20CN网络安全小组论坛 - 菜鸟乐园 - 入侵者跳越攻击可能进入你的内部网

论坛: 菜鸟乐园标题: 入侵者跳越攻击可能进入你的内部网

作者: wish259 [wish259]

论坛用户

网管在意识上的重视才是解决网络安全的最佳方法，如潮而涌的放火墙系列是否真的功不可破？有一件事我们可以清楚的知道，入侵者将永远走在安全专家的前面。今天斗胆拿出一个实列出来分析，可能其中有些地方还很不成熟，或带有一些错误的观点，希望大家能指出，同时也希望网管能真切的领会到--真正意义上的重视网络安全。

本文技术以NT为假设平台，将跳跃至其内部子网。再此感谢好友ADAM,PP的指点。

一，进入第一台假设平台的NT服务器
通过简单的扫描器，只需带有简单密码验证的哪些就已足够扫出那些防范教差的机器。

通常的用户名不是空就是相同。
绑定NetBEUI协议的NT平台有个致命的弱点允许攻击者得到本地用户名列表及采用暴力法不断验证他们的密码。
然后，就是因为网管在意识上的不重视，攻击者几乎不需花很大的力气就能找到那些用户名和密码相同的或密码为空的服务器。

二，攻击者控制服务器文件系统
有了密码对入侵者来说，绝对不是他们的最终目的！
隐射为本地盘，当入侵者得到你adminitrator组的任何一个成员的密码，或者是个普通用户的密码，这里我把具体命令cut了！

1，是administrator的成员时几乎可以隐射你任意一个盘。
2，普通用户将利用各种可能的机会得到更多的信息或直接利用web hole来获取更大的权限。
典型的手法有：利用web asp的功能！控制你整个硬盘（注意iis的一些已知的漏洞 up load.asp)。
注意：利用asp 功能，攻击者同样能控制你硬盘上的大多数的文件（everyone的文件）

三，起动任何他们想要立即运行的程序
一般来说立即启动对NT来说是比较困难的，虽然有些入侵者会写几句命令，然后等待服务器重新启动时，他的程序也将得以运行，但是我想对于大多数的攻击者来说，他们不会有那么好的耐心他们会立即启动他们的东西（可能是些后门木马）。
在NT IIS的web配置里有个选项是执行--------危险
攻击者将利用他控制你文件系统的任何一种方法把他要启动的程序放到那些允许执行的目录里去然后他们将http://www.xxx.com/cgi-bin/xxx.exe 利用web 启动该文件。

指出：iis 默认的一些目录带有可执行的权利 /s cript/tools/ ....
对于一些初级入侵者来说，他们往往启动的是些后门木马，然后对于那些经验丰富的入侵者他可能对控制你一台机器已经显得毫无兴趣，他们可能真正的目的是控制你的整个网段。

这里值得注意的是，这些入侵者将会启动一个等同于telnet shell for NT的东西 NETCAT NCX99.exe将在NT的99段口开启一个telnet服务端进程，等代攻击者的登陆。

四，登陆取得最高权限
登陆后的入侵者在远端服务器并不具有最高的权限，他们将采用一些NT本地溢出变成ad min 其中著名的程序是getadmin.exe

五，删除日志记录
任何一个入侵者都懂得保护他们自己！所以删除日志记录对他们来说是件很重要的事在这里，我建议网管采用第二硬备份或采用第三方日志记录系统。
由于NT的日志文件是当前进程运行操作的文件，他是根据时间来不断换新的操作文件的，任何人包括admin在内是无权删除或更改的。
而这里有个简单的不能在简单的原理，入侵者在取得admin权限后通过更改系统时间！让日志记录进程转而记录另一个文件，然后更改他想更改的那个日志文件。

六，进入你的内部网
由于攻击者登陆你的 shell ，此时的他所具有的ip 等同于你这台机器上的内部地址
ftp 198.162.1.2
telnet 127.0.0.3
net view
net use * \\
都将在他们的手里变成入侵你内部网的工具，通过影射，然后在 cd Z:
同时上述的攻击手段将再一次在内部网重演，扫描，破解，登陆。内部网络的速度将比远程快很多，这无意给入侵者暴力破解打开了方便之门。

七，更多手段
可能话！他们会做一切你想不到的事!监听，ip欺骗。。。。。
现在开始就从思想上重视网络安全。

地主发表时间: 04-06-11 13:10