黑客老鸟讲入侵攻击：通通透透聊踩点

http://www.360doc.com/UserHome/720362
判官注：From 51cto，佩服子明，很多网友对《平凡黑客精彩人生》系列文章反响热烈，在了解黑客生活的同时，网友们纷纷表示想知道黑客到底是怎样“工作”的？“工作”细节又是什么？为此，为大家专门介绍另一个系列《黑客老鸟讲入侵攻击》文章，主要是按黑客入侵的实际过程给广大网友展示各种常见黑客技术及其理论，目的并不是崇尚黑客攻击，而是让更多企业的网管人员了解应该如何做好防范，避免黑客攻击，用子明的话说“不要等到亡羊补牢时才感慨万千”。本文对黑客入侵的第一个步骤“踩点”的介绍。
一、黑客常见攻击步骤
踩点：主动或被动的获取信息的情报工作
扫描：主要用于识别所运行的 ping 扫描和端口扫描
获取访问权限：攻击识别的漏洞，以获取未授权的访问权限，利用换用缓冲区溢出或蛮力攻击破解口令，并登陆系统。
保持访问权限：上传恶意软件，以确保能够重新进入系统   在系统上安装后门。
消除痕迹：抹除恶意活动的痕迹，删除或修改系统和应用程序日志中的数据。
从基本的黑客入侵行为分析来看，一般情况下黑客对任何一个目标主机或目标站点下手前，都要先对操作系统进行踩点工作。到底什么是操作系统踩点呢？这里给大家讲述一下有关踩点方面的知识，本系列主要面对一些网络爱好者和一些网络工作者。
乍看踩点，也许你会联想到抢劫、偷窃等行为，没错，踩点就是暗中观察的意思。在劫匪打劫银行时，肯定会考虑押运路线和运送时间，摄象头的位置和摄象的范围、银行出纳人员来接款的人数等等，当然还要包括成功抢劫后的逃跑路线等。这些是事前的调查工作，完美的事前策划是成功的开始，其实黑客入侵踩点就是指这个。
二、踩点的方式
踩点主要有被动和主动两种方式：
被动方式：嗅探网络数据流、窃听；
主动方式：从arin和whois数据库获得数据，查看网站源代码，社交工程
黑客通常都是通过对某个目标进行有计划、有步骤的踩点，收集和整理出一份目标站点信息安全现状的完整剖析图，结合工具的配合使用，来完成对整个目标的详细分析，找出可下手的地方。
三、踩点的作用：
通过踩点主要收集以下可用信息：
网络域名：圈子里面叫“玉米”，就是（DNS-Domain Name System)域名系统、网络地址范围、关键系统（如名字服务器、电子邮件服务器、网关等）的具体位置。
内部网络：基本上跟外网比较相似，但是进入内网以后主要是靠工具和扫描来完成踩点
外部网络：目标站点的一些社会信息，包括企业的内部专用网，一般以vpn.objectsite.com或objectsite.com/vpn，办公网oa.objectsite.com 或objectsite.com/oa。这些都是我们可以获得目标站点信息的主要途径。
企业的合作伙伴，分支机构，等等其他公开资料：通过搜索引擎（google ，baidu，sohu ，yahoo等）来获得目标站点里面的用户邮件列表、即时消息，新闻消息，员工的个人资料。
以上这些都是入侵渗透测试所必须的重要信息，也是黑客入侵的第一步。我们完全可以通过whois查询工具，来把目标站点的在线信息查出来，需要收集的信息包括internet register数据，（目标站点上注册者的注册信息），目标站点组织结构信息，网络地址块的设备，联系人信息。个人推荐一个可用工具Sam Spade，它的下载地址：http://samspade.org.
四、针对操作系统分类踩点
1、目前可用的手段
根据目前主流的操作系统踩点主要有主动和被动两类。
被动操作系统踩点主要是通过嗅探网络上的数据包来确定发送数据包的操作系统或者可能接收到的数据包的操作系统。优点是用被动踩点攻击或嗅探主机时，并不产生附加的数据包，主要是监听并分析，一般操作是先攻陷一台薄弱的主机，在本地网段内嗅探数据包，以识别被攻陷主机能够接触到的机器操作系统的类型，最佳工具，个人推荐cain，此工具相关使用和功能介绍，我会在工具使用篇中进行讲述。主动操作系统识别是主动产生针对目标机器的数据包进行分析和回复。缺点：很容易惊动目标，把入侵者暴露给ids系统。
2、识别操作系统类型
黑客入侵中最关键的环节就是操作系统的识别。通过端口扫描软件来检查开放的端口，一些操作系统默认情况下监听的端口与其他操作系统不同，根据这个我们能探明出对方使用的是什么操作系统。根据操作系统的一些漏洞，可以编写出相应的的expolit。如果不会写程序可以使用漏洞扫描工具对目标主机的入侵，最终取得目标主机上的核心资料或者具有商业价值的东西。
3、获取信息
操作系统信息获取过程通常黑客是通过扫描来完成，可用的手段有ping扫描和端口扫描。
ping命令：扫描操作很简单，命令：ping c:\ping www.objectsite.com，目的主要就是靠icmp得到目标站点的信息、主机连接情况等，通过返回的ttl值得到对方主机的操作系统，关于PING命令网络上有详细的说明，这里就不再过多介绍。
端口扫描：可以通过工具的扫描结果，得到主机属于unix平台还是win平台，开放哪些端口。比如开放了1433，就可以判断出主机安装有ms sql数据库，然后再通过sql扫描软件或者其他工具来测试出目标主机是否存在默认帐号和空口令，例如用户名为sa ，口令为空，很多人在装完数据库以后，在用户名和密码设置的时候。设置的过为简单。通过扫描也能在踩点步骤中发挥重大的作用。个人推荐superscan工具，优点是一个快速而准确的图形化tcp端口扫描器，下载地址：www.xfocus.net
五、实例分析扫描结果
附上扫描结果，然后根据tcp端口列表知道目标主机开放了哪些端口。
* + 221.130.191.2 |___ 20 File Transfer [Default Data] |___ 21 File Transfer Protocol [Control]（文件上传服务器） |___ 57 any private terminal access |___ 87 any private terminal link |___ 117 UUCP Path Service |___ 152 Background File Transfer Program |___ 182 Unisys Audit SITP …… |___ 9876 Session Director |___ 25000 icl-twobase1 * + 221.130.191.3 |___ 21 File Transfer Protocol [Control]（文件传输服务器） |___ 23 Telnet |___ ................User Access Verification....Username:
..Username: |___ 514 cmd * + 221.130.191.6 |___ 19 Character Generator |___ 21 File Transfer Protocol [Control] …… |___ 1435 IBM CICS |___ 1465 Pipes Platform
我们通过上述的扫描结果，加以分析，能知道目标机器是什么操作系统，win还是unix 或者linux；是否安装mysql数据库、mssql数据库；邮件服务器的版本信息；是否有安装server-u，ftp文件服务器的版本号等。通过扫描1433端口，再使用mssql专用入侵工具来完成针对目标主机的入侵。
通常，我们可以利用踩点得到的信息，寻找可利用的漏洞和下手处，最终达到占有并控制目标主机的目的。
请关注下一篇：《黑客老鸟讲入侵攻击：简简单单讲扫描》
判官注：From 51cto,佩服子明，在“黑客老鸟讲入侵攻击”系列的上一篇《通通透透讲踩点》中，向大家介绍了黑客入侵前的一些准备工作，踩点是入侵准备的第一个过程，接下来就是对目标站点的扫描，本文将重点介绍黑客入侵扫描的相关知识。
通常扫描包括端口扫描和漏洞扫描
1、端口扫描
通常分为TCP 和UDP扫描、标识扫描、FTP 反弹扫描、源端口扫描；
TCP 和UDP扫描
TCP连接扫描：是完整的TCP全开放扫描（ 囊括了SYN、SYN/ack、ack），缺点是很容易被对方的防火墙、入侵检测设备截杀，得不到真实的端口开放情况。简单的说TCP连接扫描通常是在渗透到内网后，进行内网主机端口开放情况的扫描。这与直接在外网扫描时得到的结果差别很大。
TCP SYN扫描：俗称为半开放扫描，因为它们都是只建立到目标主机的TCP半开放连接（单个SYN包）；如果探测到目标系统上的端口是开放的，则返回SYN/ack包；如果端口关闭，目标主机返回 rst/ack包
TCP FIN扫描：向目标主机端口发出单个的FIN包，如果端口关闭，目标系统将返回rst包。
TCP Xmas树扫描：向目标主机端口发送具有fin、urg和push TCP标志的包，若目标系统所有端口关闭，则返回rst包。
TCP 空扫描：关掉所有的标志，如果目标系统所有端口关闭，则返回rst包
TCP ACK 扫描：这个扫描可以用于确定防火墙的规则集，或者使单个包穿过简单的包过滤防火墙。经过一些测试，在构造一些畸形包的时候，国内大多的防火墙都未进行过滤分析，都是直接放行。策略完善的防火墙将拒绝那些与防火墙状态表中的会话不相符合的ack响应包；而简单的包过滤防火墙将允许ack连接请求。
TCP rpc扫描 ：主要用于识别远程过程调用（rpc）端口及相关程序和版本号。
UDP扫描：主要扫描一些目标主机的UDP端口扫描情况。
看一个示例：
220 mail.xxxx.com esmtp sendmail 8.8.3; mon,12 aug 06:05:53 -0500
通过这个扫描信息，我们可以完整的推断出这是台邮件服务器，是一台sendmail8.8.3的邮件服务器，并且支持扩展smtp（esmtp）命令，我们可以通过telnet会话来向服务器发送特定的命令完成交换，从而确定 smtp/esmtp所支持的命令。
利用TCP 和UDP扫描，可以获得目标系统运行的软件和版本信息。
FTP反弹扫描
主要是利用了FTP协议中对代理FTP这一特性，对FTP服务器进行欺骗扫描。FTP服务器作为反弹代理，黑客能够进行掩饰源扫描地址的端口扫描（通俗的理解就是让FTP服务器做“代理”将一组字符发到特定服务器的ip地址和端口）。需要注意的是，如果要执行FTP反弹扫描，中间FTP服务器必须提供一个可读写的目录。
源端口扫描
主要是通过扫描dns、smtp、http这些默认端口，来判断其打开情况。
可使用的工具，个人推荐 supercan，目前最高版本是4.0的，并且集成了whois查询等实用功能。nmap 目前也出了win下的，但是得在本机安装的有active perl，具体的我也没有在windows环境下使用过，都是在linux下使用的。还有x-scan，国产的精品。这些都可以在网络上免费下载到。
2、漏洞扫描
漏洞扫描主要是利用漏洞扫描工具对一组目标ip进行扫描，通过扫描能得到大量相关的ip、服务、操作系统和应用程序的漏洞信息。漏洞扫描可分为系统漏洞扫描和web漏洞扫描
主要扫描一些操作系统或应用程序配置漏洞，如：
◆操作系统或应用程序代码漏洞
◆旧的或作废的软件版本
◆特络绎木马或后门程序
◆致命的特权相关的漏洞
◆拒绝服务漏洞
◆web和cgi漏洞
漏洞库信息对于漏洞扫描有很多帮助，它的来源主要是iss的x-force 漏洞库，安全焦点的bugtraq数据库、http：//cve.mitre.org上维护的cve列表。
漏洞扫描推荐工具：启明的天镜漏洞扫描系列和web漏洞扫描的Acunetix.Web.Vulnerability.Scanner4
下篇预告：踩点和扫描等准备工作做完后，接下来子明将给大家介绍黑客入侵攻击的重要步骤——入侵，敬请期待。
判官注：From 51cto,佩服，在《黑客老鸟讲入侵攻击》的几篇文章中，给大家讲解了入侵攻击的准备工作，踩点和扫描。其实，对于入侵攻击中最重要的环节：“入侵”，是不太好理解的，主要是每个黑客采取的入侵思路和手法都有不同。这里不能以篇盖全，将以实例的形式展现
黑客是如何入侵网络的
配套扫描软件加社会工程学利用
入侵的目标是：ABC.com.cn，这是一家国内知名的企业。为了让大家更容易理解前几篇中讲过的踩点和扫描知识，在本文中子明没有从站点脚本及源代码下手，而是采取先做扫描的入侵思路。让我们来看看子明是怎样做的。
利用前面讲过的扫描利器 x-scan，先来针对目标站点进行基本的扫描。通过扫描的结果来看，对方开的有防火墙，扫描的结果只开了80端口，这也难不倒咱们。一般这么大的企业肯定有邮件服务器，有自己的办公网络，接着扫oa.ABC.com.cn ，mail.ABC.com.cn。果然功夫不负有心人，发现了他们的邮件服务器存在弱口令，密码为888。我的目标是直接入侵到他们的核心服务器里面，所以去看了一下邮件，发现有一个叫燕子的用户，邮箱分配的10m，还是行政部门的一个manager，而且邮箱也快满了。翻了10几页，多数都是她给同事们的信息，到第11页的时候，突然看到她在一个论坛的注册回复信息，用户名：yanzi，密码为966688。再往后翻，越看越对他们的网络安全现状担忧，她把所有人事部门和集团负责人的电话全部放在了这个信箱里面。甚至还有老总的生日，电话号码，邮箱等重要信息。
通常情况，人们喜欢在不同的地方用同样的用户名和密码，甚至很多人都喜欢把密码设置几个6或几个8。由于前面拿到了那个manager的用户名和密码，索性就去接着入侵他们的OA系统，没想到的是，这个用户名和密码很顺利的登陆OA系统。我发现了更可怕的事情：财务网络不是物理隔离的，还是在一个办公网络上，通过他们的来往信息可以看的出来，财务报表都是通过oa这个系统来递交到老总手里面的。入侵到这里，我又有了新的思路，这个时候我想到了钓鱼，通常企业的办公软件是OFFICE，可利用word的溢出，做些事情，如果再加上利用这个“燕子”的职权，给集团内部发一封信，比如感谢信之类的公文，那整个集团的机器基本上就可以都成为我的傀儡机器了。
sql 注射加配套工具使用
企业网站一般是依靠社会上的一些建站公司来帮忙完成的，毕竟不是专业的网络安全公司，所以我个人认为是肯定存在一些代码漏洞的，因为身边的好多朋友都是在建站的时候，直接从网络上找一些现成的站点，直接把图片一换，做一些调整而已，至于里面的代码审核很少有人做，所以一般情况下都存在的有跨站，sql注入漏洞。
我们现在就来看下" http://www.ABC.com/shipin/list.asp?articleid=150,"在其后面加入测试语句"’ and '1'='1",返回了一个正常的页面，换成1=2，返回了和 1=1不同的页面，看来是百分百存在注入漏洞，把1=2换成猜测语句，根据返回页面的不同，猜测出数据库中表及字段的内容。用手工的方法来猜，有些太慢了，请阿D来帮忙，打开阿D注入工具，复制上面的地址到sql注入连接栏中，然后按照阿D软件的注入步骤，一步步的检测，很快，阿D便把管理员的名称及密码都猜测出来了，让人想不到的竟然是用户名和密码都是admin。有了管理员和密码，接下来就是寻找登陆后台了，接着让阿d工作，很快就找到了几个login.asp看起来像是后台登陆地址，把ie地址栏中的list改为login.asp，出现了后台的登陆窗口，接着找上传栏目。上传一个webshell伪装的jpeg图片，在上传的时候用winsock expert那个工具配合下抓下包，得到cookie信息，后面的工作就是提权了，传上一个免杀的大马，至此顺利拿下服务器（限于这个企业的网管要求，所有图片都不允许泄露，所以抓的截图也就不能提供了）。
企业网络应该怎样预防入侵事件
以上的两个入侵case，是子明应邀给一家大型企业做安全检查时的入侵经历。文中提到的站点和用户名均已用其他字符替换，目的不是教给大家怎样入侵，因为上面两个实例仅仅是众多入侵手段中比较简单的，相对于有完善安全防范措施的企业来说，手段和思路就更复杂一些，在这里，我们只有一个目的，那就是想告诉大家，应该怎样防范企业网络不受入侵攻击。另外，子明也给所有的企业一些安全入侵方面的建议：
1、企业应该在拿到整站代码的时候，做详细的代码审核。如果方便最好能在一个虚拟主机上做配置和一些测试，目的是找到并修改一些默认的路径。
2、最好是能把管理后台删除掉，用的时候再上传。这样虽然麻烦，但是安全系数会高一些。
3、限制上传文件大小和类型，过滤一些敏感字符，有条件的话最好请专业的网络安全公司的工程师参与代码审核和安全审查。
从文中不难看出国内企业的网络安全相当的脆弱，所以子明在这里希望企业的网管不用把密码不要设置的这么简单，虽然好记，但是也给那些别有用心的人也打开了方便之门。用子明的话说：网络安全的其实最难管理，管理安全的网管需要的是过硬的综合素质，需要很全面的技能才能把风险降为最低。总之世界上没有绝对安全的网络，任何网络都有可能被入侵，所有只有做好防范措施和提高安全意识，才能降低企业网络的安全风险。
cn_判官 主页:http://www.hacksa.cn/