道德黑客攻击(ethical hacking)
融合了渗透测试、白帽黑客攻击和漏洞测试
1.基础
2.攻击:社工攻击和破解
3.攻击网络
4.攻击操作系统:漏洞扫描
5.攻击应用程序:绕过防火墙、入侵监测系统和杀毒软件
6.结果
7.三个十项
惠普 乔·耶格尔
Acunetix 罗伯特·艾贝拉
AirMagnet 关嘉赐
Elcomsoft 弗拉基米尔·卡塔洛夫
Karalon 托尼·海伍德
GFI Software 维多利亚·马斯卡特·英格罗特
Northwest Performance Software 柯克·托马斯
Mythicsoft 戴维·维斯特
N-Stalker 蒂亚戈·扎尼诺蒂
Port80 Software 麦克·安德鲁斯和克里斯·内佩斯
TamSoft 迈克尔·伯格
Amenaza Technologies 特里·英格尔兹比
Identity Finder 艾米特·戈亚尔和弗恩·爱迪生
黑客
恶意内部用户:指无赖员工、承包商、实习生,或其他滥用其特权的用户
道德黑客
道德黑客攻击和安全审计:
安全审计是将公司的安全策略与实际发生的情况比较,目的 是验证安全控制措施的存在。
道德黑客攻击利用漏洞,验证安全控制措施是不到位的。
优先考虑系统,以便将工作重心放在关键事项上;
以非破坏性的方式来攻击系统;
枚举漏洞,如果有必要的话,还要向管理层证明漏洞是存在并可被利用的;
应用结果,以消除漏洞,并更好地保护系统安全。
社会工程学:指利用人类信任的天性来获取用于恶意用途的信息。
网络基础设施攻击:
通过没有安全措施的无线路由器连接到受防火墙保护的网络;
利用网络协议(TCP/IP和NetBIOS)的弱点进行攻击;
用大量请求占据网络,用合法请求造成拒绝服务(DoS)
在网络中安装网络分析器,捕捉通过网络传输的每个数据包,找出明文传输的机密信息。
安全性出色的系统(Novell NetWare和OpenBSD)
利用特定网络协议进行攻击;
攻击内置验证系统;
破坏文件系统安全措施;
破解密码和薄弱加密措施。
电子邮件和Web应用程序攻击:
大多数防火墙和其他安全机制都会被配置成允许完全访问这些来自互联网的服务。
IP电话(VoIP)
敏感信息的文件没采取安全措施就散步在工作站和服务器共享,数据库系统中含有很多可被恶意用户利用的漏洞。
应用道德黑客攻击流程:
拟定计划
对自己系统进行测试时,授权的形式可以是内部备忘录,也可以是来自老板的电子邮件
信息:
要进行测试的具体系统
所含风险
执行测试的时间和整体时间安排
测试前对待测系统的了解
在发现大漏洞后要采取的行动
具体成果:漏洞扫描的报告,待解决重要漏洞和待实施措施
选择工具
破解密码工具:ophcrack和Proactive Password Auditor
端口扫描程序:SuperScan或Nmap
Web应用评估工具:N-Stalker或WebInspect
网络分析程序:Wireshark
(搜索网站)http://groups.google.com www.linkedin.com
http://SecurityFocus.com和http://SearchSecurity.com
软件的漏洞扫描器和硬件的网络分析器:
Cain&Abel OmniPeek SuperScan QualysGuard WebInspect
Proactive Password Auditor Metasploit LANguard AirMagnet WiFi Analyzer
执行计划
被攻击者可以加密:PGP(www.pgp.com)、加密压缩文件或类似技术对含有敏感测试信息的Email加密
(1)在网上搜索组织的名称,计算机和网络系统的名称以及IP地址
(2)缩小范围,将目标对准索要测试的具体系统
(3)进一步缩小。执行实际的扫描和其他测试,发现漏洞
(4)可以执行攻击并利用漏洞(选)
评估结果
防范黑客:
黑客做法:
通过每隔几分钟改变自己的MAC地址和IP地址回避入侵防御系统。从而再进一步深入没有被完全封锁的网络
利用物理安全漏洞。再一大早,趁着办公室的百叶窗开着。。。 通过将恶意网站的网址改变成对应的十进制IP地址,并将十进制IP地址转换成Web浏览器中使用的十六进制,从而绕过Web访问控制措施
通过改变未经授权软件默认的TCP端口,使防火墙不会封锁这些软件的使用 在当地的WiFi热点附近设置无线“钓鱼点”,以吸引那些不知情的上网者们连接到流氓网络中,在这个网络中,他们的信息会被截获,而且很容易被操纵。 使用容易相信他人的同事的用户ID和密码,从而获取对敏感信息的访问权,而这种访问权在其他情况下是没法获得的。
拔掉联网闭路电视安全摄像头(用于监控进出机房或其他敏感区域的通道)的电源线或网线,从而自由进出。
为了隐藏身份,通过连接到邻居家未受保护的无线网络,对网站进行SQL注入或密码破解。
黑客水平分级:
脚本小子
骇客
安全研究者
黑客行为主义者
网络恐怖分子
寻租黑客(犯罪分子)
攻击风格:
放长线钓大鱼
贸然行动
无处不在的恶意用户
黑客匿名方式:
从朋友或以前的雇主那里借来的或盗来的拨号和VPN账户;
图书馆、学校或当地商场信息亭中的公用计算机;
开放的无线网络;
因特网代理服务器或匿名服务;
来自于免费Email的匿名或一次性Email账户;
开放的Email中继;
在其他组织中的不安全计算机(也称僵尸或机器人)
受害者网络中的工作站或服务器
Camtasia Studio(www.camtasia.com)进行记录屏幕行动
攻击方法论:
1.Web搜索:
员工姓名和联系方式;
公司的重大日期;
设立申请;
提交给证券交易委员会的申请;
与行动、组织变化和新产品有关的出版物;
兼并和收购;
专利和商标;
演说、文章和网络广播或网络研讨会。
高级Web搜索
使用交换器深挖网站
site:www.your_domain.com 关键词
site:www.your_domain.com 文件名
filetype:swf company_name
filetype:pdf company_name confidential
2.Web爬虫
例如:HTTrack Website Copier 可以通过下载可公开访问的每个文件制成网站的镜像
网站的排版和配置;
其他情况下不外显或不易于访问的目录和文件;
网页的HTML和脚本源代码;
评论区域。
3.网站
政府和企业网站:
www.hoovers.com和http://finance.yahoo.com提供了与上市公司有关的详细信息
www.sec.gov/edgar.shtml展示了上市公司提交给证券交易委员会的文件;
www.uspto.gov提供了专利和商标注册功能;
背景检查和其他个人信息:
ChoicePoint(www.choicepoint.com);
USSearch(www.ussearch.com)
ZabaSearch(www.zabasearch.com)
映射网络
1.Whois
互联网域名注册信息
负责解析大家所在公司域名的DNS服务器
Whois。net(www.whois.net)
域名注册网站
ISP的技术支持网站
(DNSstuff.com)(www.dnsstuff.com)
政府:www.dotgov.gov;
军事:www.nic.mil;
AfriNIC:www.afrinic.net;
APNIC:www.apnic.net;
ARIN:https://ws.arin.net/whois/index.html;
LACNIC:www.lacnic.net/en
RIPE网络协调中心:www.db.ripe.net/whois;
如果不确定道理查询特定国家信息,访问https://www.arin.net/knowledge/rirs/countries.html;
2.Google群组
3.隐私政策
扫描系统
主机
ping 让用户可以同时ping多个地址的第三方实用程序。reg:SuperScan(www.foundstone.com/us/resources/proddesc/superscan3.htm),用于Win系统的NetScanTools Pro(www.netscantools.com),Linux系统fping(www.fping.com)
网站www.whatismyip.com可以显示出现在网上的网关IP地址。
开放的端口
SuperScan或Nmap(http://nmap.org)
OmniPeek(www.wildpackets.com)和Wireshark(www.wireshark.com)
扫描端口获得的信息:
在使用的协议,reg:IP、IPX和NetBIOS
运行在主机上的服务,reg:Email、Web服务器和数据库应用
可用的远程访问服务,reg:Win终端服务、远程桌面、VNC和Secure Shell(SSH)
VPN服务,reg:PPTP、SSL和IPSec
网络共享所需权限
ping(ICMP回声)的应答,允许ICMP流量出入主机;
TCP端口21,表示FTP在运行
23
25、465
53
80、443和8080
135、137、138、139和445
端口了解网站:www.iana.org/assignments/port-numbers
执行端口号查找:www.cotse.com/cgi-bin/port.cgi
检查版本:
输入域名,加上一个不存在的网页
使用Netcraft的What`s that site running?(www.netcraft.com)
深挖:
NMapWin(http://sourceforge.net/projects/nmapwin)可以确定系统的操作系统版本 枚举实用程序(www.systemtools.com/somarsoft/?somarsoft.com上的DumpSec)可以直接从Win提取用户、群组以及文件和共享权限
banner信息:telnet mail.your_domain.com 25
共享查找工具(GFI LANguard中内置的工具)
发送到无效地址的Email可能会返回详细的Email标题信息
评估漏洞:
搜索黑客的留言板、网站和漏洞数据库。
手动评估;
自动评估。
Qualys(www.qualys.com)->QualysGuardSuite漏洞扫描器
渗入系统
了解更多与主机及其数据有关的信息;
获得远程命令提示符;
启动或停止某些服务或应用;
访问其他系统;
禁用日志记录或其他安全控制措施;
捕捉屏幕截图;
访问敏感文件;
以管理员名义发送Email;
执行SQL注入攻击;
启动另一类拒绝服务攻击;
上传文件
(工具:Metasploit)
《开源安全测试方法手册》www.isecom.org/osstmm
社会工程学
例子:
假冒的支持人员声称他们需要在用户的计算机上安装补丁或新版软件,说服用户下载软件,获得对系统的远程控制。
假冒的供货商声称需要更新组织的会计包或电话系统,向管理员询问密码,获得全部访问权限。 外部入侵者发送钓鱼Email,收集不知情收件人的用户ID和密码。然后利用密码获利。reg:Web表单上的跨站脚本漏洞攻击。 假冒的员工会告知保安台他们丢失了机房的要钥匙,并从保安那里拿到一串钥匙,进而在未经授权的情况下接触到实体信息和电子信息。
艾拉·温克勒
社会工程学的影响
高效的社会工程师会获得:
用户或管理员的密码;
建筑物甚至是机房的安全通行卡或钥匙;
设计规范、配方或其他研发文档之类的知识产权;
机密的财务报表;
私人的和保密的员工信息;
客户名单和销售前景。
执行步骤:
(1)进行研究;
(2)简历信任;
(3)利用关系,通过言语、行动或技术套取信息
(4)将收集到的信息用于恶意目的。
钓取信息
1.使用互联网
2.翻找垃圾箱(可以查到:)
内部电话名单;
组织图;
员工手册,这里通常会包含安全政策;
网络图;
密码清单;
会议记录;
电子表格和报表;
包含机密信息的电子邮件打印稿。
3.电话系统
住宅电话
企业电话
IP电话服务器,需安装Asterisk(www.asterisk.org)
建立信任
可爱性
可信性
利用关系
1.通过言行欺骗
2.通过技术欺骗
防范社工政策:
分类数据;
聘用员工和承包人,并设定用户ID;
建立器可接受的计算机使用惯例;
删除不再为组织工作的员工、承包人和顾问的用户ID;
设置和重置密码;
响应发现可疑行为之类的安全事件;
处理专有信息和机密信息;
接待访客。
物理安全:
建筑大小;
建筑或场所的数目;
员工的数量;
建筑出入口的位置和数量;
数据中心和其他机密信息的位置安排。
测试工程师的总结:(常见的物理安全漏洞)
在办公建筑内没有接待员;
进入建筑不需要访客登记或陪同人员;
只因为访客穿着供应商制服或是自称复印机或计算机维修人员,员工就相信这些访客;
没有门禁系统;
安保闭路电视和数据中心管理系统可以通过带有默认用户ID和密码的网络访问;
门是撑开的;
随意进出的机房;
随处摆放的备份介质;
不安全的计算机硬件(特别是笔记本电脑)和软件介质
垃圾桶中带有机密信息的光盘。
建筑结构
1.攻击点
2.对策
公共设施
1.攻击点
2.对策
办公室布局和使用
1.攻击点
2.对策
网络组件和计算机
1.攻击点
2.对策
密码
密码漏洞:
组织或用户的漏洞
技术漏洞
组织漏洞
彩虹表:可以破解几乎任何字母和数字组合的密码。测试是6天破解1845个密码
除非教育和提醒用户使用强密码,否则:
易于猜解
很少更换
在很多地方重复使用
在不安全的地方写下密码。
技术漏洞
脆弱的密码加密模式
将密码存储在内存、不安全文件和易访问数据库中的程序
在输入密码时将密码显示在屏幕上的用户应用。
破解密码:
旧方法:
1.社工
2.肩窥
3.推理
4.脆弱的认证
新方法:
1.软件:
Cain&Abel(www.oxid.it/cain.html)可以破解LM和NTLM散列,Windows RDP远程,思科IOS和PIX散列,VNC,RADIUS
chknull(www.phreak.org/archives/exploits/novell)会检查没有密码的Novell NetWare账户
Elcomsoft Distributed Password Recovery (www.elcomsoft.com/edpr.html),破解Office,PGP和PKCS,使GPU加速50倍,与Elcomsoft Wireless Auditor一样。
Elcomsoft System Recovery(www.elcomsoft.com/esr.html)破解Win密码,设置权限
John the Ripper(www.openwall.com/john)破解Linux/UNIX和Win密码的散列
ophcrack(http://ophcrack.sourceforge.net)通过引导光盘使用彩虹表破解Win密码
Pandora(www.nmrc.org/project/pandora)在线或离线破解Novell NetWare密码
Proactive Password Auditor(www.elcomsoft.com/ppa.html)蛮力攻击,字典攻击和彩虹攻击
Proactive System Password Recovery(www.elcomsoft.com/pspr.html)恢复Win密码(各种密码)
pwdump3(www.openwall.com/passwords/dll/pwdump/pwdump3v2.zip)从SAM数据库提取Windows密码散列
RainbowCrack(http://project-rainbowcrack.com)
原理:
密码破解会采用一组已知的密码,并对它们执行密码散列算法。然后生成的加密散列就会飞速与从原始密码数据库中提取出的密码散列进行比较。
密码在存储到计算机上时,通常会使用加密算法或单向散列算法(reg:DES或MD5)加密。散列过的密码就会表示成固定长度的加密字符串,同样的字符串总是表示相同的密码。
Win密码存储位置:
c:\winnt\system32\config SAM
存储在本地或分布在域控制器中的Active Directory数据库文件(ntds.dit),Win有时会存在c:\winnt\repair
一些Win应用程序会将密码存储在注册表或键盘上的明文文件中。
Linux和其他UNIX的变体存放位置:
/etc/password everyone
/etc/shadow sys和根账户
/etc/security/passwd sys和根账户
/.secure/etc/passwd sys和根账户
2.字典攻击
ftp://ftp.cerias.purdue.edu/pub/dict
ftp://ftp.ox.ac.uk/pub/wordlists
http://packetstormsecurity.nl/Crackers/wordlists
www.outpost9.com/files/WordLists.html
BlcakKnightList(http://rs159.rapidshare.com/files/184075601/BlackKnightList.rar)应该是最全面的
附:可以使用其他语言的文件
3.蛮力攻击
Mask Attack
4.彩虹攻击
破解LM、NTLM、思科PIX和MD5密码散列,成功率接近100%
不能用于破解无限长度的密码散列。
当前支持的LM散列最大长度是14个字符。
http://ophcrack.sourceforge.net购买和下载
存在长度限制的原因是生成这些彩虹表需要花费大量时间。
5.使用pwdump3和John the Ripper
(1)在Win C根目录下创建passwords新目录
(2)下载压缩工具
(3)将软件下载到passwords下,解压安装
pwdump3: www.openwall.com/passwords/dll/pwdump/pwdump3v2.zip
John the Ripper:www.openwall.com/john
(4)将输出重新指向一个名为cracked。txt的文件
c:\passwords\pwdump3 > cracked.txt
该文件存放了John the Ripper破解的Win SAM密码散列
(5)运行John the Ripper来破解Win SAM
c:passwords\john cracked.txt
6.使用John the Ripper破解UNIX密码
需要对/etc/passwd和shadow有root访问权限
(1)www.openwall.com/john下载UNIX版源文件
(2)输入:
[root@localhost kbeaver]# tar -zxf john-1.7.1.tar.gz
(3)进入提取该程序时所创建的/src目录
make generic
(4)进入/run目录,输入命令,使unshadow程序将passwd和shadow文件合并,并复制到cracked.txt中
./unshadow /etc/passwd /etc/shadow > cracked.txt
(5)破解
./john cracked.txt
7.使用ophcrack和彩虹表破解Win密码
(1)http://ophcrack.sourceforge.net下载
(2)输入:
ophcrack-win32-installer-3.3.1.exe
(3)加载
(4)“Load”
(5)“Launch”开始彩虹攻击
8.检查NetWare中的空密码或空白密码
使用chknull程序,测试密码为空的、密码与用户名一致的以及密码与在命令行输入的特定密码一致的NetWare用户
受密码保护的文件
1.破解
2.对策
其他方法:
1.按键记录
SpectorSoft(www.spectorsoft.com)的eBlaster和Spector Pro
Invisible KeyLogger Stealth(www.amecisco.com/iks/htm)
KeyGhost(www.keyghost.com)
对策:1.权限2.商业软件:Fortres 101(www.fortresgrand.com) Deep Freeze(www.faronics.com/html/deepfreeze.asp)
2.脆弱的密码存储
Identity Finder Pro(www.identityfinder.com/pro)
3.网络分析器
Cain&Abel
OmniPeek(www.wildpackets.com/products/distributed_network_analysis/omnipeek_analyzer)
CommView(www.tamos.com/products/commview)
WireShark
对策1.在网络中使用交换机,而不要使用集线器。
2.确保那些不受监管的区域没有使用中的网络连接
3.不要让没有业务需要的人接触到交换机或防火墙公网端的网络连接
4.弱BIOS密码
www.cirt.net/passwords
对策:PGP或全卷加密(Windows BitLocker)
5.被遗忘的弱密码
6.密码重置程序
用Elcomsoft System Recovery将该工具刻录到光盘上,使用该光盘来引导想要恢复密码的系统
若是Win系统,还可以使用NTAccess+ophcrack
Linux系统,使用Knoppix
对策:硬盘加密:Windows BitLocker或PGP Whole Disk Encryption
应对破解密码的措施:
存储密码:
PGP
Password Safe
其他策略:
启动安全审计,帮助监控和追踪密码攻击;
测试应用,确保它们没有将密码无限期地存储在内存中或是写入到磁盘中;
WinHex(www.winhex.com/winhex/index-m.html)
及时为系统打补丁;
了解用户ID;
DumpSec
更强的身份验证方法;
自动化的密码重置;
用密码保护BIOS系统
保护操作系统安全:
Windows
权限
使用公认的实践(www.cisecurity.org)
SYSKEY
SAM备份安全
15位以上的LM散列
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa创建NoLMHash,键值设为1
使用passfilt.dll、本地安全策略或组安全策略
禁用空会话
Linux和UNIX
shadow处理过的MD5密码
协助防止设定弱密码
检查/etc/passwd文件有没有重复的rootUID项
网络基础设施
坎迪斯·莱顿和马歇尔·维伦斯基所著的TCP/IP For Dummies第6版
www.rfc-editor.org/rfcxx00.html
评估时:
防火墙或入侵防御系统这样的设备被置于网络中的什么位置,是怎样配置的。
在外部攻击者执行端口扫描时,他们能看到什么,他们会如何利用网络主机上的漏洞
网络设置,诸如互联网连接、远程访问能力、分层防御的网络中主机的位置
诸如防火墙、入侵防御系统、防病毒设备等已安装安全设备的相互作用
使用哪些协议
未受保护的常受攻击端口
网络主机的配置
网络监控和维护
工具->扫描器、分析器和漏洞评估工具
扫描器和分析器
SuperScan用于ping扫描和端口扫描
Essential NetTools有多种多样的网络扫描功能
NetScanTools Pro包括ping扫描、端口扫描和SMTP中继测试
Getif可用于SNMP(网络管理协议)枚举
Nmap,NMapWin用于主机端口探测和操作系统特征分析
Cain&Abel用于网络分析和ARP攻击
WildPackets的OmniPeek可用于网络分析
漏洞评估
GFI LANguard用于端口扫描和漏洞测试
Nessus具有ping扫描,端口扫描和漏洞测试功能
QualysGuard用于深度漏洞测试
扫描、扰动和刺探
(1)收集信息并映射网络
(2)扫描系统柯克哪些系统是可用的
(3)确定发现了系统上运行的东西
(4)渗入所发现的系统(选)
端口扫描器 7,19,20,21,22,23,25,37,53,69,79,80,110,111,135,137、138、139、445,161,443,512、513、514,1433,1434,1723,3389,5631、5631,8080
1.ping扫描
2.使用端口扫描工具
SuperScan
Nmap:
连接:查找TCP端口,确定入侵检测系统(IDS)、入侵防御系统(IPS)、防火墙或其他日志记录设备有没有记录这些连接
UDP扫描
SYN秘密扫描:与主机建立半开的TCP连接,躲避IDS系统和日志记录。 FIN秘密扫描、圣诞树扫描和Null扫描:这些扫描会改变每个TCP数据包头部的标志位,让用户可以测试主机处理这些数据包的方式,从而找出薄弱的TCP/IP实现以及要打的补丁。
NetScanTools Pro
收集一般性的网络信息,reg:独立IP地址的数量、NetBIOS名称和MAC地址
3.防御ping扫描和端口扫描的对策
只启用访问内部主机所需的通信,并拒绝一切其他通信。这适用于标准端口,可以应用到:
用于入站通信的外部路由器
用于出站通信的防火墙
对防火墙进行配置,逐渐查找潜在的恶意行为(reg:在一段特定时间内接收到的数据包的数量),如果达到某个特定阈值,reg:1分钟内出现10次端口扫描,或者是出现100次连续ping请求。
SNMP扫描
1.漏洞
被攻破之后就可以收集reg:ARP表,用户名和TCP连接之类的网络信息
商业工具NetScanTools Pro和Essential NetTools
基于图形用户界面的免费Windows软件Getif
基于文本的免费Windows软件SNMPUTIL
2.防御SNMP攻击的对策
如果不使用SNMP,总是在主机上禁用SNMP
在网络边界阻断SNMP端口(UDP端口161和162)
将SNMP community读字符串默认的public和community写字符串默认的private改为几乎不会被猜解的长而复杂的值
banner获取
banner是透露网络主机的软件版本号和其他系统信息的欢迎屏幕。
1.telnet
telnet ip_address
连接其他端口:
SMTP: telnet ip_address 25
HTTP: telnet ip_address 80
POP3: telnet ip_address 110
2.防御banner获取攻击的对策
如果使用会提供banner信息的某些服务并非业务需求,就请在网络主机上禁用这些无用的服务。 如果默认的banner不是业务需要,或者如果可以定制banner,那么通过配置网络主机的应用程序或操作系统禁用banner,或者是一处banner中可能被攻击者利用的信息。请根据具体的厂商来查询与如何完成这些工作有关的信息。
防火墙规则
一些扫描工具可以测试开放端口,并确定流量是否真正被允许穿过防火墙
1.测试
Netcat 可以在不用直接测试生产系统的前提下测试特定的防火墙规则。reg:我们可以检查防火墙是否允许端口23通过,按以下操作:
(1)在网络内部的客户机上加载Netcat
这一步会建立出站连接
(2)在防火墙外的测试机上加载Netcat
这是让测试从外向内进行
(3)在客户机上输入Netcat的监听器命令,并输入要测试的端口号
nc -l -p 23 cmd.exe
(4)输入Netcat命令,在测试机上启动入站会话。必须有:
待测内部机的IP地址
要测试的端口号
reg:如果内部机的IP地址是10.11.12.2,端口号是23,就输入:
nc -v 10.11.12.2 23
如果Netcat在外部机上打开了新的命令提示符,就说明已经连接上内部机,并能执行内部机上的命令了。
Traffic IQ Pro
用户可以将第一块网卡NIC连接到防火墙的内部网段中,将第二块网卡连接到防火墙外部网段或隔离区(DMZ)
Firewalk
会发送生存时间(TTL)递增1的TCP和UDP数据包,并根据响应情况确定数据包是否通过了可用的端口
2.防御防火墙规则库漏洞的对策
严格限制流量
阻止ICMP,以帮助防止外部攻击者通过扰动和刺探网络查看那些主机处于活动状态。
如果可以的话,启用防火墙上的状态数据包检测功能。这可以阻止某些请求。
网络分析器
也称为嗅探器。
适合用于从线路中嗅探出数据包,是运行在计算机上,与网卡协同工作的软件,会将网卡设置成混杂模式。
功能:
捕获所有的网络流量;
将找到的信息解读或解码成可供人们阅读的格式;
按照时间顺序显示内容
查看异常的网络流量,甚至可以跟踪入侵者;
在安全事故发生之前为网络活动和网络性能设置一个基准
//跟踪和隔离恶意的网络使用情况;
//检测恶意木马程序;
//监控和跟踪拒绝服务攻击
1.网络分析器程序
WildPackets的OmniPeek
Tamosoft的CommView
Cain&Abel
Wireshark
ettercap
要捕获所有流量,就必须将分析器连接到以下位置:
网路中的集线器;
交换机上的监控/SPAN/镜像端口;
进行过ARP攻击的交换机。
如果想要看看与基于网络的IDS所看到的类似的流量,就应该将网络分析器连接到防火墙外侧的集线器或交换机监控端口上:
在防火墙过滤器消除垃圾流量之前会有什么进入网络;
在流量经过防火墙之后还有什么会留在网络中。
要了解的问题:
怪异的流量:
数量异常的ICMP数据包
过量的多播或广播流量
不属于特定环境的数据包类型
互联网使用习惯:
上网;
电子邮件;
即时消息和其他P2P软件
有疑问的使用:
很多数据包丢失或者过大,表明出现了黑客工具或恶意软件;
很高的带宽占用率,可能说明出现了不该出现的Web或FTP服务器。
端口扫描器和漏洞评估工具机型的侦查性探测和系统分析:
比如来自未知主机的大量入站流量,尤其是通过不常用端口流入的
进行中的黑客攻击
比如海量的入站UDP或ICMP echo请求、SYN洪流或过量的广播
网络中出现非标准的主机名
那些可能吃掉网络带宽、提供非法软件或访问网络主机的隐藏服务器
对特定应用程序进行的攻击
reg:出现诸如/bin/rm、/bin/ls、echo和cmd.exe这样的命令,出现SQL查询和Javascript注入。
如果网络分析器支持的话,请将网络分析器设置为使用先进先出(FIFO)的缓冲区
如果网络分析器支持的话,请将所有捕获的流量记录到一个文件中,并将其存储在硬盘上。
当网络流量从网络分析器中看起来不正常时,实际情况可能并非如此。
CommView
NetResident
2.应对网络协议漏洞的策略
物理安全
网络分析器的探测
Sniffdet,用于UNIX系统
PromiscDetect,用于Windows系统
可以让用户监控网络中是否有处于混杂模式的以太网卡
对MAC的攻击
1.ARP欺骗(Address Resolution Protocol,地址解析协议)
ARP表:即那些存储着IP地址到MAC(media access control,媒体访问控制)地址的映射的表。
改变此表可以使其将数据包发到攻击者电脑,ARP欺骗是用于MITM(man-in-the-middle,中间人)攻击的
伪造的ARP应答可以被发送到交换机,让交换机回到广播模式,从而在实质上将其变为集线器。
reg:攻击者Hacky 两个合法网络用户(Joe和Bob)
(1)Hacky使用dsniff、ettercap或他自己编写的实用程序对受害者Joe和Bob机器上的ARP缓存进行欺骗
(2)Joe将Hacky的MAC地址与Bob的IP地址关联起来
(3)Bob将Hacky的MAC地址与Joe的IP地址关联起来
(4)Joe的通信数据和Bob的通信数据都会首先被发送到Hacky的IP地址
(5)Hacky的网络分析器会捕获Joe和Bob的通信数据
2.使用Cain&Abel进行ARP攻击
1-12步
3.MAC地址欺骗
基于UNIX系统:
(1)禁用网络接口
# ifconfig eth0 down
(2)为想要的MAC地址输入命令
# ifconfig eth0 hw ether new_mac_address
Linux可以使用GNU MAC Changer
基于Windows:
cmd->regedit.exe
(1)加载
(2)选择MAC
(3)在“New Spoofed MAC Address”(伪造的新MAC地址),->"Update MAC"
(4)"Network and Dialup Connections"(网络和拨号连接)中右击网卡,选择“Disable”(禁用)
再次右击,“Enable”
重启电脑
(5)点击SMAC界面的“Refresh”
选择需要更改MAC地址的适配器
点击“Remove MAC”
重复(4)步骤
点击SMAC界面中的”Refresh“
4.防御ARP攻击和MAC地址欺骗攻击的对策
阻止.
如果交换机可启用端口安全功能防止MAC地址表的自动改变,那么就可以阻止MAC地址欺骗
检测
可以通过IDS、IPS,或是独立的MAC地址监控工具检测者两类黑客攻击。
Arpwatch
拒绝服务(DoS)
1.拒绝服务攻击
SYN洪水攻击:攻击者会用大量TCP SYN数据包淹没主机
死亡之ping:攻击者会发送超过最大长度65535字节的IP数据包,从而最终将很多操作系统的TCP/IP栈弄崩溃
WinNuke:这种攻击可以在较老的Windows95和WindowsNT计算机上禁用联网功能
分布式拒绝服务攻击(Distributed DoS,DDoS)
2.测试
QualysGuard和WebInspect
UDPFlood
Blast
NetScanTools和CommView
3.防御拒绝服务攻击的对策
尽快地测试安全补丁(包括服务包和固件更新)并未网络主机(如路由器和防火墙)以及服务器和工作站的操作系统应用这些补丁
使用IDS或IPS定期监控拒绝服务攻击
将防火墙和路由器配置成阻止恶意流量。
将IP欺骗的概率降到最低。这需要过滤多个地址的外部数据包
阻止所有的ICMP入站流量进入网络。
禁用所有不需要的TCP/UDP小服务,如echo和chargen
路由器、交换机和防火墙的常见弱点
不安全的接口
IKE(Internet Key Exchange,因特网网密匙交换)弱点
一般性网络防御措施
(打字打累了。。。。百度吧)
无线局域网(WLAN,也叫做Wi-Fi)
基于IEEE 802.11标准
Windows评估无线网络的工具:
NetStumbler
AirMagnet WiFi Analyzer
WildPackets的OmniPeek
Elcomsoft Wireless Security Auditor
aircrack
还需要合适的硬件。Orinoco 802.11b PC卡的组合。能与NetStumbler兼容,还能外接天线。
芯片组了解信息:The Seattle Wireless Hardware Comparison(西雅图无线硬件对比)
手持式无线安全测试设备,reg:Canary Wireless公司好用的数字热点追踪器(Digital Hotspotter)以及AirMagnet Handheld Analyzer。
无线天线分类:
全方位天线
半定向天线
定向天线
www.cantenna.comSuper Cantenna套件
http://mywebpages.comcast.net/hughpep
发现无线局域网
检查是否已被识别
arp-a来确定MAC地址
www.wigle.net
www.wifimaps.com
www.wifinder.com
扫描本地点波
寻找SSID(service set identifier,服务集标识符)
NetStumbler可以发现:
MAC地址;
名称;
使用中的无线电信道;
供应商名称;
是否启用了加密;
射频信号强度
测试蓝牙认证/配对和数据传输弱点的资源和工具
Car Whisperer(http://trifinite.org/trifinite_stuff_carwhisperer.html)
Blooover(http://trifinite.org/trifinite_stuff_blooover.html)
BlueScanner(https://labs.arubanetworks.com)
Bluesnarfer(www.alighieri.org/tools/bluesnarfer.tar.gz)
蓝牙狙击枪(http://www.tomsguide.com/us/how-to-bluesniper-pt1,review-408.html)
Bluejacking社区网站(www.bluejackq.com)
Windows XP版BTScanner(www.pentest.co.uk/src/btscanner_1_0_0.zip)
Smurf(www.gatefold.co.uk/smurf)
各种蓝牙攻击的详细展示(http://trifinite.org/Downloads/21c3_Bluetooth_Hacking.pdf)
加密流量
802.11的加密协议
有限等效保密(Wired Equivalent Privacy,WEP):使用了对称(共享秘钥)加密算法RC4
Wi-Fi保护访问(Wi-Fi Protected Access,WPA)
使用WEPCrack,AirSnort,aircrack(http://aircrack-ng.org)破解
下载并提取aircrack程序集,cygwin Linux模拟环境,以及支持PEEK文件
WEP的静态秘钥调度算法,使秘钥长度每增加1位,破解就需要增加20000个左右。
破解预共享秘钥:
# aircrack-ng -a2 -w path_to_wordlist <capture file(s)>
EWSA,只要以tcpdump格式捕获无线数据包,讲捕获文件载入该程序,就可以破解了。前提是要有支持NVIDIA或ATI显卡的计算机。
防御加密流量攻击的对策
解决WEP问题最简单的办法就是为所有的无线通信使用WPA,WPA2.也可以通过为客户端通信启用点对点隧道协议(PPTP),在Windows环境下使用VPN来解决这一问题。
还可以使用Windows内置的IPSec支持、Secure Shell(SSH)、安全套接层/传输层安全(Secure Sockets Layer/Transport Layer Security,SSL/TLS),来保证网络流量的安全。
流氓无线设备
流浪接入点一般具有下列特征:
奇怪的SSID,包括常见的默认名称linksys和wifi
奇怪的接入点系统名称--如果硬件支持该功能的话,就是指接入点的名称。别将其与SSID弄混了
不属于自己网络的MAC地址。看MAC地址的前三个字节,这是表明厂商名称的。可以在网上查询MAC地址对应的厂商
弱无线信号,这可能表明接入点在隐藏自身或是接入点处于组织所在的建筑之外。
出现在不是自身网络通信所用无线信道上的通信。
无线局域网客户端网络吞吐量的下降。
攻陷方法:《Hacking Wireless Networks For Dummies》
可以使用手持式数字热点追踪器(Digital Hotspotter),搜索ESS字段不为1的信标数据包。
防御流氓无线设备的对策
MAC欺骗
将接入点配置成只允许具备已知MAC地址的无线客户端连接道网络。
测试MAC地址控制的步骤:
(1)找到可供连接的接入点
(2)使用无线局域网分析器,查找向广播地址发送探测请求数据包的无线客户端,或是以探测响应进行回复的接入点
(3)将测试机的MAC地址改为步骤2所发现无线客户端的MAC地址。
a)登录道具有root权限的账户,然后禁用网络接口。
# ifconfig wlan0 down
b)输入想要使用的新MAC地址
# ifconfig wlan0 hw ether 01:23:45:67:89:ab
# ip link set wlan0 address 01:23:45:67:89:ab
c)使用以下命令重新启用该网络接口:
# ifconfig wlan0 up
MAC Changer(www.alobbs.com/macchanger)
SMAC
(4)确保无线网卡为适当的SSID进行过配置
(5)在网络中获取IP地址
(6)通过ping其他主机或浏览互联网,确认自己已经连到网络中
防御MAC欺骗的对策
WPA,WPA2
昆士兰拒绝服务攻击
(百度脑补吧,太底层了。。。)
防御拒绝服务攻击的对策:
在802.11b/g网络中安装病使用无线入侵防御系统。
使用具有跳频扩频(frequency hopping spread spectrum)或正交频分复用(OFDM)功能的无线技术。
物理安全问题
设置在建筑物以外以及能被公众接触到的接入点
未经妥善安装的天线,导致广播太强的信号或是可悲公众接触。
防御物理安全问题
将接入点的发射功率调小
使用较小的或不同类型的天线以减弱信号。
脆弱的无线工作站
防御脆弱无线工作站的对策
除了其他网络主机外,要定期对无线工作站执行漏洞评估
应用最新的厂商安全补丁,并强制使用强用户密码
在所有可以使用个人防火墙和终端安全软件的无线系统上使用这些软件
安装反恶意软件软件
默认的配置设置
默认的SSID和管理员密码。
防止默认配置设置被利用的对策
确保自己更改了默认的管理员密码和SSID
最少要启用WPA
如果不需要SSID广播功能的话,将其禁用
为接入点和无线网卡应用最新的固件补丁
Windows攻击
鉴于Windows的易用性、为企业准备的活动目录(Active Directory)服务,以及功能丰富的.NET开发平台,很多组织出于联网和计算的需求已经使用了微软平台。很多企业,特别是那些中小型企业,在网络使用中是完全依赖Windows的。很多大型组织的关键服务器(比如Web服务器和数据库服务器)也是运行在Windows平台上的。
敏感信息的泄露
密码被破解,并被用于执行其他攻击
系统由于遭受拒绝服务攻击而彻底离线
被黑客取得安全的远程控制权
整个数据库被窜改或删除
选择工具
免费的微软工具
Windows内置的程序,用于NetBIOS和TCP/UDP服务枚举
用于收集NetBIOS名称表信息的nbstat
用于显示本地Windows系统的开放端口netstat
用于运行多项基于网络命令的net
Microsoft Baseline Security Analyzer,可用来测试缺失的补丁和基本的Windows安全设置
Sysinternals,可用来在本地或通过网络探查,刺探和监控Windows服务、进程和资源。
多功能评估工具
端口扫描
操作系统指纹测试
简单的密码破解
对工具在Windows系统中找到的各类安全缺陷进行详细地漏洞映射
GFI LANguard
QualysGuard
专用工具
Metasploit
ShareEnum,可用于对共享的枚举
SuperScan,可用于TCP端口扫描、ping扫描和对共享的枚举
TCPView,可用于查看TCP和UDP会话的信息
Winfo,可用于空会话枚举,从而收集诸如安全政策、本地用户账户和共享之类的配置信息。
收集信息
扫描系统
1.测试
(1)运行基本扫描,找到各Windows系统中都有哪些端口是开放的
SuperScan
(2)使用LANguard进行操作系统枚举,比如扫描共享和具体的操作系统版本
LANguard,Nmap
(3)确定潜在的安全漏洞
2.防御系统扫描的对策
使用网络防火墙 在各系统上都使用Windows防火墙或其他个人防火墙软件。关闭用于RPC服务(135)和NetBIOS服务(137-139,445)的网络端口
禁用非必需的服务
NetBIOS(网络基本输入输出系统)
用于网络浏览的UDP端口:
137:NetBIOS名称服务
138:NetBIOS数据报服务
用于服务器消息块(SMB)的TCP端口
139:NetBIOS会话服务
445:在没有NetBIOS的情况下通过TCP/IP运行SMB
3.攻击
未认证枚举
共享
空会话
将匿名连接(或空会话)映射道名为IPC$(表示进程间通信)的隐藏共享
可收集Windows主机的配置信息
编辑远程计算机注册表的部分内容
映射
1.net use \\host_name_or_IP_address\ipc$ " ""/user"
收集信息
1.net view:显示共享信息
2.配置和用户信息
Winfo和DumpSec可以收集与用户和配置有关的实用信息
reg:系统所属的Windows域;安全政策设定;本地用户名;驱动器共享
Winfo:http://www.ntsecurity.nu/toolbox/winfo/
3.NetUsers工具
www.systemtools.com/free.htm
可以显示谁登录到了远程的Windows计算机
reg:被滥用的账户权限;当前登录到系统的用户
防御空对话攻击的对策
阻止以下TCP端口穿越网络防火墙或个人防火墙
139;445
可以禁用网络连接属性里的“Microsoft网络的文件和打印机共享”
限制接入到系统的匿名连接
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\RestrictAnonymous键的DWORD值设置成以下状态
空:默认设置
不允许对SAM账户和共享进行枚举(值1)(中等安全)
没有显式匿名权限就不允许访问(值2)(高安全)
共享权限
介绍的Windows版本太低了,不写
利用缺少的补丁进行攻击
Win7具备以下一些安全功能:
默认启用的Windows Defender间谍软件防护
Windows防火墙的增强版对入站和出站流量都进行了保护
通过用户账户控制(UAC),取消常规用户的本地管理员权限
将运行服务的特权限至最小
网络访问保护(NAP)
通过BitLocker实现驱动器加密
对Internet Explorer 8机械能大量隐私强化和安全更新
使用Metasploit
www.metasploit.com/framework
步骤:
Exploits
Forward
Apply
net localgroup administrators username /add
防御缺失补丁漏洞攻击的对策
Windows Update
Windows Server Update Services(WSUS)
BigFix Patch Management
Lumension Patch and Remediation
Linux
丰富的资源可供选择,包括书籍、网站以及开发人员和顾问的专业知识
Linux不像Windows及其应用程序那样易受攻击。
易用性的提升
Linux的漏洞
敏感信息被泄露
密码被破解
数据库被损坏或删除
系统彻底离线
选择工具
SuperScan 3:可以用于ping扫描和TCP端口扫描
Nmap:可用于操作系统指纹测试和端口
LANguard:可用于端口扫描、枚举和漏洞测试
THC-Amap:可用于应用程序版本映射
Tiger:可用于自动评估本地系统安全设置
Linux Security Auditing Tool(LSAT):可用于自动评估本地系统安全设置
QualysGuard:可用于操作系统指纹测试、端口扫描和漏洞测试
Nessus:可用于操作系统指纹测试、端口扫描和漏洞测试
BackTrack工具集
工具下载地址:SourceForge.net freshmeat.net
收集信息
扫描系统
守护进程(daemon)
Internet服务,比如Apache Web服务器(httpd)、telnet(telnetd)和FTP(ftpd),包括软件版本、内部IP和用户名
TCP和UDP小服务,reg:echo、daytime和chargen
有漏洞的OpenSSH版本
finger服务信息
BSD的r系列服务rlogin和rexec
防御系统扫描对策
防火墙 netfilter/iptables(www.netfilter.org)
基于主机的入侵防御应用,reg:PortSentry SNARE
禁用不需要的服务,RPC、HTTP、FTP和telnet
搜索
1.漏洞
FTP
telnetd
r系列服务
旧版本的sendmail
2.工具
Nmap
Amap
netstat -anp可显示在本地机器上运行的服务
lsof(List Open Files)会显示系统中监听的进程和打开的文件
防御措施
1.禁用不需要的服务
inetd.conf
# ps -aux
# vi /etc/inetd.conf
按I
进程开头输入#,注释掉
Esc
:wq
kill -HUP PID
chkconfig
Chkconfig--del snmpd
2.访问控制
TCP Wrappers可以控制对运行关键服务(如FTP或HTTP)的访问
rhosts和hosts.equiv文件
1.hosts.equiv
/etc/hosts.equiv文件不会泄露root访问信息,不过它指明了系统中的哪些账户可以访问本地主机上的服务
如果配上.rhosts文件,外部黑客就可以读取hosts.equiv文件,然后伪造IP和主机名,获取访问权
2.rhosts
$home/.rhosts文件指明了哪些远程用户不需要密码就可以在本地系统中访问BSD的r系命令。.rhosts文件可能是以下这样的:
tribe scott
tribe eddie
该文件可以让远程系统tribe上的用户Scott和Eddie可以登录到本地主机,授予权限。如果远程主机和用户字段出现的是加号(+),就表示任何主机上的任何用户都可以登录到本地系统。黑客可以通过以下手段向其添加数据项:
手工处理该文件
利用系统运行的Web服务器应用中不安全的CGI(Common Gateway Interface,通用网关接口)脚本存在的漏洞,运行脚本进行漏洞攻击。
这些文件默认是未启用的。
防御.rhosts和hosts.equiv文件攻击的对策:
1.禁用命令
注释掉inetd.conf文件中以shell、login和exec开头的行
编辑位于/etc/xinetd.d目录中的rexec、rlogin和rsh文件。将"disable=no"改为"disable=yes"
在Red Hat企业版Linux中可以setup->"System Services"->删除每个r服务旁边的星号
2.阻止访问
在防火墙阻止伪造的地址
只为每个文件的所有者设定读权限
.rhosts:在每个用户的home目录下输入:
chmod 600 .rhosts
hosts.equiv:在/etc目录下输入:
chmod 600 hosts.equiv
使用Tripwire监控这些文件
网络文件系统(Network File System,NFS)
用途是从本地机器上挂接(mount)远程文件系统(类似于Windows中的共享)
网络文件系统攻击
如果/etc/exports文件的设置允许所有人读取整个文件系统,远程hacker就可以获取信息。
/etc/exports文件中加入一行
/ rw
表示任何人都能远程挂接root分区,并具有读写权限。还要满足下列条件:
必须加载nfsd,必须加载将NFS映射到RPC的portmap守护线程
防火墙必须允许网络文件系统流量通过
被允许进入运行着nfsd的服务器的远程系统必须载入/etc/hosts.allow文件
防御网络文件系统攻击的对策
如果不需要网络文件系统,那么将其禁用
如果需要,请:
在防火墙过滤网络文件系统流量,过滤111端口上的流量。
确保/etc/exports文件和/etc/hosts.allow文件得到妥善配置
文件权限
SetUID(用于用户ID)
SetGID(用于组ID)
文件权限攻击
默认情况下,以root权限运行的流浪程序是很容易被隐藏起来的。外部攻击者或恶意内部人员可能会这样做,从而在系统中隐藏黑客文件(如rootkit)。完成这一切只需要在他们的黑客程序中编入SetUID和SetGID代码即可。
防御文件权限攻击的对策
1.手工测试
为SetUID配置过的程序:
find / -perm -4000 -print
为SetGID配置过的程序:
find / -perm -2000 -print
可被任何人读取的文件:
find / -perm -2 -type f -print
隐藏文件:
find / -name ".*"
2.自动测试
变更检测应用,如Tripwire,有助于记录什么内容在何时发生了改变
文件监控程序,如COPS,可以找出哪些状态已经改变的文件
缓冲区溢出
RPC和其他脆弱的守护进程都是缓冲区溢出攻击的常见目标。可以进行修改系统文件和读取数据库文件等活动。
攻击
攻击者既可以手动向Linux机器发送信息字符串,也可以编写脚本来完成。字符串内容:
告诉处理器基本上什么都别做的指令。
取代受攻击进程的恶意代码,比如用exec ('' /bin/sh'')创建shell命令提示符
指向内存缓冲区中恶意代码起始位置的指针。
运行在Linux中易受攻击的软件具体包括Samba、MYSQL和Firefox。
防御缓冲区溢出攻击的对策
禁用不需要的服务;
用防火墙或基于主机的入侵防御保护自己的Linux系统;
启用另一种用密码验证用户身份的访问控制机制,比如TCP Wrappers。
物理安全
物理安全攻击
当黑客就在系统控制台时,任何事都可能发生,包括按下Ctrl+Alt+Delete组合键重启系统。在系统重启之后,黑客就可以启动系统的单用户模式,root密码置零
物理安全防御对策
对/etc/inittab文件进行编辑,将# ca:ctrlaltdel:/sbin/shudown -t3 -r now这一行注释,这将防止他人通过按下组合键重启系统。
一般性安全测试
shadow password文件中配置错误或未经授权的项
密码复杂度的要求
相当于root的用户
配置在脚本调度程序cron中的可疑自动化任务
系统二进制文件的签名检查
rootkit检查
网络配置,包括防止数据包欺骗和其他拒绝服务(DoS)攻击的对策
系统日志文件的权限
工具:Tiger安全审计工具(www.nongnu.org/tiger)
LSAT和Bastille Hardening程序
Novell Netware
(跳过,,目前应该接触不到)
攻击应用程序
通信和消息系统
Email 即时消息(IM)和IP电话(VoIP)
针对消息系统的恶意攻击包括:
传输恶意软件;
使服务器崩溃;
获得对工作站的远程控制;
捕获在网络中传送的敏感信息;
审读存储在服务器和工作站上的Email;
审读工作站硬盘驱动器中的即时消息日志文件;
通过日志文件或网络分析器,收集传送趋势信息,这些信息可以将人和组织之间的对话透露给黑客;
捕获并回放电话交谈;
收集内部网络配置信息,如主机名和IP地址。
Thomas Akin
电子邮件攻击
攻击方法:收集公开信息,扫描并枚举系统,发现和利用漏洞
电子邮件炸弹
电子邮件炸弹可以让服务器崩溃,并为攻击者提供未经授权的管理员访问权。它通过对Email系统,甚至是网络和互联网连接造成拒绝服务来进行攻击,因为它占据大量带宽,有时还会需要大量存储空间。
1.附件
附件超载攻击
为使服务完全中断,整个电子邮件服务器可能成为目标。
存储器超载
带宽阻塞
防御措施:
限制Email的大小
限制每个用户在服务器上的存储空间。
2.连接
发送海量Email,可能导致服务器无法处理任何入站或出站的TCP请求,可能会造成服务器完全被锁定或服务器崩溃,从而使攻击者能够获得对系统的管理员访问权或root访问权。
海量Email攻击
3.自动化的Email安全控制
tarpitting.会检测目的地为未知用户的入站消息。
电子邮件防火墙。reg:CipherTrust IronMail和Messaging Architect的M+Guardian。
周边保护。
CAPTCHA。
banner
获取banner,看看能否发现在运行的是哪种Email服务器软件。是搞清SMTP、POP3和IMAP服务器有哪些了解的一项特别关键的测试。
1.收集信息
25端口 telnet(ip or-hostname-of-your-server)25 --收集SMIP信息
110端口 --收集POP3
143 --收集IMAP
smtpscan(www.freshports.org/security/smtpscan)
可被利用的堆溢出漏洞:
Microsoft Exchange(http://cve.mitre.org/cgi-bin/cvename.cgi?name=2006-0027)
Novell NetMail(http://cve.mitre.org/cgi-bin/cvename.cgi?name=2006-6424)
2.防御banner攻击的对策
修改默认的banner,将信息隐藏起来
软件补丁
尽可能巩固自己的服务器
SMTP(简单邮件传输协议)攻击
1.账户枚举
25 VRFY 是“verify”(验证)的缩写 --可以让服务器检查某个特定的用户ID是否存在。垃圾邮件制造者们通常会自动化该方法,以执行目录收集攻击(DHA)。这种方法可以从服务器或域中收集有效的电子邮件地址。
使用账户枚举进行的攻击
vrfy info@principlelogic.com
EXPN 是“expend”(扩展)的缩写
--可使攻击者能验证服务器上存在哪些邮件列表。
expn coolusers
结果:<CoolUsers@principlelogic.com>
另一种方法,使用Tamosoft Essential NetTools中的EmailVerify程序。
还有一种捕获方法:使用BT工具集的TheHarvester通过Google和其他搜索引擎收集地址。
BT->Information Gathering->SMTP->Goog Mail Enum,然后输入./goog-mail.py -d<域名> -l 500 -b google
2.中继
SMTP中继让用户可以通过外部服务器发送电子邮件。
自动测试
www.abuse.net/relay.html
基于Windows的工具:NetScanTools Pro->SMTP Relay
手工测试
(1)telnet连接服务器的25端口
使用自己最喜欢的图形telnet应用,reg:HyperTerminal或SecureCRT
telnet mailserver-address 25
(2)输入命令告诉服务器,“嗨,我正从这个域进行连接呢”
(3)输入命令告诉服务器自己的Email地址:reg:
mail from:yourname@yourdomain.com
(4)输入命令告诉服务器要将Email发送给谁,reg:
rept to:yourname@yourdomain.com
(5)输入命令告诉服务器接下来是消息正文,reg:
data
(6)输入以下文本作为消息正文
A relay test !
(7)在一行的最后使用句点结束该命令
(8)检查服务器上的中继功能
查找从服务器返回的Relay not allowed(不允许使用中继)这样的消息。如果有,说明要么不允许,要么过滤了SMTP中继转发。
rcpt to: --获得该信息
如果收到自己发送的Email,那么说明SMTP中继转发功能已启用。
防御SMTP中继攻击的对策
在Email服务器上禁用SMTP中继
3.电子邮件头信息泄露
攻击者可以找到:
电子邮件客户端机器的内部IP地址
客户单和电子邮件服务器的软件版本以及这些软件的漏洞
主机名
4.捕获流量
dsniff工具包中的Mailsnarf
NetResident
5.恶意软件
EICAR测试字符串,通过Email消息正文或文件附件的形式传输,从而让自己能看到服务器和工作站的反应。在计算机中访问含有以下字符串的文本文件,看看自己的杀毒软件或其他恶意软件防御软件能否检测出该“病毒”
X50!P%@AP[4\PZX54(P^)7CC}$EICAR STANDARD-ANTIVIRUS-TEST-FILE!$H+H*
GFI的电子邮件安全测试区
即时消息
漏洞:
姓名劫持
利用即时消息客户端的漏洞,让攻击者获取对计算机的远程控制权
传输恶意软件
一般在文件共享和日志文件方面有漏洞。会影响(AIM)和ICQ
1.文件共享
确认网络中即时消息使用情况最佳方式就是使用网络分析器并监控即时消息流量。
2.日志文件
c:\Program Files\ICQ找到ICQ对话日志文件
防御即时消息的对策
1.检测即时消息流量
工具:
网络分析器
Quest Policy Authority for UC
FaceTime的IMAuditor
桌面审计:Ecora的Auditor Professional和Microsoft System Center ConfigurationManager
2.维护和配置
用户行为
禁止或限制所有P2P软件
指导用户
系统配置
更改默认按照目录
补丁
杀毒软件和防火墙
如果出于业务目的而允许在网络中使用即时消息,请考虑标配一种基于企业的即时消息应用。如:Jabber或Lotus Sametime
IP电话
默认设置
补丁缺失
弱密码
IP电话具有两个特有的安全命门:第一个是电话服务中断;语音通话没有经过加密
SIP
RTP
1.扫描漏洞
SiVuS(http://vopsec.net/html/tools.html)
2.捕获并记录语音流量
Cain
防御IP电话漏洞的对策
(书上没有怎么介绍)
网站和Web应用
工具:
Acunetix Web Vuinerability Scanner(www.acunetix.com),包含了端口扫描器、HTTP嗅探器和自动SQL注入工具
Firefox Web Developer(http://chrispederick.com/work/web-develeper),用于对网页进行手工分析和操作
HTTrack Website Copier(www.httrack.com),可为网站制作镜像用于离线检查
N-Stalker Web Application Security Scanner(www.nstalker.com/eng/products/nstealth)可进行一体化安全测试,含有密码破解和Web服务器负载测试工具。 WebInspect(www.spidynamics.com/products/webinspect/index.html)用于一体化安全测试,包含了HTTP代理和HTTP编辑器,以及自动SQL注入工具。
漏洞扫描器(QualysGuard和LANguard)
漏洞攻击工具(Metasploit)
hacker:Caleb Sima
Web漏洞
目录遍历
1.爬虫程序
2.Google
高级查询:
site:主机名 关键词。这将搜索列出的任意关键词。reg:SSN,confidential和credit card
filetype:文件扩展名主机名。reg:.doc、.pdf、.db等
allintitle会搜索网页标题中的关键词;
inurl会搜索网页URL中的关键词;
related会找出与该网页相似的网页;
link会显示链接到该网页的其他网站。
在www.google.com/intl/en/help/operators.html找到具体的定义和更多操作符
Google Hacking Database(GHDB)(http://johnny.ihackstuff.com/ghdb)
http://artkast.yak.net/81找到其他查询
Google Groups(http://groups.google.com)
hacker:Johnny Long
防御目录遍历的对策
不要在Web服务器上存储旧的、敏感或非公开的文件。/htdocs或DocumentRoot
配置robots.txt文件,防爬虫
确保Web服务器配置得当,从而使公众只能访问那些网站正常运转所需的文件。最小特权是关键。
访问控制措施有:
Apache的httpd.conf文件和.htaccess文件
Internet信息服务管理器的主目录和目录设置(IIS 5.1)
Internet信息系服务管理器的主目录和虚拟目录设置(IIS 6.0)
最后考虑使用搜索引擎蜜罐系统,reg:Google Hack Honeypot(http://ghh.sourceforge.net)
输入过滤攻击
一些插入恶意构造数据(通常是一次性插入过多数据)的攻击可能针对网络和Web应用展开,这可能会导致系统混乱或崩溃,或是使系统向攻击者泄露过多的信息。
1.缓冲区溢出
reg:
<form name="Webauthenticate" action="www.your_Web_app.com/login.cgi" method="POST">
...
<input type="text" name="inputname" maxsize="12">
...
</form>
操纵它 需要使用Web代理逐步跟踪网页提交过程,Web代理有:Web漏洞扫描器和Paros Proxy软件
Web代理处于Web浏览器与待测试服务器之间,使大家可以操控发送给服务器的数据。
Firefox:工具->选项->高级->网络->连接->设置->手动配置代理
IE:工具->Internet选项->连接->局域网设置->为LAN使用代理服务器
在浏览器提交页面之前,修改变量的字段长度,用大家提供的任意长度提交。也可以用Firefox中的"Web开发者"选项删除Web表单中定义的最大表单长度。
2.URL的篡改
自动输入攻击会篡改URL,并将其发送回服务器,告诉该Web应用做各种事情。本地文件包含(local file inclusion)就是这样一种漏洞。这是在Web应用接受基于URL的输入(通常是通过CGI),并将指定文件的内容返回给用户时发生的。reg:WebInspect会发送这样请求:
https://www.your_web_app.com/onlineserv/Checkout.cgi?state=datail&language=english&imageSet=/../..//../..//../..//../..///etc/passwd
other method:
http://www.your_Web_app.com/error.aspx?PURL=http://www.bad-site.com&ERROR=Path+'OPTIONS'+is+forbidden.
http://www.your_Web_app.com/exit.asp?URL=http://www.bad-site.com
可通过电子邮件向不知情的用户发送该链接,或将其发布到网络上。
3.隐藏字段的篡改
(1)查看HTML源代码
(2)篡改存储在这些字段中的信息
(3)重新将页面放回服务器
Web Proxy或Paros Proxy可以篡改隐藏字段。
4.代码注入和SQL注入
代码注入攻击也会篡改特定的系统变量:
http://www.your_Web_app.com/script.php?info_variable=X
如果可以,就修改X的值继续注入
常见的SQL注入有:标准注入(基于错误的注入)和盲注入
一种快速确定Web应用是否易受SQL注入的方法:只要在Web表单字段或是URL的末尾输入一个单引号('),如果返回SQL错误,那么十之八九会出现SQL注入。
WebInspect自带的SQL Injector
5.跨站脚本(cross-site scripting,XSS)
在网页通过JS和VBScript显示出未被正确验证的用户输入时就会出现这种情况。黑客可以利用输入过滤机制的缺失,让网页在任何浏览该网页的用户计算机上执行恶意代码。
reg:跨站脚本攻击可以显示另一个流氓网站的用户ID和密码登录页面。如果输入,就会进入到其日志文件中。其他的恶意代码便会发送到受害人的计算机,并能以与系统中查看它的Web浏览器或电子邮件应用程序相同的安全权限运行。恶意代码会为黑客提供对浏览器cookie、浏览器历史文件的完整读写访问权,甚至可能允许下载/安装恶意软件。
<script>alert('XSS')</script>
WebInspect和Acunetix Web Vulnerability Scanner就很善于找出跨站脚本。
防御输入攻击的对策
应用应该避免呈现Web浏览器和用户不需要看到的静态值。这些数据应该在服务器端的Web应用中实现,而且只有在需要时才从数据库中检索。
应用应该从输入字段中过滤掉<script>标签
可以的话,应该禁用Web服务器和数据库服务器的错误信息。
十六进制编辑器查看应用是如何在内存中存储敏感信息的。可以使用WinHex(www.x-ways.net/winhex)
reg:(一个脆弱的GET请求)
https://www.your_Web_app.com/access.php?username=kbeaver&password=WhAteVur!&login=SoOn
GET请求通常会存储在用户Web浏览器的历史文件、Web服务器的日志文件和代理的日志文件中。
默认脚本攻击:
比如CGI(通用网关接口)和ASP(动态服务器页面)脚本
测试用Find程序
N-Stalker Web Application Security Scanner
防御默认脚本攻击措施:
在向Web应用中部署脚本之前先了解脚本的作用机制
在使用脚本之前,确定从Web服务器中删除了所有的默认脚本或示例脚本。
为网站/Web应用中的敏感区域设置文件权限以防止公众访问这些区域。
不安全的登录机制:
使用无效的用户ID和有效的密码
使用有效的用户ID和无效的密码
使用无效的用户ID和无效的密码
URL会返回不同值
Brutus
BlackKnightList
防御不安全登录机制的对策
返回给最终用户的登录错误消息要尽可能一般化
避免应用程序在URL中返回对无效用户ID和无效密码区别对待的错误代码。
reg:www.your_Web_app.com/login.cgi?success=false;
使用CAPTCHA或Web登录表单,以阻止/减慢密码破解的尝试
在Web服务器上或Web应用中部署入侵者锁定机制,从而在10至15次登录失败后锁定用户账户。
将厂商提供的默认密码更改为易于记忆而难于破解的新密码。
Web2.0的黑客攻击
新技术:Web Services,Ajax和Flash
测试Web2.0应用中的漏洞:
Firefox Web Developer可用于分析脚本代码和执行其他手工检查
SWFScan可用于分析Shockwave Falsh(.swf)文件
WSDigger可用于分析Web服务
WSFuzzer可用于分析Web服务
降低风险的做法:
可用OWASP WebGoat Project和Foundstone的Hacme Tools测试
为保护Web应用和关联的数据库,请使用不同的机器运行Web服务器、应用服务器和数据库服务器。
使用内置的Web服务器安全功能,reg:IIS中的应用隔离功能
使用工具隐藏Web服务器的身份,reg:Port 80 Software的ServerMask
如果在hacker在运行Microsoft IIS服务器和应用,那么可以重命名所有的ASP脚本,为其增加.cgi扩展名
如果是Linux Web服务器,可用IP Personality改变操作系统的指纹信息
改在非标准端口上运行Web应用。
防火墙
可以检测并阻止Web应用攻击的、基于网络的防火墙.reg:Juniper Networks,SonicWall和Check Point
基于主机的Web应用入侵防御系统。reg:SecureIIS,ServerDefender
源代码分析:
静态源代码分析工具:Ounce Labs和Klockwork。
Checkmarx的CxDeveloper,Security Innovation
数据库和存储系统
工具:
Advanced SQL Password Recovery(www.elcomsoft.com/asqlpr.html)可破解Microsoft SQL Server的密码
Cain&Abel(www.oxid.it/cain.html)可用于破解数据库密码散列
QualysGuard可执行深入的漏洞扫描
SQLPing3(www.sqlsecurity.com/Tools/FreeTools/tabid/65/Default.aspx)可用于确定网络中Microsoft SQL Server服务器的位置,检查空SA密码,并执行字典密码破解攻击
hacker:奇普·安德鲁斯
Absinthe
Oracle工具:www.petefin nigan.co/tools.htm,Pete Finnigan
Elcomsoft Distributed Password Recovery也可以破解Oracle密码散列
如果能访问SQL Server的master.mdf文件,就可以使用Elcomsoft的Advanced SQL Password Recovery立即回复数据库的密码。
Access工具:Advanced Access Password Recovery(www.elcomsoft.com/acpr.html)
利用Microsoft SQL Server Management Studio Express(www.microsoft.com/express/sql/default.aspx)
扫描数据库漏洞
缓冲区溢出;
特权提升;
可通过默认/未受保护账户访问的密码散列;
启用脆弱的身份验证方法;
在不验证身份情况下就可重命名的数据库监听器日志文件。
对SQL Server和Oracle深入检查的工具:
NGSSQuirreL(www.ngssoftware.com/products/database-security)
AppDetectivePro(www.appsecinc.com/products/appdetective)
减少数据库安全风险的做法;
在不同的机器上运行各数据库。
检查底层操作系统的安全漏洞。
确保数据库也处在打补丁和系统巩固工作的范围之内。
每个数据库系统都要求使用强密码。
使用恰当的文件和共享权限以防止他人窥探。
在敏感的生产数据用于开发或质量保证过程之前,要对这些数据采取反识别措施
检查Web应用是否具有SQL注入及相关的数据验证漏洞。
使用网络防火墙
运行最新版的数据库服务器软件。
存储系统
测试SAN和NAS系统安全性
工具:
FileLocator Pro(www.mythicsoft.com/filelocatorpro)可用于查找非结构化文件中的敏感信息。
Identity Finder(www.Identity Finder)可用于查找非结构化文件中的敏感信息。
LANguard可用于查找开放且未受保护的共享
QualysGuard
SuperScan
利基安全测试工具:
CHAP Password Tester(www.isecpartners.com/cpt_chap_password_tester.html)
CIFShareBF(www.isecpartners.com/SecuringStorage/CIFShareBF.zip)
GrabiQNs(www.isecpartners.com/SecuringStorage/GrabiQNs.zip)
NASanon(www.isecpartners.com/SecuringStorage/NASanon.zip)
StorScan(www.isecpartners.com/storscan.html)
挖出网络文件中的敏感洗文本
文本搜索实用程序:FileLocator Pro或Effective File Search(www.sowsoft.com/search.htm)
员工的健康记录;
客户的信用卡号码;
公司的财务报表
使用FileLocator Pro时,查找:
DOB:表示出生日期
SSN:表示社会保障号码
License:表示驱动程序的许可证信息
Credit:表示信用卡号码
搜索范围:
.txt
.doc和.docx
.dbf
.db
.rtf
.xls和.xlsx
使用Indentity Finder扫描存储设备
降低存储系统安全风险的最佳做法:
检查底层操作系统的安全漏洞
确保网络存储也处在打补丁和系统巩固工作的范围之内
要求为每个存储管理界面都使用强密码
使用恰当的文件和共享权限以防止他人窥探。
教育用户
在敏感的生产数据用于开发或质量保证过程之前,要对这些数据采取反识别措施
为合适的内网段使用网络防火墙
道德攻击的结果
汇报结果
整理结果:
评估工具上的漏洞分级
自己的安全专业知识
漏洞的具体背景
最终报告文档:
非技术问题
社会工程学漏洞
物理安全漏洞
IT运营弱点
其他
工作站和服务器
操作系统
其他
应用程序
公共访问性
内部情况
数据库系统
网络基础设施系统
集线器和交换机
路由器
防火墙
入侵检测系统
无线接入点
其他
内部漏洞,reg:内部主机和运营问题
外部漏洞:reg:公共主机、业务伙伴网络连接和远程工作者
漏洞优先级:
被利用的可能性
被利用的影响
x轴:可能性
y轴:影响度
OCTAVE
汇报方法:
执行测试的日期和时间
执行的测试
所发现漏洞的摘要
需要解决的漏洞的优先级列表
如何堵上所发现漏洞的建议和具体操作步骤
改善整体安全性一般性建议清单
行动项:
在所有的服务器上启用Windows审计
为服务器机房的门上一把安全的锁
根据全国漏洞数据库和互联网安全中心的基准测试/评分工具
巩固自己的无线接入点
使用交叉碎切碎纸机来销毁含有机密信息的纸质文件
在所有的笔记本电脑上安装防火墙
在所有的Web应用中都要验证输入
为数据库服务器应用最新的厂商补丁。
修补安全漏洞
将报告变为行动
打好补丁
补丁管理
补丁自动化
1.商业工具:
BigFix
Shavlik Technologies NetChk
Ecora Patch Manager
ScriptLogic Patch Authority Ultimate
微软的Windows服务器更新服务
GFI LANguard
2.免费工具
Microsoft Update
Microsoft Baseline Security Analyzer(MBSA)
巩固系统
评估安全体系结构
管理安全变化
自动化道德黑客攻击流程
监控恶意使用
外包道德黑客测试
灌输注意安全的意识
三个十项
培养盟友和担保人
不要大惊小怪
证明组织承担不了被黑客攻破的后果
概述道德黑客测试的一般益处
展示道德黑尔康测试具体对组织有何帮助
融入企业之中
构建自己的信誉
从管理人员的角度讲话
展示所作努力的价值
灵活行事,多加适应
黑客攻击是唯一有效的测试方法的十项原因
坏人们有着坏想法,使用着好工具,并在发明新的攻击方法
IT治理和遵守规定不只是高层级的清单式审计
道德黑客测试是对审计及安全评估的补充
有人会问系统有多安全
平均定律是与企业相悖的
道德黑客测试让企业更好地理解风险
如果破坏发生,要有退路
道德黑客测试揭露了系统中最糟的问题
道德黑客测试结合了最好的渗透测试和漏洞测试
道德黑客测试能发现被忽视多年的运营弱点
工具和资源
蓝牙
BlueScanner--https://labs.arubanetworks.com
Bluesnarfer--www.alighieri.org/tools/bluesnarfer.tar.gz
蓝牙阻击枪--www.tomsguide.com/us/how-to-bluesniper-pt1,review-408.html
Blooover--http://trifinite.org/trifinite_stuff_blooover.html
Bluejacking社区网站--www.bluejackq.com
WindowsXP版BTScanner--www.pentest.co.uk/src/btscanner_1_0_0.zip
Car Whisperer--http://trifinite.org/trifinite_stuff_carwhisperer.html
各种蓝牙攻击的详细展示--http://trifinite.org/Downloads/21c3_Bluetooth_Hacking.pdf
NIST第800-48号特别出版物--http://csrc.nist.gov/publications/nistpubs/800-48-rev1/SP800-48r1.pdf
Smurf--www.gatefold.co.uk/smurf
认证
认证道德黑客(Certified Ethical Hacker)--www.eccouncil.org/CEH.htm
注册信息安全管理师(Certified Information Security Manager)--www.isaca.org
注册信息系统安全专家(Certified Information Systems Security Professional)--www.isc2.org/cissp/default.aspx
注册无线安全专家(Certified Wireless Security Professional)--www.cwnp.com/cwsp/index.html
CompTIA Security+ --www.comptia.org/certifications/listed/security.aspx
SANS GIAC--www.giac.org
数据库
Advanced Access Password Recovery--www.elcomsoft.com/acpr.html
Advanced SQL Password Recovery--www.elcomsoft.com/asqlpr.html
AppDetectivePro--www.appsecinc.com/products/appdetective
Elcomsoft Distributed Password Recovery--www.elcomsoft.com/edpr.html
Microsoft SQL Server Management Studio Express--www.microsoft.com/express/sql/default.aspx
NGSSQuirreL--www.ngssoftware.com/products/database-security
Pete Finnigan的Oracle扫描工具清单--www.petefinnigan.com/tools.htm
QualysGuard--www.qualys.com
SQLPing3--www.sqlsecurity.com/Tools/FreeTools/tabid/65/Default.aspx
漏洞攻击工具
Metasploit
Milw0rm
通用搜索工具
AfriNIC--www.afrinic.net
APNIC--www.apnic.net
ARIN--https://ws.arin.net/whois/index.html
Bing--www.bing.com
DNSstuff--www.DNSstuff.com
dnstools.com--www.ndstools.com
文件扩展名资源--http://filext.com
Google
政府域名--www.dotgov.gov
Hoover`s企业信息--www.hoovers.com
LACNIC--www.lacnic.net
军事域名--www.nic.mil
Netcraft的What`s that site running?--www.netcraft.com
RIPE网络协调中心--www.db.ripe.net/whois
Switchboard.com--www.switchboard.com
.......
(314-325,location:phone)
《黑客达人迷》摘录
标签: 字典黑客
2014-03-24 14:00 655人阅读 评论(0) 收藏 举报
分类: 逆向与破解(1)
版权声明:本文为博主原创文章,未经博主允许不得转载。
(一)字典文件:
1.ftp://ftp.cerias.purdue.edu/pub/dict
2.ftp://ftp.ox.ac.uk.pub/wordlists
3.http://packetstormsecurity.nl/Crackers/wordlists
4.www.outpost9.com/files/WordLists.html
5.http://rs159.rapidshare.com/files/184075601/BlackKnightList.rar
前面的4个站点均稍微有点卡,不过能够下载,Linux环境使用
第5个发现链接错误,可能取消了。
(二)彩虹表
1.http://ophcrack.sourceforge.NET//彩虹表破解工具
2.http://project-rainbowcrack.com//彩虹表下载
(三)Windows密码
工具:
1.pwdump3(用来从WindowsSAM数据库中提取密码散列)
2.John the Ripper(用来破解Windows和linux/Unix密码的散列)
步骤:
1.C盘下创建passwords目录
2.从www.openwall.com/passwords/dll/pwdump/pwdump3v2.zip下载文件
3.从www.openwall.com/john下载文件
4.运行:c:\passwords\pwdump3 > cracked.txt,将WindowsSAM密码散列重定向到cracked.txt文件中。
5.运行:c:\passwords\john cracked.txt,利用john the ripper破解散列
破解时间由字典及密码复杂度等情况决定
(四)Unix密码
前提:需要对系统、密码(/etc/passwd)文件和shadow密码(/etc/passwd)文件具有root访问权限。
1.从www.openwall.com/john下载Unix版源文件
2.输入:tar -zxf john-1.7.1.tar.gz
3.进入提取该程序时创建的/src目录,输入:make generic
4.进入/run目录,并输入:./unshadow /etc/passwd /etc/shadow > cracked.txt,使用unshadow程序将passwd文件盒shadow文件合并,并将其复制到cracked.txt文件中。
5.输入:./john cracked.txt 开始破解
PS:1.使用John the Ripper的Windows版或DOS版,可在Windows系统上破解UNIX密码。
2.并不是在所有的UNIX变体中都适用。
(五)BIOS密码
厂商默认BIOS密码:http://www.cirt.net/passwords
(六)Google_Hacking
http://johnny.ihackstuff.com/ghdb/
Google攻击数据库
http://ghh.sourceforge.Net/