权限获取及提升策略讲解.ppt

第二篇 网络攻击篇;第8章 权限获取及提升;第8章 权限获取及提升;8.1? 通过网络监听获取权限;8.1? 通过网络监听获取权限;8.1? 通过网络监听获取权限;8.1.1 网络监听的原理;8.1.1 网络监听的原理;8.1.1 网络监听的原理;8.1.1 网络监听的原理;8.1.1 网络监听的原理;8.1.1 网络监听的原理;8.1.1 网络监听的原理;8.1.1 网络监听的原理;8.1.1 网络监听的原理;8.1.1 网络监听的原理;8.1.1 网络监听的原理;8.1.1 网络监听的原理;8.1.2 网络监听获取权限;8.1.2 网络监听获取权限;8.1.3 网络监听工具;8.1.3 网络监听工具;1.数据包捕获;2. 数据包过滤与分解;2. 数据包过滤与分解;2. 数据包过滤与分解;3. 数据分析;常见的网络监听工具 ;8.2通过网络漏洞获取权限;8.2通过网络漏洞获取权限;8.3基于网络账号口令破解获取权限;8.3基于网络账号口令破解获取权限;8.3.1? 操作系统的口令管理;8.3.1? 操作系统的口令管理;8.3.2 破解口令方法;8.3.2 破解口令方法;8.3.3 口令破解工具;8.3.3 口令破解工具;8.3.3 口令破解工具;8.4通过网络欺骗获取权限;8.4通过网络欺骗获取权限;8.4.2 网络钓鱼;8.4.2 网络钓鱼;8.4.2 网络钓鱼;2005 年5月至2006年5月报告的网络钓鱼数量统计图;8.4.2 网络钓鱼;8.4.2 网络钓鱼;8.5? 基于TCP/IP会话劫持获取权限;8.5? 基于TCP/IP会话劫持获取权限;8.5.1? TCP运行机制;8.5.1? TCP运行机制;8.5.1? TCP运行机制;连接非同步 在连接建立完毕并且没有数据交换的状态下，有下面的关系式成立: CLI_ACK=AVR_SEQ，SVR_ACK=CLI_SEQ 此时的状态称为“同步状态”。 若CLI_ACK≠AVR_SEQ,SVR_ACK≠CLI_SEQ. 则此时的状态称为 “非同步状态”。;8.5.2 IP劫持攻击原理;会话劫持示意图; 为了进行IP劫持攻击，首先必须制造连接的非同步状态。攻击者可以用网络监视器(如SUN下的Sniffit, PC上的NetXray等)来侦听广播网段上的报文，从而监控并分析他准备攻击的机器上所发送的各种报文，并予以攻击。在此介绍两个常用的方法：;当连接C建立之初，攻击者用网络侦听工具能窃取到客户方的连接端口号和序列号等重要信息。利用这些信息，攻击者就能冒充客户方，向服务方发送一个含有RST控制标记位的报文，要求重置该连接。 当服务方收到这个报文后，就会重置连接C，并释放与该连接有关的所有资源。服务方不会对这个RST文给出应答。然而，客户方己经收到服务方SYN/ACK应答包，认为连接成功并进入Established状态。 随后，攻击者冒充客户方发送一个新的SYN连接请求，并在其中填写自己的序列号(不妨称之为ATK_SEQ)。;由于原来分给连接C的端口号等资源在短时间内还未被分给其他连接，所以，服务方仍把这些资源分给攻击者请求的连接，然后初始化自己的初始序列号SVR_SEQ1，并发送SM_ACK反馈报文。 攻击者截获该报文后，根据反馈报文中的服务方序列号继续冒充客户方发送第三次握手反馈包。服务方收到该反馈包后就进入Established状态。至此，攻击者己经制造了非同步状态，然而合法连接的双方仍一无所知。 ; 攻击者可以用发送大量空报文的方法使连接进入非同步状态。 例如：当客户方通过telnet远程连接某服务器来创建连接时，它所发送的数据将被攻击者侦听到。连接建立完成后，攻击者可以冒充客户方向服务方发送大量的不含具体数据的报文. 如在telnet连接中发送IAC NOP报文，服务方TCP实现就会简单地递增SVR_ACK的值。由于TCP对无具体数据的报文是不予回答的，所以，客户方对此毫无所知，从而造成了连接的非同步状态。 采用这种方法，攻击者甚至可以在连接正在建立时就进行非同步攻击。;当客户方发送报文后，由于攻击者造成连接的非同步状态，所以服务方将这个报文抛弃，发回ACK反馈报文，通告可接受序列号。 同样，客户方又认为该ACK反馈报文不可接受，于是丢弃该报文，并向服务方发回ACK反馈报文。服务方也认为报文的序列号不能接受，于是丢弃该报文，并向客户方发回ACK反馈报文. 如此往复，从而构成了TCP的ACK风暴。若客户方收不到服务方的确认报文，就会重新发送报文，这将进一步加剧ACK风暴。;完成TCP/IP会话劫持后，想要获取网络权限是很容易的，这时攻击者已经完全获取被攻击方的TCP传送的数据，这