攻防手记IT安全攻防实战优秀论文IT安全.docx

1、攻防手记IT安全攻防实战优秀论文IT安全入侵视频反思观看入侵视频后，感觉这个获奖者（攻击者）似乎跳跃了传统黑客的入 侵系统的过程。传统的黑客入侵包含了一下几个环节：信息采集一漏洞发现一弱点利用一获得目标系统权限一完成破坏行为一放置 后门一擦除犯罪痕迹T对入侵目标保持监控。由于是虚拟环境的入侵，所以后 面环节的缺少是必然的，但入侵者直接利用 asp脚本注入工具进行扫描，这是 我始料未及的。1.非完整性扫描对于黑客们来说，在开始真正肆虐之前，首先要完成的步骤一一踩点（国外的黑客称作footprinting ），这是收集目标信息的一种黑客攻击技巧。 举例来说，就像我们玩“红色警戒”游戏一样，我们在地

2、图没有完全打开的时 候，总要派遣出去一个小兵，让他摸索一下对方的建筑规模和防范的弱点。就 网络安全而以，主动的攻击者可以通过对某个组织进行有计划、有步骤的踩 点，收集整理出一份关于该组织信息安防现状的完整剖析图。他们结合使用各 种工具和技巧，攻击者完全可以从对某个组织公开渠道查出该组织具体使用的 域名、网络地址块、与因特网直接相联的各有关系统的 IP地址以及与信息安防现状有关的其他细节。有很多种技术可以用来进行踩点，但它们的主要目的不外乎发现和收集 与以下几种与网络环境相关的信息：外部接口的信息、内部的网络环境、远程 访问中的信息资源以及分支机构的网络连接。下表中（表 1.1 ）罗列出了这些

3、环境以及攻击者要收集和确认的重要信息。表1攻击者踩点信息网络环境需要确认的信息外部接口的信息r域名网络地址范围可以直接从In ternet进行访问的各个系统的具体IP地址 P已被发现的各个系统上运行的 TCP和UDP服务防火墙的品牌和操作系统的版本信息访问控制机制和相关的访问控制表（access con trol lis，ACL）入侵检测系统（intrusion detection system IDS）各有关系统的细节信息（管理员的个人信息、负责人的Mail、路由表、SNMP信息等等）网络环境需要确认的信息DNS主机名分支网络连 接连接的源地址和目标地址连接的类型访问控制机制内部的网络 环境

4、组网协议（比如说，IP、IPX、DecNET等等）r内部域名（常常合外部域名分开）网络地址范围可以直接从内联网进行访问的各个系统的具体ip地址:已被发现的各系统上运行的 TCP和UDP服务已被发现的各系统的体系结构（例如，SPARC还是X86）访问控制机制和相关的访问控制表（access con trol lis， ACL）入侵检测系统(intrusion detection system IDS)远程访问VOIP的类型和组织方式:远程系统的类型身份验证机制VPN和相关的协议（IPSec和PPTP）2 黑客技术平民化 很多时候，我非常敬佩的一些网络管员，他们用无限的学习和工作时间，甚至在用自己

5、的身体健康去换得网络的安全稳定。但 是，一个人的力量终究有限，再加上技能差距等因素，组织的信息安全平台都 有可能遭受到重大打击。对于大型的网络机构和信息中心，为了保障处理安全 事务的及时，满足提高整体信息化安全等级的需求，付出了更多的资源和风险 成本。有许多网络安全技术人员或者网管员自己不能单独完成一个网络安全的 整体规划，这是因为网络安全技术涵盖的范围太广，而许多安全产品本身就漏 洞，网络管理员不可能对每个产品的或方案了如指掌，互联网成立他们最主要 的学习平台。下面引用一段黑客教案网站的宣言：“我们力争把这里建设成为黑客初 学者的网上家园，我们建站目的就是让更多想学习黑客技术的朋友们能通过本

6、站获得最基础、最系统的知识，使黑客技术平民化！ ”看似高级神秘的攻击技 术，被许多网络安全领域的“高手”们设计成不同功能模块，或者是集合上述 多个步骤的集成化入侵工具，随意让人下载，我们一直面对的黑客可能就是你 身边的同事和朋友。攻击技术“平民化”，为本来就存在众多安全隐患的网络“雪上加霜，火上浇油！”此次活动的入侵者使用了 3个黑客攻击软件，即：注入工具（扫描与溢 出）、暴力破解词典（MD5散列数据库网站）、ASP脚本控制程序（已经归属于 木马类病毒）。三个黑客工具即可控制目标对象的入侵过程，让我们反思，很 多安全网站攻防教程是教会了防御者防护的方法还是培养了最新一代“工具 型”的黑客。3

7、应用层弱点成为黑客首选威胁是一种对组织及其资产构成潜在破坏的可能性因素，是客观存在 的。造成威胁的因素可分为物理环境、系统漏洞、人为因素。根据威胁的动 机，环境因素包括自然界不可抗的因素和其它物理因素；系统漏洞可以包括网 络设备漏洞、操作系统漏洞、代码漏洞等：人为因素又可分为恶意和无意两 种。网络所面临的威胁很多，其中包括：物理威胁（偷窃、废物搜寻、间谍行为、 身份识别错误）、系统漏洞（乘虚而入、不安全服务、配置和初始化）、身份 鉴别威胁（口令圈套、口令破解、算法考虑不周、编辑口令）、线缆连接威胁（窃听、拨号进入、冒名顶替）、有害程序（病毒、代码炸弹、特洛伊木马） 等。概括起来，由于TCP/I

8、P的设计漏洞，这些攻击包括：源地址欺骗（Source address spoofing ）或 IP 欺骗（IP spoofing ）。 源路由选择欺骗（Source Routing（RIP Attacks ）。 鉴TCP序列号欺骗（TCPspoofing ）。 路由选择信息协议攻击别攻击（Authentication Attacks ）。Sequenee number spoofing ）。TCP序列号轰炸攻击（TCP 易欺骗性（Ease ofTCP/IP协议的服务很多，人们TCP/IP协议数据流采用明文传输。SYN Flooding Attack ），简称 SYN攻击 spoofing ）。

9、 如今的互联网中基于比较熟悉的有WW服务，FTP服务，电子邮件服务，不太熟悉的有 TFTP月艮务,NFS服务，Finger服务等等。这些服务都存在不同程度上的安全缺陷，当用户 构建安全可信网络时，就需要考虑，该提供哪些服务，要禁止哪些服务。观看 演示视频中我们得到了一个结论，直接从应用层的代表 Web服务漏洞直接攻击可获得意外的收获。Web服务器位于宿主基础结构的前端，它与 In ternet 直接相连，负责接收来自客户端的请求，创建动态 Web页并响应请求数据。最初 WW服务只提 供静态的HTML页面，为力改变人们对网络互动请求的愿望，人们引入了 CGI程序，CGI程序让人们的主页活起来。C

10、GI程序可以接收用户的输入信息，一般用 户是通过表格把输入信息传给 CGI程序的，然后CGI程序可以根据用户的要求进行一些处理，一般情况下会生成一个 HTML文件，并传回给用户。CGI程序很 多都存在安全漏洞，很容易被黑客利用做一些非法的事情。有很多人都认可“没有 Web就没有In ternet ”。Web服务是一种可以 用来解决跨网络应用集成问题的开发模式，这种模式为实现“软件作为服务” 提供了技术保障。而“软件作为服务”实质上是一种提供软件服务的机制，这 种机制可以在网络上暴露可编程接口，并通过这些接口来共享站点开放出来的 功能。可是在很多情况下，Web应用程序及Web站点往往易遭受到各种

11、各样的 攻击，数据在网络传输过程中也很容易被窃取或盗用。很多安全厂商和专家预 计在未来很长时间里，Web网络威胁还将进一步增加，各种人为的威胁将通过 互联网执行具有“自我延续性”的恶意活动，尤其应注意那些针对大众网站的 Web威胁。漏洞分析漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷， 从而可以使攻击者能够在未授权的情况下访问或破坏系统。具体举例来说，比 如在Intel Pentium 芯片中存在的逻辑错误、在 Sendmail早期版本中的编程错 误、在NFS协议中认证方式上的弱点、在 Unix系统管理员设置匿名Ftp服务时 配置不当的问题都可能被攻击者使用。因而这些都可以认为

12、是系统中存在的安 全漏洞，威胁到系统的安全。安全漏洞向来是网络安全领域首要关注的问题，发现系统的安全漏洞也 是黑客进行入侵和攻击的重要步骤。据调查，约有 80%勺国内网站存在明显漏洞。漏洞的存在使网络上不法分子的非法入侵与袭扰破坏有可乘之机，给网络 安全带来了巨大的潜在危险。具体来说，观看动画后感觉此系统的设置存在多 处漏洞，漏洞分析如下。1代码编写漏洞 检查代码中的安全性缺陷，是网站创建过程中的一个关键要素，它与计划、设计和测试同等重要。 SQL注入的症结在于使用字符串连接来构建SQL语句，我们可以扫描代码实现。一般而言，检查的重点 应放到搜索诸如“ update ”、“ select ”、

13、“i nsert ”、“ exec ”以及列举表 名或数据库名之类的单词。“阿 D”等注入工具的扫描机制有很多，这里引用 阿D主页上的信息：/看看是什么权限的and 1=(Select IS_MEMBER(db_ow ner)And char(124)+Cast(IS_MEMBER(db_owner) as varchar(1)+char(124)=1。-/检测是否有读取某数据库的权限and 1= (Select HAS_DBACCESS(master)And char(124)+Cast(HAS_DBACCESS(master) as varchar(1)+char(124)=1 -数字类型

14、and char(124)+use 叶char(124)=0字符类型and char(124)+use 叶char(124)=0 and =搜索类型and char(124)+user+char(124)=0 and %=爆用户名and user0and user0 and =检测是否为SA权限and 1=(select IS_SRVROLEMEMBER(sysadmin)。-Andchar(124)+Cast(IS_SRVR0LEMEMBER(0x730079007300610064006D0069006E00) as varchar(1)+char(124)=1 -.（从略）/爆出长度An

15、d (Select char(124)+Cast(Count(1) as varchar(8000)+char(124) FromD99_Tmp)=0。更改sa 口令方法：用sql综合利用工具连接后，执行命令：exec sp_password NULL,新密码,sa添加和删除一个SA权限的用户test:exec master.dbo.sp_addlog in test,ptloveexec master.dbo.sp_addsrvrolemember test,sysadmin 删除扩展存储过过程xp_cmdshell的语句:exec sp_dropexte ndedproc xp_cmdsh

16、ell添加扩展存储过过程EXEC master.sp_addexte ndedproc xp_proxiedadata, c:wi nn tsystem32sqllog.dll GRANT exec On xp_proxiedadata TO public停掉或激活某个服务。exec master.xp_servicec on trol stop,scheduleexec master.xp_servicec on trol start,scheduledbo.xp_subdirs只列某个目录下的子目录。xp_getfiledetails C:I netpubwwwrootSQLInjectl

17、ogi n.aspdbo.xp_makecab将目标多个档案压缩到某个目标档案之内。所有要压缩的档案都可以接在参数列的最后方，以逗号隔开。dbo.xp_makecabc:test.cab,mszip,1,C:I netpubwwwrootSQLInjectlogi n.asp,C:I netpubwwwrootSQLInjectsecurelogi n.aspxp_termi nate_process停掉某个执行中的程序，但赋予的参数是 Process IB利用”工作管理员”，透过选单检视-选择字段勾选pid，就可以看到每个执行程序的Process IDxp_termi nate_proces

18、s 2484xp_un packcab更新表内容Update films SET kind = Dramatic Where id = 123删除内容delete from table_ name where Stockid = 32密码设置漏洞 哈希函数将任意长度的二进制字符串映射为固定长度的小型二进制字符串。加密哈希函数有这样一个属性：在计算上不大可能找到 散列为相同的值的两个不同的输入；也就是说，两组数据的哈希值仅在对应的 数据也匹配时才会匹配。数据的少量更改会在哈希值中产生不可预知的大量更 改。MD5算法的哈希值大小为128位。MD5类的ComputeHash方法将哈希作 为16字节的

19、数组返回。请注意，某些 MD5实现会生成32字符的十六进制格 式哈希。若要与此类实现进行互操作，请将 ComputeHash方法的返回值格式化 为十六进制值。一般来说，形如ef0020cf8c5e45b9 （ 77169）的16位或者32位密码就 是经过MD5加密的，MD5是一种不可逆的算法，但入侵者为什么能快速的就破 解了呢？我分析有两点原因：（1） 那些所谓的在线破解 MD5密码，不过就是用一个庞大的 MD5原文密码：加密密码数据库比对而已。数据库中正好包含了 77169的反向散列值。（2） 77169这个密码设置的过于简单，5位数字组成，这还是有可能被 大型高性能主机破解的。 当然还有很

20、多字典破解的工具，不过密码简单的让人无法置信。要说注入是由于程序员书写不规范造成的，造成系统被突 破的最根本原因依然是密码问题。还有很多网站提供 MD5密码查询，但都无法对数据库中的“ d7f9061ae314ca0a”进行反向解密。3. FCKeditor上传漏洞 现在，许多的 Web应用程序被设计成可包含用于收集富文本数据的用户界面，因此，它们在外观和使用方面看起来更 像桌面应用程序。随着越来越多的网站将其内容交由访问者创建，标准文本框 很快变得陈旧过时。对于许多Web应用方案而言，标准HTML文本框无法提供富文本编 辑器所能提供的功能或优势。借助 FCKeditor，无论服务器端采用何种

21、技术, 均可简便而轻松地嵌入富文本数据收集功能。此网站后来也使用了 FCKeditor，入侵者正式从FCKeditor找到了可以上传asa文件类型的漏洞。三.网络加固建议 针对Web服务的攻击有很多，例如对 WE应用程序的破坏、绕过验证与Session验证、获取管理权限、获取资源、针对主机漏洞与 WE或全漏洞攻击、跨站脚本攻击及 SQL注射攻击等等。另外，硬件与物理环 境的错误，也都会导致资源无法被客户端访问到。安全面的 Web安全防御要从以下几个方面入手，构建出一个安全的防御架构：资源保护重要资源，如数据库中或文件系统上的数据；物理环境，如 UPS供电、磁盘冗余、双机冗余；In ternet

22、访问接口的访问控制，数据的授权与认证访 问。威胁和威胁建模所有类型的威胁包括网络威胁、主机威胁、与应用的威胁；重点放在 Web应用的威胁，如：SQL注入、跨网站脚本、输入篡改、劫获会话等；掌握威 胁建模的方法与步骤，使你能系统地全面地了解 Web应用可能的威胁。程序缺陷与服务漏洞包括操作系统在某方面的弱点或特性，以及它有可能造成威胁的发生。 网络、主机或应用程序编写过程中可能存在缺陷。攻击与对策100%的安全是不存在的，当某人或者设备采取的危害资源的行为之后， 应对威胁、减小危险的安全措施。最后是应急响应、犯罪证据的取证，以及灾 难恢复工作的执行效率。在多数的网络中，我们不可能将 Web主机直

23、接曝露在In ternet上，所 以使用NAT（Network Address Tran slation ，网络地址翻译）技术，将局域网中Web服务器的内部地址翻译成合法的In ternet IP 地址使用，这是提高 Web主机安全性的普遍做法。例如：在一台路由器上要想对外发布 IIS / FTP 站点，则只能使用路由器的端口映射（端口地址翻译）NAT技术来完成，如80端口映射 成 Web服务器,21端口映射成FTP服务器。假定192.168.1.1和192.168.1.2 是企业内部局域网的 Web和FTP服务器的地址，80是Web服务器的端口 21是 FTP服务器的端口。在CISCO的路由

24、器做端口映射，可以通过下面两个命令实 现：ip nat in side source static tcp 192.168.1.1 80 202.86.149.1 80ip nat in side source static tcp 192.168.1.2 21 202.86.149.1 21最后是配合ACL入口规则的使用：access-list 101 permit tcp any host 202.86.149.1 eq 80in tface e0ip access-group 101 in本网站加固可首先利用传统方法，架构网络防护层，比如关闭外部网络 访问3389端口等。1 构建反向代理

25、机制 大家熟知的IIS Uni code攻击，以及此次攻击中使用的注入技术，因为这种攻击是选择了防火墙所允许的 80端口，而包过滤的防火墙无法对数据包内容进行核查，此时防火墙等同于虚设，即使在防火墙 的屏障之后，也会被攻击者轻松拿下超级用户的管理权限。另外一种做法就是使用反向代理技术，反向代理服务器可以避免有效 的减少上述攻击。它对外就表现为一个 Web服务器，不同之处在于的这个服务 器没有保存任何网页的真实数据，所有的静态网页或者 CGI程序，都保存在内部的Web服务器上。因此对反向代理服务器的攻击并不会使得网页信息遭到破 坏，这样就增强了 Web服务器的安全性。图2反向代理访问模式反向代理

26、能以软件方式来实现，女口 Apache mod_proxy、ISA proxy等; 也可以在高速缓存器、负载均衡器等硬件设备上实现。基于软件技术的反向代 理负载均衡可以将优化的负载均衡策略和代理服务器的高速缓存技术结合在一 起，提升静态网页的访问速度。2 密码与后台管理 密码问题是直接导致系统被入侵原因，因此网站管理员需要变更为复杂性密码，其规则可以参考微软的操作系统建议，同样适 合Web服务器页面的后台管理验证，如：是否允许用户重新使用旧的密码（强制密码历史），在两次更改密码之 间的时间（最大密码寿命以及最小密码寿命），最小密码长度（最小密码长 度），以及用户是否必须混合使用大小写字母、数字

27、和特殊字符（密码必须满 足复杂性要求）。我建议你最低要求，也应该采用每 45天更改一次密码，或要求至少8个字符的密码，并确保开启了密码必须满足复杂性要求设置。另外需要防止后台入口的使用标准目录结构，如更换成某些注入工具字 典中没有的后台目录名称。当然，如果有更高安全要求可以启用 SSL+CA验证码的组合登录凭证，或者采用更高等级的动态（令牌）认证。3多层身份验证在此方案中，Web服务器验证调用方的身份，并通过使用调用方的标识 限制对本地资源的访问。数据库验证 ASP默认进程标识（它是权限最少的帐 户）的身份（即数据库信任 ASP应用程序），可监测ASP代码安全，并升级到 SQL Server数

28、据库实现多层身份认证，参见表 2。表2安全措施类别详细信息身份验证通过在IIS中使用集成 Windows身份验证，在 Web服务 器上提供增强身份验证来验证原调用方的身份。在ASP.NET内使用 Windows身份验证（不模拟）。通过将SQL Server配置为使用Windows身份验证，确保 数据库连接的安全。 数据库信任ASP.NET辅助进程以进行调用。可以在数据库中验证ASP.NET进程标识的身份。授权使用绑定到原调用方的ACL在Web服务器上配置资 源。为了简化管理，将用户添加到 Windows组中并在ACL中 使用组。Web应用程序对原调用方执行.NET角色检查，以限制 对页面的访问

29、。安全通信保护在Web服务器和数据库之间传送的机密数据保护在原调用方和Web应用程序之间传送的机密数据升级网页代码以及FCKeditor属性后，图3显示了此方案的建议安全配置图3完整安全升级解决方案4 防范ASP木马Asp木马中最核心的技术就是利用脚本创建对象，然后利用 cmd.exe命 令来执行对文件的创建、删除以及修改等操作。目前较为流行的利用 FSO以及不利用FSO技术的木马程序源代码。说明：FSC是对FileSystemObject的简称，IIS4以及后续版本中的ASP的文件操作都可以通过FileSystemObject实现，包括文本文件的读写目录 操作、文件的拷贝改名删除等。File

30、SystemObject带来方便的同时，也具有非 常大的风险性，利用FileSystemObject可以篡改并下载Fat以及FAT32分区上 的任何文件，即使是ntfs，如果没有对权限进行很好的设置，同样也能遭到破 坏。在众多的asp木马中，海阳顶端网asp木马应该是比较成熟的，也是用 得最多的asp木马，就其版本而言，到目前为止已经推出了数个版本：海阳顶 端网asp木马第一版、海阳顶端网asp木马xp版、海阳顶端网asp木马xp- net版、海阳顶端网asp木马2003版、海阳顶端asp木马安装插件版以及本次 入侵中用到的海阳顶端网asp木马2006版。目前有很多软件可以对asp源代码进行加

31、密，例如asp木马免杀工具 等。其原理是采用一定的算法将源代码或者源代码中的关键字进行某种转换， 经过转换后，源代码已经变为乱码或者显示为特定的字符形式。但是随着杀毒技术的提高和版本的升级，经过加密后的 asp木马仍然不能保证躲过杀毒软件的查杀。ASP木马主要是通过三种组件 FileSystemObject、WScript.Shell 和 Shell.Applicatio n 来操作的，因此只要你在服务器上修改注册表，将这三种组件改名，即可禁止木马运行、防范黑客入侵了飞二招能防范所有类型的上 传漏洞，因为即使黑客将木马成功上传到服务器中，但是由于组件已经被改 名，木马程序也是无法正常运行的！具体而言，需要将 FileSystemObject 组件、WScript.Shell 组件、 Shell.Application 组件改名，然后禁用Cmd.exe,就可以预防漏洞上传攻击。总结 其实我们可以把这次攻防比赛看成是一次模拟入侵测试，模拟入侵测试是一种从外部观点来