第四章 网络安全攻击技术-3
发布时间:2021-06-08
网络安全攻击技术
第四章- 第四章-网络安全攻击主讲:高显嵩 邮件:rogergao@
主讲: 主讲:高显嵩
Email:rogergao@ :
网络安全攻击技术
主要内容
入侵攻击的步骤(入侵攻击五部曲) 入侵五步曲之四保持访问 入侵五步曲之五隐藏踪迹
主讲: 主讲:高显嵩
Email:rogergao@ :
网络安全攻击技术
五部曲之四——保持访问(种植后门) 保持访问(种植后门) 五部曲之四 保持访问
在大多数情况下,攻击者入侵一个系统后,他可能还 想在适当的时候再次进入系统。比如说,如果攻击者 入侵了一个站点,将它作为一个对其他系统进行攻击 的平台或者是跳板,他就会想在适当的时候登录到这 个站点取回他以前存放在系统里面的工具进行新的攻 击。并且利用某些漏洞对目标进行攻击时,入侵者只 有一次进入系统的机会,一旦网络连接断开就会在一 段时间内无法进入系统,比如:RPC DCOM。这是 黑客就会在这个已经被入侵的系统中留一个后门 (backdoor)。
主讲: 主讲:高显嵩
Email:rogergao@ :
网络安全攻击技术
五部曲之四——保持访问(种植后门) 保持访问(种植后门) 五部曲之四 保持访问
留后门是一种艺术留后门并不是一项简单的工作,不但要留下下次进入的通道, 而且还要对自己所做的一切加以隐藏,如果建立起的后门马 上就被管理员发现就没有任何用处了。 留一个隐蔽的后门需要动很多脑筋,是一种黑客和管理员智慧 的较量。并且留后门的方法可以不尽相同,只要能实现你的 目的可以利用我们的智慧用任何方法留下后门。
主讲: 主讲:高显嵩
Email:rogergao@ :
网络安全攻击技术
五部曲之四——保持访问(种植后门) 保持访问(种植后门) 五部曲之四 保持访问
留后门通常有两种目的:1、保持对目标系统的长期控制。 2、监事目标系统的行动或者记录目标系统的敏感信息,随时 报告入侵者。
主讲: 主讲:高显嵩
Email:rogergao@ :
网络安全攻击技术
五部曲之四——保持访问(种植后门) 保持访问(种植后门) 五部曲之四 保持访问
后门的分类从后门的整体特点来分可分为两大类:主动后门和被 动后门。主动后门就是后门程序会主动的监听某个 端口或进程,随时等待连接,后门的特征非常明显。 被动后门不会做任何的工作,只有连接者去连接的 时候才能表现出后门的特征。 从开放端口情况上来分分为:开放端口的后门、不开 放端口的后门、利用系统已经开放的端口的后门。 从工作模式上来分分为:命令模式的后门、图形界面 的后门、B/S结构基于浏览器的后门。 从连接模式上分为:正向连接后门、反向连接后门。 在这里我们又一种综合的分类,后面我们都是按照这 种分类方式来
讲述各类后门:命令模式后门、击键 记录后门、脚本后门、帐号后门、图形界面控制后 门、木马后门和其他后门。主讲: 主讲:高显嵩 Email:rogergao@ :
网络安全攻击技术
五部曲之四——保持访问(种植后门) 保持访问(种植后门) 五部曲之四 保持访问
命令模式后门Telnet扩展后门三剑客(winshell、wollf、wineggdropshell) 现在流行的telnet扩展后门主要有三个:winshell、wollf、 wineggdropshell 三个后门。下面我们会详细对这三个后门作功能、 大小、稳定性、优缺点、安全上来进行比较。 三个后门作者: winshell作者是孤独剑客(jacker),主要代表作就是winshell。 wollf作者是wollf时冰河的作者黄鑫的夫人,主要代表作是wollf。 wineggdropshell作者是wineggdrop。 大小方面比较: winshell:服务端压缩后只是6k,最小型的一个。 wollf:服务端压缩后是56k,属于不算大。 wineggdropshell:最新版本是58k。
主讲: 主讲:高显嵩
Email:rogergao@ :
网络安全攻击技术
五部曲之四——保持访问(种植后门) 保持访问(种植后门) 五部曲之四 保持访问
击键记录后门击键记录后门也是黑客比较常采用的方法,该类后门主要用于 监视用户的键盘输入记录,然后发送给攻击者,或者由攻击 者定期连接上来察看。
主讲: 主讲:高显嵩
Email:rogergao@ :
网络安全攻击技术
五部曲之四——保持访问(种植后门) 保持访问(种植后门) 五部曲之四 保持访问
脚本后门脚本后门主要放在攻击目标的web站点中,较新的脚本后门主 要是asp后门,perl后门和php后门,这里主要谈谈asp后门, perl和php后门的原理基本一样,只不过针对的操作系统不 同。asp后门主要分为使用FileSystemObject组件和 shell.application组件两种,由于asp脚本写作较为容易,所 以变种较多,而且隐蔽性较强不易被查杀。普通的asp后门 最大的问题就是权限,不过可以通过一些方法来更改asp脚 本执行权限的。
主讲: 主讲:高显嵩
Email:rogergao@ :
网络安全攻击技术
五部曲之四——保持访问(种植后门) 保持访问(种植后门) 五部曲之四 保持访问
帐号后门在目标的计算机上创建管理员用户 激活guest帐号,然后加入管理员组 克隆帐号的技术,把Guest帐号激活然后克隆成Administrator 让被禁用的Guest帐号登录系统并且拥有管理员权限。
主讲: 主讲:高显嵩
Email:rogergao@ :
网络安全攻击技术
五部曲之四——保持访问(种植后门) 保持访问(种植后门) 五部曲之四 保持访问
图形界面控制后门图形界面控制后门的特点是界面友好、操作方便、直接可以控 制对方的屏幕。目前单纯的图形界面的后门程序比较少,大 多数都是在木马后门程序中集成了这种图形界面控制的功能, 但是木
马程序非常容易被杀毒软件查杀,并且速度很慢,所 以目前黑客经常采用的是利用网络管理工具改装成的后门。 黑客常用的这种改装的后门有DameWare、Remote Administrator 、VNC等。
主讲: 主讲:高显嵩
Email:rogergao@ :
网络安全攻击技术
五部曲之四——保持访问(种植后门) 保持访问(种植后门) 五部曲之四 保持访问
木马后门当获得了系统的存储权时,建立后门时相当容易的,但是在没 有完全获得对系统的存取权限时,一般可以通过使用特洛伊 木马来实现。特洛伊木马程序包括两个部分:一个外壳程序 和一个内核程序。外壳程序就是每个人都可以看得到的部分。 这部分必须时非常有趣或者是让人激动的,以至于当人们看 到它的是时候都会不加考虑的运行。内核部分就是能够对系 统造成危害的部分。当外壳程序重新运行时,内核程序隐蔽 地隐藏在显示屏后做着各种各样可能对系统造成破坏的事情。 内核程序的功能非常强大,几乎可以做任何事情,比如进行 攻击、删除硬件设备、建立后门等。对于大多数特洛伊木马 程序来说,内核程序的功能就是在受攻击的系统中建立后门。
主讲: 主讲:高显嵩
Email:rogergao@ :
网络安全攻击技术
五部曲之四——保持访问(种植后门) 保持访问(种植后门) 五部曲之四 保持访问
内网端口映射 htran.exe [option:] -listen <ConnectPort> <TransmitPort> -tran <ConnectPort> <TransmitHost> <TransmitPort> -slave <ConnectHost> <ConnectPort> <TransmitHost>第一条和第三配合使用。如在本机上监听 -listen 51 3389,在远程 主机上运行-slave 本机ip 51 远程主机ip 3389,那么在本地连 127.0.1就可以连肉鸡的3389 第二条是本机转向。如-tran 51 127.0.0.1 338
主讲: 主讲:高显嵩
Email:rogergao@ :
网络安全攻击技术
五部曲之四——保持访问(种植后门) 保持访问(种植后门) 五部曲之四 保持访问
内网端口映射HttpTunnel 远程执行 "hts.exe -F 远程ip:4899 80" 本地 htc -F 4899 targetip:80 HttpTunnel在HTTP请求中创建一个双向的虚拟数 据连接来穿透防火墙 优点是即使80端口开着 用它 也不会出现什么问题
主讲: 主讲:高显嵩
Email:rogergao@ :
网络安全攻击技术
五部曲之四——保持访问(种植后门) 保持访问(种植后门) 五部曲之四 保持访问
其他后门其实留后门可以有很多种方法,甚至是一个为你提供信息的网 络管理员。
主讲: 主讲:高显嵩
Email:rogergao@ :
网络安全攻击技术
五部曲之五——隐藏踪迹(清除日至) 隐藏踪迹(清除日至) 五部曲之五 隐藏踪迹
当黑客成功获取了存取权限且完成了自己的预定目标 后,他还有最后一个工作要完成隐藏攻击踪迹。这其 中包括重新进入系统,将所有能够表明他曾经来过的 证
据隐藏起来。为达到这个目的,有四个方面的工作 要做:日志文件 文件信息 另外的信息 网络通信流量
主讲: 主讲:高显嵩
Email:rogergao@ :
网络安全攻击技术
总结
入侵攻击的步骤(入侵攻击五部曲) 入侵五步曲之四保持访问
主讲: 主讲:高显嵩
Email:rogergao@ :
第四章 网络安全攻击技术-3.doc
将本文的Word文档下载到电脑
上一篇:意大利语学习推荐书目
下一篇:城市排水许可申请表
