黑客初级教程黑客初级技术概述

黑客初级教程:黑客初级技术概述 疯狂代码 http://CrazyCoder.cn/ ĵ:http:/CrazyCoder.cn/Security/Article70302.html 网络安全从其本质上来讲就是网络上信息安全从广义来说凡是涉及到网络上信息保密性、完整性、可用性 、真实性和可控性相关技术和理论都是网络安全研究领域确保网络系统信息安全是网络安全目标信息安全包括 两个方面:信息存 储安全和信息传输安全信息存储安全是指信息在静态存放状态下安全如是否会被非授权等信息 传输安全是指信息在动态传输过程中安全为了确保网络信息传输安全有以下几个问题: 　　(１)对网络上信息监听 　　(２)对用户身份仿冒 　　(３)对网络上信息篡改 　　(４)对发出信息予以否认 　　(５)对信息进行重发 　　对于般常用入侵思路方法主要有 　　1.口令入侵 　　所谓口令入侵就是指用些软件Software解开已经得到但被人加密口令文档不过许多黑客已大量采用种可以 绕开或屏蔽口令保护来完成这项工作对于那些可以解开或屏蔽口令保护通常被称为“Crack”由于这些软件 Software广为流传使得入侵电脑网络系统有时变得相当简单般不需要很深入了解系统内部结构是初学者好思路 方法 　　2.特洛伊木马术 　　说到特洛伊木马只要知道这个故事人就不难理解它最典型做法可能就是把个能帮助黑客完成某特定动作依 附在某合法用户正常中这时合法用户代码已被该变旦用户触发该那么依附在内黑客指令代码同时被激活这些代 码往往能完成黑客指定任务由于这种入侵法需要黑客有很好编程经验且要更改代码、要定权限所以较难掌握但 正它复杂性般系统管理员很难发现 　　3.监听法 　　这是个很实用但风险也很大黑客入侵思路方法但还是有很多入侵系统黑客采用此类思路方法正所谓艺高人 胆大 　　网络节点或工作站的间交流是通过信息流转送得以实现而当在个没有集线器网络中数据传输并没有指明特 定方向这时每个网络节点或工作站都是个接口这就好比某节点说:“嗨！你们中有谁是我要发信息工作站” 　　此时所有系统接口都收到了这个信息旦某个工作站说:“嗨！那是我请把数据传过来”联接就马上完成 　　目前有网络上流传着很多嗅探软件Software利用这些软件Software就可以很简单监听到数据甚至就包含 口令文件有服务在传输文件中直接使用明文传输这也是非常危险 4.E-mail技术 　　使用email加木马这是黑客经常使用种手段而且非常奏效般用户甚至是网管对网络安全意识太过于淡薄这 就给很多黑客以可乘的机 　　5.病毒技术 　　作为个黑客如此使用应该是件可耻事情不过大家可以学习毕竟也是种攻击办法特殊时间特殊地点完全可以 使用 　　6.隐藏技术 　　网络攻击般步骤及例子 　　攻击准备阶段 　　首先需要介绍说明是入侵者来源有两种种是内部人员利用自己工作机会和权限来获取不应该获取权限而进 行攻击另种是外部人员入侵包括远程入侵、网络节点接入入侵等本节主要讨论远程攻击 　　进行网络攻击是件系统性很强工作其主要工作流程是:收集情报远程攻击远程登录取得普通用户权限取得超 级用户权限留下后门清除日志主要内容包括目标分析文档获取破解密码日志清除等技术下面分别介绍 　　1.确定攻击目 　　攻击者在进行次完整攻击的前首先要确定攻击要达到什么样目即给对方造成什么样后果常见攻击目有破坏 型和入侵型两种破坏型攻击指只是破坏攻击目标使其不能正常工作而不能随意控制目标系统运行要达到破坏型 攻击目主要手段是拒绝服务攻击(Denial Of Service)另类常见攻击目是入侵攻击目标这种攻击是要获得定权限 来达到控制攻击目标目应该说这种攻击比破坏型攻击更为普遍威胁性也更大黑客旦获取攻击目标管理员权限就 可以对此服务器做任意动作包括破坏性攻击此类攻击般也是利用服务器操作系统、应用软件Software或者网络 协议存在漏洞进行当然还有另种造成此种攻击原因就是密码泄露攻击者靠猜测或者穷举法来得到服务器用户密 码然后就可以用和真正管理员样对服务器进行访问 　　2.信息收集 　　除了确定攻击目的外攻击前最主要工作就是收集尽量多有关攻击目标信息这些信息主要包括目标操作系统 类型及版本目标提供哪些服务各服务器类型和版本以及相关社会信息 　　要攻击台机器首先要确定它上面正在运行操作系统是什么对于区别类型操作系统其上系统漏洞有很大区别 所以攻击思路方法也完全区别甚至同种操作系统区别版本系统漏洞也是不样要确定台服务器操作系统般是靠经 验有些服务器某些服务显示信息会泄露其操作系统例如当我们通过TELNET连上台机器时如果显示 　　Unix(r) V Release 4．0 　　login: 　　那么根据经验就可以确定这个机器上运行操作系统为SUN OS 5．5或5．5．l但这样确定操作系统类型是 不准确有些网站WebSite管理员为了迷惑攻击者会故意更改显示信息造成假象 　　还有种不是很有效思路方法诸如查询DNS主机信息(不是很可靠)来看登记域名时申请机器类型和操作系统 类型或者使用社会工程学思路方法来获得以及利用某些主机开放SNMP公共组来查询 　　另外种相对比较准确思路方法是利用网络操作系统里TCP/IP堆栈作为特殊“指纹”来确定系统真正身份区 别操作系统在网络底层协议各种实现细节上略有区别可以通过远程向目标发送特殊包然后通过返回包来确定操 作系统类型例如通过向目标机发送个FIN包(或者是任何没有ACK或SYN标记包)到目标主机个开放端口然后等待 回应许多系统如windows、 BSDI、 CISCO、 HP／UX和 IRIX会返回个RESET通过发送个SYN包它含有没有定 义TCP标记TCP头那么在Linux系统回应包就会包含这个没有定义标记而在些别系统则会在收到SYN+BOGU包 的后关闭连接或是利用寻找化序列长度模板和特定操作系统相匹配思路方法利用它可以对许多系统分类如较早 Unix系统是64K长度些新Unix系统长度则是随机增长还有就是检查返回包里包含窗口长度这项技术根据各个操 作系统区别化窗口大小来唯确定它们利用这种技术实现工具很多比较著名有NMAP、CHECKOS、QUESO等 　　获知目标提供哪些服务及各服务daemon类型、版本同样非常重要已知漏洞般都是对某服务这里说提供服 务就是指通常我们提到喘口例如般TELNET在23端口FTP在对21端口WWW在80端口或8080端口这只是般情况 网站WebSite管理完全可以按自己意愿修改服务所监听端口号在区别服务器上提供同种服务软件Software也可 以是区别我们管这种软件Software叫做daemon例如同样是提供FTP服务可以使用wuftp、proftpncftp等许多 区别种类daemon确定daemon类型版本也有助于黑客利用系统漏洞攻破网站WebSite 　　另外需要获得有关系统信息就是些和计算机本身没有关系社会信息例如网站WebSite所属公司名称、规模 网络管理员生活习惯、电话号码等这些信息看起来和攻击个网站WebSite没有关系实际上很多黑客都是利用了 这类信息攻破网站WebSite例如有些网站WebSite管理员用自己电话号码做系统密码如果掌握了该电话号码就 等于掌握了管理员权限进行信息收集可以用手工进行也可以利用工具来完成完成信息收集工具叫做扫描器用扫 描器收集信息优点是速度快可以次对多个目标进行扫描 　　攻击实施阶段 　　1.获得权限 　　当收集到足够信息的后攻击者就要开始实施攻击行动了作为破坏性攻击只需利用工具发动攻击即可而作为 入侵性攻击往往要利用收集到信息找到其系统漏洞然后利用该漏洞获取定权限有时获得了般用户权限就足以达 到修改主页等目了但作为次完整攻击是要获得系统最高权限这不仅是为了达到定目更重要是证明攻击者能力这 也符合黑客追求 　　能够被攻击者所利用漏洞不仅包括系统软件Software设计上安全漏洞也包括由于管理配置不当而造成漏洞 前不久因特网上应用最普及著名www服务器提供商Apache主页被黑客攻破其主页面上 Powered by Apache图样(羽毛状图画)被改成了Powered by　Microsoft Backoffice图样那个攻击者就是利用了管理员对 Webserver用数据库些不当配置而成功取得最高权限 　　当然大多数攻击成功范例还是利用了系统软件Software本身漏洞造成软件Software漏洞主要原因在于编 制该软件Software员缺乏安全意识当攻击者对软件Software进行非正常请求时造成缓冲区溢出或者对文件非法 访问其中利用缓冲区溢出进行攻击最为普遍据统计80％以上成功攻击都是利用了缓冲区溢出漏洞来获得非法权 限有关缓冲区溢出在后面用专门章节来作详细解释 　　无论作为个黑客还是个网络管理员都需要掌握尽量多系统漏洞黑客需要用它来完成攻击而管理员需要根据 区别漏洞来进行区别防御措施了解最新最多漏洞信息可以到诸如Rootshell(www.rootshell．com)、 Packetstorm(packetstorm．secury．com)、Securityfocus(www.securityfocus．com)等网站WebSite去查 找 　　2.权限扩大 　　系统漏洞分为远程漏洞和本地漏洞两种远程漏洞是指黑客可以在别机器上直接利用该漏洞进行攻击并获取 定权限这种漏洞威胁性相当大黑客攻击般都是从远程漏洞开始但是利用远程漏洞获取不定是最高权限而往往只 是个普通用户权限这样常常没有办法做黑客们想要做事这时就需要配合本地漏洞来把获得权限进行扩大常常是 扩大至系统管理员权限　只有获得了最高管理员权限的后才可以做诸如网络监听、打扫痕迹的类事情要完成权 限扩大不但可以利用已获得权限在系统上执行利用本地漏洞还可以放些木马的类欺骗来套取管理员密码这种木 马是放在本地套取最高权限用而不能进行远程控制例如个黑客已经在台机器上获得了个普通用户账号和登录权 限那么他就可以在这台机器上放置个假su旦黑客放置了假su当真正合法用户登录时运行了su并输入了密码这时 root密码就会被MATCH_ word word文档格式规范word作业纸小票打印word模板word简历模板免费word简历 _1716952307556_2下来下次黑客再登录时就可以使用su变成root了 　　攻击善后工作 　　1.日志系统介绍 　　如果攻击者完成攻击后就立刻离开系统而不做任何善后工作那么他行踪将很快被系统管理员发现所有网络 操作系统般都提供日志记录功能会把系统上发生动作记录下来所以为了自身隐蔽性黑客般都会抹掉自己在日志 中留下痕迹想要了解黑客抹掉痕迹思路方法首先要了解常见操作系统日志结构以及工作方式Unix日志文件通常 放在下面这几个位置根据操作系统区别略有变化 　　／usr／adm——早期版本Unix 　　／Var／adm新点版本使用这个位置 　　／Varflort些版本Solaris、 Linux BSD、 Free BSD使用这个位置 　　／etc大多数Unix版本把Utmp放在此处些Unix版本也把Wtmp放在这里这也是Syslog．conf位置 　　下面文件可能会根据你所在目录区别而区别: 　　acct或pacct－记录每个用户使用命令记录 　　accesslog主要用来服务器运行了NCSA HTTP服务器这个记录文件会记录有什么站点连接过你服务器 　　aculo保存拨出去Modems记录 　　lastlog记录了最近Login记录和每个用户最初目地有时是最后不成功Login记录 　　loginlog记录些不正常L0gin记录 　　messages——记录输出到系统控制台记录另外信息由Syslog来生成 　　security记录些使用 UUCP系统企图进入限制范围事例 　　sulog记录使用su命令记录 　　utmp记录当前登录到系统中所有用户这个文件伴随着用户进入和离开系统而不断变化 　　Utmpxutmp扩展 　　wtmp记录用户登录和退出事件 　　Syslog最重要日志文件使用syslogd守护来获得 　　2.隐藏踪迹 　　攻击者在获得系统最高管理员权限的后就可以随意修改系统上文件了(只对常规 Unix系统而言)包括日志文 件所以般黑客想要隐藏自己踪迹话就会对日志进行修改最简单思路方法当然就是删除日志文件了但这样做虽然 避免了系统管理员根据IP追踪到自己但也明确无误地告诉了管理员系统己经被人侵了所以最常用办法是只对日 志文件中有关自己那部分做修改有关修改思路方法具体细节根据区别操作系统有所区别网络上有许多此类功能 例如 zap、 wipe等其主要做法就是清除 utmp、wtmp、Lastlog和 Pacct等日志文件中某用户信息使得当使用 w、who、last等命令查看日志文件时隐藏掉此用户信息 管理员想要避免日志系统被黑客修改应该采取定措施例如用打印机实时记录网络日志信息但这样做也有弊端黑 客旦了解到你做法就会不停地向日志里写入无用信息使得打印机不停地打印日志直到所有纸用光为止所以比较 好避免日志被修改办法是把所有日志文件发送到台比较安全主机上即使用loghost即使是这样也不能完全避免日 志被修改可能性黑客既然能攻入这台主机也很可能攻入loghost 　　只修改日志是不够百密必有漏即使自认为修改了所有日志仍然会留下些蛛丝马迹例如安装了某些后门运行 后也可能被管理员发现所以黑客高手可以通过替换些系统思路方法来进步隐藏踪迹这种用来替换正常系统黑客 叫做rootkit这类在些黑客网站WebSite可以找到比较常见有LinuxRootKit现在已经发展到了5.0版本了它可以 替换系统ls、ps、netstat、inetd等等系列重要系统当替换了ls后就可以隐藏指定文件使得管理员在使用ls命令 时无法看到这些文件从而达到隐藏自己目 　　3.后门 　　 般黑客都会在攻入系统后不只次地进入该系统为了下次再进入系统时方便点黑客会留下个后门特洛伊木马 就是后门最好范例Unix中留后门思路方法有很多种下面介绍几种常见后门供网络管理员参考防范 　　<1>密码破解后门 　　这是入侵者使用最早也是最老思路方法它不仅可以获得对Unix机器访问而且可 以通过破解密码制造后门 这就是破解口令薄弱帐号以后即使管理员封了入侵者当前帐号这些新帐号仍然可能是重新侵入后门多数情况下 入侵者寻找口令薄弱未使用帐号然后将口令改难些当管理员寻找口令薄弱帐号是也不会发现这些密码已修改帐 号因而管理员很难确定查封哪个帐号 　　<2>Rhosts + + 后门 　　在连网Unix机器中象Rsh和Rlogin这样服务是基于rhosts文件里主机名使用简 单认证思路方法用户可以轻 易改变设置而不需口令就能进入 入侵者只要向可以访问某用户rhosts文件中输入"+ +"就可以允许任何人从任 何地方无须口令便能进 入这个帐号特别当home目录通过NFS向外共享时入侵者更热中于此这些帐号也成 了入 侵者再次侵入后门许多人更喜欢使用Rsh它通常缺少日志能力. 许多管理员经常检查 "+ +"所以入侵者实际上多 设置来自网上另个帐号主机名和 用户名从而不易被发现 　　<3>校验和及时间戳后门 　　早期许多入侵者用自己trojan替代 2进制文件系统管理员便依靠时间戳和系 统校验和辨别个 2进制文件是 否已被改变如Unix里sum入侵者又发展了使trojan文件和原文件时间戳同步新技术它是这样实现: 先将系统时钟 拨 回到原文件时间然后调整trojan文件时间为系统时间旦 2进制trojan文件和 原来精确同步就可以把系统时间 设回当前时间Sum是基于CRC校验很容易 骗过入侵者设计出了可以将trojan校验和调整到原文件校验和MD5是 被 大多数人推荐MD5使用算法目前还没人能骗过 　　<4>Login后门 　　在Unix里login通常用来对telnet来用户进行口令验证. 入侵者获取login.c 原代码并修改使它在比较输入口 令和存储口令时先检查后门口令如果用户敲入后门 口令它将忽视管理员设置口令让你长驱直入这将允许入侵者 进入任何帐号甚至 是root由于后门口令是在用户真实登录并被日志记录到utmp和wtmp前产生个访问 所以入 侵者可以登录获取shell却不会暴露该帐号管理员注意到这种后门后便 用"s"命令搜索login以寻找文本信息. 许 多情况下后门口令会原形毕露入侵者就开始加密或者更好隐藏口令使s命令失效. 所以更多管理员是 用MD5校验 和检测这种后门 <5>Telnetd后门 　　当用户telnet到系统监听端口inetd服务接受连接随后递给in.telnetd由它运行 login.些入侵者知道管理员 会检查login是否被修改就着手修改in.telnetd. 在in.telnetd内部有些对用户信息检验比如用户使用了何种终端. 典型终端 设置是Xterm或者VT100.入侵者可以做这样后门当终端设置为"letmein"时产生 个不要任何验证shell. 入侵者已对某些服务作了后门对来自特定源端口连接产 生个shell 　　<6>服务后门 　　几乎所有网络服务曾被入侵者作过后门. Fingerrshrexecrloginftp甚至 inetd等等作了版本随处多是有只 是连接到某个TCP端口shell通过后门口令就能获取访问这些有时用刺娲□？Ucp这样不用服务或者被加入 inetd.conf 作为个新服务管理员应该非常注意那些服务正在运行并用MD5对原服务做校验 　　<7>Cronjob后门 　　Unix上Cronjob可以按时间 表 关于同志近三年现实表现材料材料类招标技术评分表图表与交易pdf视力表打印pdf用图表说话 pdf 调度特定运行入侵者可以加入后门shell 使它在1AM到2AM的间运行那么每 晚有个小时可以获得访问也可以查看cronjob中 经常运行合法同时置入后门 　　<8>库后门 　　几乎所有UNIX系统使用共享库共享库用于相同重用而减少代码长度些入侵者在象crypt.c和_crypt.c这些里 作了后门；象login.c这样了 crypt当使用后门口令时产生个shell 因此即使管理员用MD5检查login仍然能产生 个后门而且许多管理员并不会检查库是否被做了后门对于许多入侵者来说有个问题: 些管理员对所有东西多作了 MD5校验有种办法是入侵者对open和文件访问做后门后门读原文件但执行trojan后门所以 当MD5读这些文件 时校验和切正常但当系统运行时将执行trojan版本即使trojan库本身也可躲过MD5校验对于管理员来说有种思 路方法可以找到后门就是静态编连MD5校验然后运行静态连接不会使用trojan共享库 　　<9>内核后门 　　内核是Unix工作核心用于库躲过MD5校验思路方法同样适用于内核级别甚至连静态 连接多不能识别. 个后 门作很好内核是最难被管理员查找所幸是内核 后门还不是随手可得每人知道它事实上传播有多广 　　<10>文件系统后门 　　入侵者需要在服务器上存储他们掠夺品或数据并不能被管理员发现入侵者文章常是包括exploit脚本工具后 门集snfer日志email备分原代码等等！有时为了防止管理员发现这么大文件入侵者需要修补"ls""du""fsck"以隐 匿特定目录和文件在很低级别入侵者做这样漏洞: 以专有格式在硬盘上割出部分且表示为坏扇区因此入侵者只能 用特别工具访问这些隐藏文件对于普通管理员来说很难发现这些"坏扇区"里文件系统而它又确实存在 　　<11>Boot块后门 　　在PC世界里许多病毒藏匿和根区而杀病毒软件Software就是检查根区是否被改变Unix下多数管理员没有 检查根区软件Software所以些入侵者将些后门留在根区 <12>隐匿进程后门 　　入侵者通常想隐匿他们运行这样般是口令破解和监听 (snfer)有许多办法可以实现这里是较通用: 编写时修 改自己argv 使它看起来象其他进程名可以将snfer改名类似in.syslog再执行因此 当管理员用"ps"检查运行进程 时出现 是 标准 excel标准偏差excel标准偏差函数exl标准差函数国标检验抽样标准表免费下载红头文件格式标准下载 服务名可以修改库致使 "ps"不能显示所有进程可以将个后门或嵌入中断驱动使它不会在进程表显 现使用这个技术个后门例子是 　　amod.tar.gz : 　　http://star.niimm.spb.su/~maillist/bugtraq.1/0777.html网络通行. 这些网络通行后 门有时允许入侵者 通过防火墙进行访问有许多网络后门允许入侵者建立某个端 口号并不用通过普通服务就能实现访问. 这是通过 非标准网络端口通行管理 员可能忽视入侵者足迹. 这种后门通常使用TCPUDP和ICMP但也可能是其他类型报文 　　<14>TCP Shell 后门 　　入侵者可能在防火墙没有阻塞高位TCP端口建立这些TCP Shell后门. 许多情况下他 们用口令进行保护以免 管理员连接上后立即看到是shell访问. 管理员可以用netstat 命令查看当前连接状态那些端口在侦听目前连接来 龙去脉. 通常这些后门可 以让入侵者躲过TCP Wrapper技术. 这些后门可以放在SMTP端口许多防火墙允许 e- mail通行. 　　<15>UDP Shell 后门 　　管理员经常注意TCP连接并观察其怪异情况而UDP Shell后门没有这样连接所以 netstat不能显示入侵者访 问痕迹许多防火墙设置成允许类似DNSUDP报文通行通常入侵者将UDP Shell放置在这个端口允许穿越防火墙 　　<16>ICMP Shell 后门 　　Ping是通过发送和接受ICMP包检测机器活动状态通用办法的许多防火墙允许外界ping它内部机器入侵者 可以放数据入PingICMP包在ping机器间形成个shell通道管理员也许会注意到Ping包暴风但除了他查看包内数 据否者入侵者不会暴露 　　<17>加密连接 　　管理员可能建立个snfer试图某个访问数据但当入侵者给网络通行后门加密 后就不可能被判定两台机器间 传输内容了 上篇文章: 网页密码破解 下篇文章: 入侵WEB主机全过程