网络安全攻击技术

第四章- 第四章-网络安全攻击主讲：高显嵩 邮件：rogergao@

主讲： 主讲：高显嵩

Email:rogergao@ :

网络安全攻击技术

主要内容

入侵攻击的步骤(入侵攻击五部曲) 入侵五步曲之四保持访问 入侵五步曲之五隐藏踪迹

主讲： 主讲：高显嵩

Email:rogergao@ :

网络安全攻击技术

五部曲之四——保持访问(种植后门) 保持访问(种植后门) 五部曲之四 保持访问

在大多数情况下，攻击者入侵一个系统后，他可能还 想在适当的时候再次进入系统。比如说，如果攻击者 入侵了一个站点，将它作为一个对其他系统进行攻击 的平台或者是跳板，他就会想在适当的时候登录到这 个站点取回他以前存放在系统里面的工具进行新的攻 击。并且利用某些漏洞对目标进行攻击时，入侵者只 有一次进入系统的机会，一旦网络连接断开就会在一 段时间内无法进入系统，比如：RPC DCOM。这是 黑客就会在这个已经被入侵的系统中留一个后门 (backdoor)。

主讲： 主讲：高显嵩

Email:rogergao@ :

网络安全攻击技术

五部曲之四——保持访问(种植后门) 保持访问(种植后门) 五部曲之四 保持访问

留后门是一种艺术留后门并不是一项简单的工作，不但要留下下次进入的通道， 而且还要对自己所做的一切加以隐藏，如果建立起的后门马 上就被管理员发现就没有任何用处了。 留一个隐蔽的后门需要动很多脑筋，是一种黑客和管理员智慧 的较量。并且留后门的方法可以不尽相同，只要能实现你的 目的可以利用我们的智慧用任何方法留下后门。

主讲： 主讲：高显嵩

Email:rogergao@ :

网络安全攻击技术

五部曲之四——保持访问(种植后门) 保持访问(种植后门) 五部曲之四 保持访问

留后门通常有两种目的：1、保持对目标系统的长期控制。 2、监事目标系统的行动或者记录目标系统的敏感信息，随时 报告入侵者。

主讲： 主讲：高显嵩

Email:rogergao@ :

网络安全攻击技术

五部曲之四——保持访问(种植后门) 保持访问(种植后门) 五部曲之四 保持访问

后门的分类从后门的整体特点来分可分为两大类：主动后门和被 动后门。主动后门就是后门程序会主动的监听某个 端口或进程，随时等待连接，后门的特征非常明显。 被动后门不会做任何的工作，只有连接者去连接的 时候才能表现出后门的特征。 从开放端口情况上来分分为：开放端口的后门、不开 放端口的后门、利用系统已经开放的端口的后门。 从工作模式上来分分为：命令模式的后门、图形界面 的后门、B/S结构基于浏览器的后门。 从连接模式上分为：正向连接后门、反向连接后门。 在这里我们又一种综合的分类，后面我们都是按照这 种分类方式来

讲述各类后门：命令模式后门、击键 记录后门、脚本后门、帐号后门、图形界面控制后 门、木马后门和其他后门。主讲： 主讲：高显嵩 Email:rogergao@ :

网络安全攻击技术

五部曲之四——保持访问(种植后门) 保持访问(种植后门) 五部曲之四 保持访问

命令模式后门Telnet扩展后门三剑客(winshell、wollf、wineggdropshell) 现在流行的telnet扩展后门主要有三个：winshell、wollf、 wineggdropshell 三个后门。下面我们会详细对这三个后门作功能、 大小、稳定性、优缺点、安全上来进行比较。 三个后门作者： winshell作者是孤独剑客(jacker),主要代表作就是winshell。 wollf作者是wollf时冰河的作者黄鑫的夫人，主要代表作是wollf。 wineggdropshell作者是wineggdrop。 大小方面比较： winshell:服务端压缩后只是6k,最小型的一个。 wollf:服务端压缩后是56k,属于不算大。 wineggdropshell:最新版本是58k。

主讲： 主讲：高显嵩

Email:rogergao@ :

网络安全攻击技术

五部曲之四——保持访问(种植后门) 保持访问(种植后门) 五部曲之四 保持访问

击键记录后门击键记录后门也是黑客比较常采用的方法，该类后门主要用于 监视用户的键盘输入记录，然后发送给攻击者，或者由攻击 者定期连接上来察看。

主讲： 主讲：高显嵩

Email:rogergao@ :

网络安全攻击技术

五部曲之四——保持访问(种植后门) 保持访问(种植后门) 五部曲之四 保持访问

脚本后门脚本后门主要放在攻击目标的web站点中，较新的脚本后门主 要是asp后门，perl后门和php后门，这里主要谈谈asp后门， perl和php后门的原理基本一样，只不过针对的操作系统不 同。asp后门主要分为使用FileSystemObject组件和 shell.application组件两种，由于asp脚本写作较为容易，所 以变种较多，而且隐蔽性较强不易被查杀。普通的asp后门 最大的问题就是权限，不过可以通过一些方法来更改asp脚 本执行权限的。

主讲： 主讲：高显嵩

Email:rogergao@ :

网络安全攻击技术

五部曲之四——保持访问(种植后门) 保持访问(种植后门) 五部曲之四 保持访问

帐号后门在目标的计算机上创建管理员用户 激活guest帐号，然后加入管理员组 克隆帐号的技术，把Guest帐号激活然后克隆成Administrator 让被禁用的Guest帐号登录系统并且拥有管理员权限。

主讲： 主讲：高显嵩

Email:rogergao@ :

网络安全攻击技术

五部曲之 …… 此处隐藏：1913字，全部文档内容请下载后查看。喜欢就下载吧 ……