type:DWORD
Value data:1
然后重新启动IIS 设置生效。
本文来自博客园,作者:{admin-xiaoli},转载请注明原文链接:{https://www.cnblogs.com/crackerroot}
