匿名使用者
1級
2019-01-07 回答執行命令 NETSTAT -AN
可以檢視可疑連線 埠。。
還有ARP -A
可以檢視連線。。
匿名使用者
1級
2019-01-07 回答滑鼠有時不受控制 電腦會隨時關機或重起 檔案無故被刪 你開SF被別人當了GM ==
tyy
1級
2019-01-07 回答駭客經驗談:跳板攻擊入侵技術例項解析
網路入侵,安全第一。一個狡猾、高明的入侵者,不會冒然實行動。他們在入侵時前會做足功課,入侵時會透過各種技術手段保護自己,以防被對方發現,引火燒身。其中,跳板技術是攻擊者通常採用的技術。下面筆者結合例項,解析攻擊入侵中的跳板技術。
1、確定目標
攻擊者在透過掃描工具進行定點(ip)掃描或者對某ip段掃描的過程中發現了該系統(伺服器)的某個漏洞,然後準備實施攻擊。
比如,筆者透過對某ip段的掃描,發現該ip段ip地址為211。52。*。84的主機存在mysql漏洞,可以透過提權獲取系統許可權進而控制該伺服器。
2、設計跳板
跳板通俗講就是一條通往目標主機的主機鏈,理論上講當然是鏈越長就越安全,但是鏈太長的話連線的速度太慢,因為其中的中轉太多。攻擊者往往會評估入侵風險,從而制定或者設計跳板。一般的原則是,如果是政府、軍隊等敏感部門往往跳板會比較多,甚至這些跳板主機會縱橫七大洲四大洋。另外,入侵國內伺服器往往也會需要國外的跳板主機。
另外跳板主機的選擇,入侵者往往是一些安全性一般速度較快,很少有人光顧的主機。因為如果是跳板出了安全問題,安全人員從中間入手,進行反向追蹤,定位入侵者的相對比較容易。
筆者演示進行入侵檢測的目標主機是一家韓國的伺服器(透過www。ip138。com查詢),綜合考慮,設計了三級跳板,即透過三個主機中轉在第三級跳板上進行目標主機的入侵就愛你從。設計的路線為:遠端登陸(3389)到一ip地址為203。176。*。237的馬來西亞伺服器;然後在該伺服器上透過cmd命令登陸到一ip地址為203。115。*。85的印度cisco路由器;最後該路由器上telnet到一某韓國主機。最後以該韓國伺服器為工作平臺實施mysql提權操作。
特別說明:攻擊者往往在跳板中加入路由器或者交換機(比如cisco的產品),雖然路由器的日誌檔案會記錄登陸ip,但是可以透過相關的命令清除該日誌。並且這些日誌清除後將永遠消失,因為路由器的日誌儲存在flash中,一旦刪除將無法恢復。如果跳板全部用主機的話,雖然也可以清除日誌,但是現在的恢復軟體往往可以恢復這些日誌,就會留下痕跡,網路安全人員可以透過這些蛛絲馬跡可能找到自己。
3、跳板入侵
(1)。第一跳,遠端桌面
開始→執行→mstsc,開啟遠端桌面連線,輸入馬來西亞伺服器的ip地址203。176。*。237,隨後輸入使用者名稱、密碼即可遠端連線到該伺服器。
一個非常狡猾高明的的入侵者一般不會用自己平時使用的主機進行遠端桌面連線入侵,他們往往透過一些人員流動比較大的公共電腦進行入侵。如果找不到的話,他們一般不會用物理主機,會採用虛擬機器系統進行入侵。因為物理主機的入侵會留下痕跡,就算刪除格式化也會被恢復。而虛擬機器,入侵完成後可以刪除,呼之即來,棄之毫不可惜。
(2)。第二跳,telnet路由器
開啟伺服器命令列工具(cmd),輸入telnet 203。115。*。85進行連線。該路由器是一cisco設定了虛擬終端的密碼,輸入密碼進入路由器一般模式。此時即可以透過路由器telnet到下一個跳板。當然最好有該cisco路由器的特權密碼,敲入en,然後輸入特權密碼進入特權模式。因為就算沒有進入路由器的特權模式,但路由器還是記錄了此次登陸,因此一定要進入特權模式,透過路由器命令清除登陸記錄和歷史命令。筆者為了安全用securecrt(類似telnet)進行登陸。
作為一個狡猾的入侵者,在進入路由器特權模式後,不是馬上進入下一跳板。往往透過show user命令檢視有沒有其他人(特別是管理員)登陸到路由器。如果存在其他登陸,一個謹慎的入侵者往往會放棄該跳板轉而用其他的跳板。
(3)。第三跳,telnet主機
在路由器特權模式下,輸入telnet 203。115。*。85,隨後輸入使用者名稱及其密碼後就telnet到遠端主機系統給我們一個shell。
4。提權
至此,我們經過三級跳到達工作平臺,然後就在該shell上進行目標主機的mysql提權操作。操作平臺上筆者已經準備好了進行mysql提權的工具。輸入命令進行操作,筆者把相關的命令列舉出來:
cd msysql
cd bin
mysql -h 211。52。118。84 -uroot
\。 c:\mysql\bin\2003。txt
在工作平臺上再開啟一個cmd,輸入命令
nc 211。52。118。84 3306
即監聽該ip的3306埠,返回一個目標主機的shell,獲取該主機的控制權。
在該shell上輸入命令建立管理員使用者
net user test test /add
net localgour administrators test /add
下面看看對方是否開了遠端桌面連線,在命令列下敲入命令
netstat -ano
對方開3389埠,即可以進行遠端桌面的連線。
由於對方是xp系統,不能多使用者遠端連線,筆者的入侵檢測到此為止。
5、全身而退
入侵完成獲得目標主機的管理許可權,入侵者就得擦除痕跡,準備撤退了。
(1)。由於從目標主機獲得的shell反向連接獲得的,不會有日誌記錄,所以不用管直接斷開連線。
(2)。上傳clearlog工具,清除telnet主機上的登陸日誌。
(3)。輸入exit,退出路由器到主機的的telnet連線。在路由器上輸入
clear logging
分別用來清除登陸日誌。
(4)。退出路由器登陸,透過工具清除遠端桌面主機上的登陸日誌,然後刪除登入用帳戶和使用者目錄,登出使用者。
總結:上面筆者結合例項演示了入侵者如何透過跳板進行入侵以及入侵善後的全過程,本文只是從技術的角度對跳板技術進行解析,目的是讓有興趣的讀者直觀地瞭解跳板技術的相關細節。當然,跳板技術是博大精深,遠非本文所能囊括,但其基本原來都類似,希望文字對大家瞭解這種技術有所幫助
