教你利用个人主机进行网络入侵(4)
注意事项:
当你用终端客户端程序登陆到他的服务器时,你的所有操作不会在他的机器上反应出来,但 如果他正打开了终端服务管理器,你就惨了了:(这时他能看到你所打开的进程id、程序映 象,你的ip及机器名,并能发消息给你!
1.在IE下,所拥有的只是iusr_machine权限,因而,你不要设想去做越权的事情,如启动 telnet、木马等;
2.url的跳转下,你将拥有超级用户的权限,好好利用吧 :-)
这个漏洞在WIN2000 SP1中已经修改,因此,实际网络中存在此漏洞的机器几乎没有,但是 ,据说紫光2.3版本、超级五笔的输入法中又发现此漏洞。
解决方法
1.打补丁;
2.删掉相关输入法,用标准就可以;
3.服务中关掉:Terminal Services,服务名称:TermService,对应程序名:system32 \\termsrv.exe;
如果对方已经修改了输入法漏洞,那么只能通过猜解目标管理员口令的方法来尝试远程登陆 。
5632/4899:PCANYWERE和RADMIN
这是两种远程控制软件,使用方式与远程终端访问类似,都支持图形化界面对远程计算机进 行管理,设计的初衷是为了让管理员能够更方便的管理设备,但这些软件,特别是RADMIN, 可以设置其在安装时,不出现任何提示,这种方式使RADMIN更多的被做为一种木马使用。攻 击者会注意扫描这些端口,因为一旦破解了相应口令就可以象操作本地计算机一样控制目标 。
23:猜解ADSL MODEM口令
很多时候,扫描只能得到一个23端口,不要沮丧,因为对于个人主机而言,这往往是因为目 标主机采用了一个ADSL MODEM上网。一般用户在使用ADSL MODEM时,往往未加设置,这时, 攻击者往往可以利用ADSL MODEM的默认口令,登陆ADSL,一旦登陆成功,就有可能窃取ADSL 帐户和口令,并可以查看到内网的IP地址设置,并通过配置NAT映射将内网PC的相关端口映 射到公网上,然后对其进行各种破解、攻击。
特洛伊木马
扫描端口、通过各种方法获得目标主机的用户权限之后,攻击者往往利用得到的权限上传执 行一个“木马”程序,以便能够更方便的控制目标主机。
特洛伊木马是一种或是直接由一个黑客,或是通过一个不令人起疑的用户秘密安装到目标系 统的程序。一旦安装成功并取得管理员权限,安装此程序的人就可以直接远程控制目标系统 。实际上,对于各种个人主机,在未开放端口和打全补丁后,最有效的攻击方式还是“木马 ”程序。攻击者往往利用捆绑方式将木马程序与一个普通的EXE文件、JPG或其他正常文件绑 定在一起,并利用“社会工程学”的方式,欺骗对方执行程序、查看图片等。在对方执行程 序、打开图片后,木马程序就悄无声息在用户的PC上执行,并将用户的一些相关信息通过 EMAIL或其他方式发送给攻击者,而攻击者则可以通过木马程序实施对用户电脑的控制,比 如控制文件、注册表、键盘记录甚至控制屏幕等。
在早期,木马程序程序隐藏的并不深,通过查看任务管理器就会发现系统内存在不明程序在 运行,并且木马程序还会在用户主机上监听特定端口(如冰河的7626),等待攻击者的连接 。典型的早期木马如BO、BO2000、SUBSERVEN、国产的经典木马“冰河”等……这种方式的 木马容易被发现,而且被攻击目标也必须连接在公网上,因为客户端是无法透过NAT、防火 墙连接到内网的用户的。
反弹端口类型木马,“广外女生”木马是国内出现最早反弹端口类型的木马,这个木马与传 统的木马不同,它在执行后会主动连接外网的攻击者的相关端口,这种方法就避免了传统木 马无法控制内部用户的弊端(因为防火墙一般不会对内部发出的数据做控制)。此外,“广 外女生”还会自动杀掉相关杀毒程序的进程。
传统木马在执行后会作为一个进程,用户可以通过杀掉进程的方法关闭,而现在的木马则会 将自己注册一个系统服务,在系统启动后自动运行。甚至会通过DLL注入,将自己隐藏在系 统服务身后。这样用户查看进程的时候既看不到可疑进程,也看不到特殊服务……典型代表 “灰鸽子”“武汉男生”。
ASP木马,典型代表“海阳顶端网木马”。随着ASP 技术的发展,网络上基于ASP技术开发的 网站越来越多,对ASP技术的支持可以说已经是windows系统IIS服务器的一项基本功能。但 是基于ASP技术的木马后门,也越来越多,而且功能也越来越强大。ASP程序本身是很多网站 提供一些互动和数据处理的程序,ASP木马则是利用ASP语言编制的脚本嵌入在网页上,当用 户浏览这些网页时会自动执行相关ASP脚本,被木马感染,这种方式更加简单和隐蔽,需要 注意的是,ASP木马往往是依靠IE浏览器的一些漏洞来执行的,因此给IE打补丁是防范ASP木 马的方法之一(当然并非万能,还有一些木马会利用IE的未知漏洞传播)。