本節將以一個典型的實例來介紹一次完整的入侵過程。其中的思路及所使用的工具對於駭客技術的入門有很大的説明,希望讀者能夠重點掌握。
實例:一次完整的入侵。
è 入侵工具:X-Scan、DameWare
è 工具介紹
X-Scan是一款優秀的綜合掃描器,它採用多執行緒方式對指定IP位址段(或單機)進行安全性漏洞檢測,支援外掛程式功能。掃描內容包括:遠端服務類型、作業系統類型及版本,各種弱口令漏洞、後門、應用服務漏洞、網路設備漏洞、拒絕服務漏洞等二十幾個大類。對於多數已知漏洞給出了相應的漏洞描述、解決方案及詳細描述連結,其他漏洞資料正在進一步整理完善中,可以通過http://www.xfocus.net的“安全文摘”和“安全性漏洞”欄目查閱相關說明。3.0及後續版本提供了簡單的外掛程式開發包,支援協力廠商編寫的X-Scan外掛程式。關於X-Scan的詳細介紹,請參見後續章節。
DameWare是一款超級網管工具,它的設計初衷是為了讓網管們更加方便地同時管理多台電腦,免得跑來跑去地一台台調試配置。DameWare把眾多管理工具集成在一起,只要擁有遠端主機管理員許可權的帳號,任何人都可以通過圖形介面來控制該遠端主機。然而,只要對這款網管工具進行巧妙的配置,入侵者便可在網管毫無察覺的情況下使用遠端主機服務,甚至遠端控制及螢幕竊取。
DameWare可以從“http://www.dameware.com/downloads/”處下載,下載後按提示安裝。
è 入侵思路:獲取管理員許可權、在DameWare中添加主機、即時螢幕監視和控制、遠端執行命令、系統設置修改與系統控制、檔上傳與下載、留後門、清除腳印。
掃描遠端主機是否存在NT弱口令(獲取管理員許可權)
打開X-Scan,在“設置”下拉式功能表中選擇“掃描參數”選項,打開掃描參數設置視窗。在指定IP範圍的輸入框中輸入希望掃描的IP位址段。本例中將對局域網進行掃描,輸入的IP段為192.168.0.2~192.168.0.253,如圖1-22所示。
圖1-22
打開全域設置功能表,在掃描模組中選擇NT-Server弱口令,如圖1-23所示。
圖1-23
按一下“確定”按鈕後,回到主介面,按一下 圖示開始進行掃描。掃描結果如圖1-24和圖1-25所示,IP位址為192.168.0.128的主機存在NT-Server弱口令。
圖1-24
圖1-25
在DameWare中添加遠端主機
在“開始”→“程式”→“Dame Ware NT Utilities”中選擇“Dame Ware NT Utilities”,打開DameWare主介面,如圖1-26所示。
圖1-26
然後按一下主介面左上角的“ ”圖示,接著在彈出的“Add Domain or Machine(添加域或主機)”對話方塊中選擇“Non-Browsable Machine”,並添入目標主機的IP位址192.168.0.128,如圖1-27所示。
按一下“OK”按鈕後,添加主機成功,如圖1-28所示。
下麵介紹入侵者通過DameWare能夠對192.168.0.128做哪些操作。如圖1-29所示,在左側視窗的清單中依次為“磁片操作”、“事件日誌”、“組管理”、“查看已打開檔”、“印表機”、“進程管理”、“系統屬性”、“RAS”、“註冊表”、“遠端命令執行”、“遠端控制(有螢幕監視功能)”、“應用程式管理”、“計畫任務管理”、“查找”、“發送資訊”、“服務管理”、“會話管理”、“共用管理”、“遠端關機”、“軟體管理”、“系統工具”、“TCP工具”、“使用者管理”和“遠端喚醒”。
圖1-28 圖1-29
除此之外,還可以通過DameWare來打開Windows自帶的管理工具,如圖1-30所示。
圖1-30
即時螢幕監視和控制
在如圖1-29所示的DameWare主介面中,按一下左側圖示 ,在打開功能表中按兩下 ,然後在彈出界面的“User”欄中填入獲得的使用者名“administrator”,由於密碼為空,所以“Password”欄不用填,並且其他的設置不用改變,填好後如圖1-31所示。
圖1-31
此時按一下“Connect”按鈕即可進行連接,如果是首次連接遠端主機,那麼DameWare會要求為遠端主機安裝DameWare被控端,如圖1-32所示。
圖1-32
按一下“OK”按鈕進行安裝,在預設的情況下,遠端主機會被通知建立連接,這樣會使入侵者暴露入侵痕跡,在遠端主機上的截圖如圖1-33所示。
圖1-33
入侵者為了不讓DameWare通知遠端主機,在按一下“Connect”按鈕之前需要進行設置來將該“網管工具”徹底變成“入侵者工具”。在圖1-31所示的視窗中按一下“Settings…”按鈕,彈出如圖1-34所示的視窗。
選擇“Install Options”選項卡,如圖1-35所示,圖中的設置項已進行了修改。
圖1-34 圖1-35
圖1-35中選項含義如下。
è Stop Service On Disconnect:斷開連接後停止服務。
è Remove Service On Disconnect:斷開連接後卸載服務。
è Set Service Startup type to “Manual” default is:設置服務啟動為“手動”。
è Copy Configuration File DWRCS:拷貝安裝設置到目標主機,通過選擇這一項才能使修改的安裝設置在遠端主機端生效。
按圖1-35所示設置完畢後,按一下“Edit”按鈕進行屬性設定,打開設定對話方塊後,找到“Additional Settings”選項卡,並去除“Enable Sys Tray Icon”前面的“勾”,表示去除目標主機端的連接顯示“ ”,設置完畢後如圖1-36所示。
接下來打開“Notify Dialog”選項卡,去除“Notify on Connection”前面的“勾”,表示去除連接時在目標主機端顯示的如圖1-37所示的提示。
全部設置好後如圖1-38所示。
圖1-37 圖1-38
通過前面幾項的設置,入侵者在連接遠端主機的時候就不會被察覺,最後按一下“確定”按鈕或“OK”按鈕回到圖1-31所示的視窗。按一下“Connect”按鍵,為遠端主機安裝被控制端,如圖1-39所示。
圖1-39
服務安裝、啟動完畢後,便會在本地機上得到遠端主機當前的螢幕,如圖1-40所示。
圖1-40
此外,入侵者可以通過該螢幕對遠端主機進行控制,就像操縱本地電腦一樣。如圖1-41所示,勾選“View Only”選項表示通過“只監視(View Only)”模式顯示遠端主機的桌面,不能對遠端主機進行控制;不勾選“View Only”選項表示通過“控制”模式連接遠端主機,除了可以看見遠端主機的桌面,還可以對遠端主機進行控制。
通過圖1-42可見,入侵者還可以在遠端主機上進行鍵盤控制操作,甚至鎖定遠端主機上的鍵盤和滑鼠。
通過圖1-43選項可以手動卸載遠端主機的DameWare被控制端服務。
圖1-41 圖1-42 圖1-43
遠端執行命令
使用DameWare可以實現遠端執行命令。DameWare是通過DameWare自帶的工具“RCmd View”及“RCmd Console”來實現這一功能的。在DameWare主介面中,按一下清單中“Remote Command”前面的“ ”來找到“RCmd View”和“RCmd Console”,如圖1-44所示。
其中,“RCmd View”或“RCmd Console”都可以用來遠端執行命令,這裡只介紹RCmd View的使用方法。按兩下“RCmd View”,如果是首次使用,DameWare在控制端提示將在遠端主機上安裝DameWare NT Utilities Service,如圖1-45所示。
圖1-44 圖1-45
這個安裝不需要任何設置,直接按一下按鈕“是(Y)”同意安裝即可。安裝好後,得到如圖1-46所示的介面。
圖1-46
通過這個工具,入侵者便可以在遠端主機上執行命令。例如,鍵入“ipconfig/all”命令查看遠端電腦的網路參數,如圖1-47所示。
圖1-47
從返回的結果可以看到,該遠端主機的IP位址為“192.168.0.128”,閘道的IP位址為“192.168.0.2”,MAC位址是“00-0C-29-86-57-34”。
這裡說明的一點是遠端執行命令在遠端主機中並不會直觀顯示,但在進程表中會有相應的顯示。
修改系統參數並遠端控制系統
① 進程式控制制。
在DameWare主介面上選擇“ ”圖示,打開後的介面如圖1-48所示。
圖1-48
圖1-48中右側視窗顯示的就是“192.168.0.128”上的進程及CPU的利用率。而且通過“ ”按鈕(選中進程的右鍵功能表中)即可殺死選中的進程,如圖1-49所示。入侵可以通過這種方法來殺死任何妨礙他們入侵的進程。
圖1-49
② 修改註冊表。
按一下“ ”圖示打開“192.168.0.128”上的註冊表,如圖1-50所示。在該登錄編輯程式中便可以修改遠端主機的註冊表。
圖1-50
③ 建立計畫任務。
按一下“ ”圖示後得到樹狀功能表,如圖1-51所示。
圖1-51
Task Schedule代表計畫任務,按兩下打開後如圖1-52所示。
圖1-52
在主介面的“Schedule”下拉式功能表中選擇“Add Schedule…”即可實現建立計畫任務,如圖1-53所示。
④ 服務管理。
展開“ ”得到如圖1-54所示樹狀功能表。
圖1-53 圖1-54
通過Services View可以查看192.168.0.128上安裝了哪些服務,如圖1-55所示。
圖1-55
這同使用“電腦管理”看到的服務清單是一樣的。而且,入侵者還可以通過這裡非常容易地給遠端主機安裝/卸載服務或程式。按兩下“Install Service”,隨後每步的設置如圖1-56至圖1-62所示。
圖1-56 圖1-57
按一下“下一步”按鈕,如圖1-58所示。
按一下“Browse”按鈕,在本地機上選定木馬安裝檔的路徑,按一下“下一步”按鈕後,如圖1-59所示。
圖1-58 圖1-59
在圖1-59中選中服務類型,然後按一下“下一步”按鈕後,如圖1-60所示。
在圖1-60中選擇執行該服務的許可帳號,設置完畢後,按一下“下一步”按鈕後,如圖1-61所示。
圖1-60 圖1-61
在圖1-61中選擇服務的啟動方式,這裡選擇Automatic(自動),目的是令遠端主機在每次啟動後都自動執行該木馬程式,然後按一下“下一步”按鈕得到安裝參數報告,如圖1-62所示。
最後按一下“完成”按鈕完成安裝。安裝進度如圖1-63所示。
圖1-62 圖1-63
安裝成功後來查看一下目標主機的服務清單,如圖1-64所示。
圖1-64
可以看到,入侵者可以通過這種方式使用DameWare在遠端主機上安裝上木馬程式。
⑤ 遠端關機。
按一下“ ”圖示,得到如圖1-65所示視窗。
圖1-65
圖1-65中右側視窗下方的圖示,分別為:
:重新開機
:登出帳號
:關閉電源
檔上傳與下載
在入侵過程中,檔上傳與下載是常用的操作,DameWare也能實現。按一下主介面中的“ ”圖示來打開遠端主機上的共用資料夾(包括隱藏的),如圖1-66所示。
圖1-66
隨後的操作如同操作本地機一樣,可以進行檔的複製、剪切、刪除、隱藏、許可權設置、粘貼等操作,如圖1-67所示。
圖1-67
建立後門帳號
入侵者在入侵成功後,往往會留下後門以便下一次再進入該電腦。這裡只介紹一個簡單的留後門方法,即建立後門帳號。按一下“ ”圖示,打開“使用者管理”,在圖1-68中的右側視窗中,入侵者可以建立、禁用、降級、刪除使用者。
圖1-68
例如,要新建一個帳號,按一下圖1-68中右側視窗左下角的“ ”按鈕,打開的使用者屬性視窗如圖1-69所示。
然後在“Group”選項卡中賦予該使用者管理員許可權,如圖1-70所示。通過以上步驟,後門帳號製作成功。
圖1-69 圖1-70
清除腳印
在入侵者離開“192.168.0 .128”之前,往往需要清除腳印來防止管理員發現他們留下的痕跡,這可以通過刪除事件日誌實現。按一下 圖示,打開後如圖1-71所示,清除右側視窗中的“Application”、“Security”和“System”日誌。
圖1-71
在圖1-71的右側視窗中,用滑鼠按右鍵任意一項記錄,打開如圖1-72所示的功能表,然後選擇“Clear All Events”來清空“Application”日誌。然後按照同樣方法刪除“Security”和“System”日誌。
圖1-72
2.2.1 共用資源簡介
1.共用資源
這裡提及的共用資源是指在Windows系統中的“共用磁片”、“共用資料夾”、“共用檔”、“共用印表機”等。對於一般的共用,下麵都會有個“托手”的標誌,而對於“$”為結尾的共用卻沒有“托手”標誌,屬於隱藏共用。關於如何建立共用,在這裡不做介紹,只把建立共用所需要的條件列出,以便查閱。
2.建立共用的條件
條件一:需要有足夠的許可權。
條件二:已安裝“Microsoft網路的檔和印表機共用”元件,其介面如圖2-27所示。
條件三:已安裝NetBEUI協定,如圖2-28所示。如果沒有安裝NetBEUI協定,那麼只能使用IP位址來互相訪問共用資源,如果安裝了NetBEUI協定,便可以在同一局域網內使用主機名稱來互相訪問共用資源。
如果滿足上述條件,就可以在電腦上建立“共用資源”了。
圖2-27 圖2-28
2.2.2 共用資源搜索
1.掃描器是什麼
顧名思義,掃描器就是能夠“自動”完成探測掃描任務的一種工具。入侵者們用它來代替重複的手工勞動,實現對目標網路資訊的自動搜集、整理甚至分析。
使用掃描器都能搜集到什麼資訊呢?可以這樣說,需要搜集什麼樣的資訊,入侵者就會有什麼樣的掃描器。常見的掃描器種類有“共用資源掃描器”、“漏洞掃描器”、“弱口令掃描器”、“FTP掃描器”、“代理掃描器”,等等。
在介紹如何搜索共用資源之前,先來看看如何判斷目標網段內有無活動主機,以及有哪些活動主機。
(1)實例一:使用工具IPScan
打開IPScan,填入目標網路起始IP和結束IP,按一下“Start”按鈕開始掃描,掃描結果如圖2-29所示。
其中紅色的是不線上主機,藍色的是活動主機,即線上主機,最後面顯示的是主機名稱。
(2)實例二:使用工具Legion(共用資源掃描器)
打開Legion,如圖2-30所示。
Scan Type(掃描類型),此圖示下有兩個選項,說明如下。
è Scan Range——掃描範圍,選中此項表示在右側的Scan Range中手工填入目標網路IP範圍。
è Scan List——掃描清單檔,選中此項表示在右側的Scan List中導入目標網路IP清單檔(*.TXT),如圖2-31所示。
圖2-30 圖2-31
Connection Speed:連線速度
è Slower:慢速掃描。
è 28.8Kbps:28.8Kb/s速度掃描。
è 56Kbps:56Kb/s速度掃描。
è Faster:快速掃描,適用于局域網或寬頻使用。
填入IP段、開始掃描。
在Scan Type中選擇“Scan Range”,在Connection Speed中選擇“Faster”,然後手工填入IP範圍,如圖2-32所示。
圖2-32
最後,按一下“Scan”按鈕開始掃描。
注意:有必要說明一點,在本例中IP範圍內填入的是“210. □.□.2”到“210. □.□.253”,為什麼不填入“210. □.□.0”到“210. □.□.255”呢?這是因為“□.□.□.0”和“□.□.□.255”是整個網路的“廣播位址”,掃描這種位址極有可能造成整個網路的“廣播風暴”,而“□.□.□.1”或“□.□.□.254”這兩個IP位址一般被分配給閘道等關鍵節點使用,掃描該設備不但一無所獲,而且還會引起目標管理員的注意,對於資訊搜集來說,這是得不償失的。
將共用資源映射到本地。完成步驟一、二後,可以看看掃描結果,如圖2-33所示。
除了能夠自動掃描外,該工具還能把掃描到的“共用資源”映射到本地,以便通過“我的電腦”對共用資源進行管理。在圖2-33左側視窗中選中共用資源,然後按一下“Map Drive”(對應磁碟機),即可完成映射,如圖2-34所示。
圖2-33 圖2-34
映射完成後,該共用資源就會以驅動器的形式出現在“我的電腦”中,如圖2-35所示。進入該驅動器,就相當於進入了遠端主機的共用資料夾裡。
除了使用映射的方法來訪問共用資源外,還可以通過IE流覽器來訪問。打開IE流覽器,在位址欄中輸入“\\server”或“\\server\share”,便可以像訪問FTP伺服器那樣來訪問共用資源,如圖2-36所示。
圖2-35 圖2-36
2.2.3 破解Windows 9x共用密碼
由於Windows 9x系統中存在共用密碼校驗漏洞,所以攻擊者不需要密碼就可以訪問Windows 9x系統的共用資源。
Windows 9x服務端在對用戶端的口令進行的校驗是以用戶端發送的長度資料為依據的。因此,用戶端在發送口令認證資料包時可以設置長度域為1,同時給服務端發送一個位元組的明文口令。服務端就會將用戶端發來口令與服務端保存的共用口令的第一個位元組進行明文比較,如果匹配就認為通過了驗證。因此,攻擊者僅僅需要猜測共用口令的第一個位元組即可。
存在該漏洞的系統有:
è Microsoft Windows 95
è Microsoft Windows 98
è Microsoft Windows 98 Second Edition
實例:使用工具PQwak2.exe。
搜索共用資源。
打開Legion,填寫IP段,得到掃描後的結果如圖2-37所示。
然後把掃描到的共用資源映射到本地。由於該共用資源存在密碼,在映射過程中,會出現“映射失敗”的提示,如圖2-38所示。
圖2-37 圖2-38
密碼破解。
打開PQwak2.exe,如圖2-39所示。
在IP中填入目標主機的IP、共用檔案名,然後按一下“Crack”按鈕,大約幾秒鐘,就會在下麵顯示出破解出的使用者名(name)和密碼,如圖2-40所示。
圖2-39 圖2-40
破解出密碼以後,入侵者便可以通過這個密碼進入共用資源。而且,這樣破解得到的共用資源常常具有“讀、寫”的許可權。
2.2.4 利用共用資源入侵
首先來介紹利用autorun.inf自動執行木馬程式。對於某些光碟,當把它們放入光碟機後,不需要任何指示,該光碟中的程式會自動運行,這種功能就是靠光碟中的autorun.inf來實現的。如果在共用驅動器中建立autorun.inf檔,那麼當管理員進入該驅動器的同時,不需要滑鼠按一下就會自動執行autorun.inf指向的“可執行檔”。按照同樣的方法,當入侵者進入共用驅動器後,令autorun.inf指向木馬程式,從而實現控制目標主機。
Autorun.inf的格式:
[autorun]
open = 路徑\可執行檔名
舉個例子,如圖2-41所示。
圖2-41
除了通過“autorun.inf ”檔來自動執行木馬程式外,入侵者還常常通過“開機自動運行功能”來執行木馬。在平時使用電腦的時候,有時候需要一開機就打開一些固定的程式,如殺毒防火牆、記憶體整理等。為了方便使用者快捷地打開這些程式,Windows系統支援使用者或安裝程式來自訂一些系統一啟動便運行的程式,這裡暫時把這種功能稱為“開機自動運行功能”。一般可以通過以下幾個地方來設置“開機自動運行功能”程式:
è 開始→程式→啟動功能表。
è C:\中的autoexec.bat檔。
è 計畫任務。
è 註冊表中的相應位置最常見的有:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOn