CH03骇客手法研究.pptVIP

準備代理伺服器 (Cont.) * 代理伺服器工具程式 SocksChain /socks/ 一支能讓任何的網際網路服務透過一串的 SOCKS 或 HTTP 代理伺服器以隱藏真實的 IP HTTPort /HTTPort/3000-2155_4html HTTPort (Client) 及 HTTHost (Server) 為免費的工具，可以用來將任何的 TCP 流量透過 HTTP 協定建立通道 (Tunnel) * HTTP 通道技術 許多公司或單位會使用防火牆或路由器將大部分的 Port 關閉，只留下 HTTP (Port 80) 及HTTPS (Port 443) 如果想要使用遠端伺服器上的其他的服務，諸如 FTP，可以使用 HTTP 通道技術，將資料由 HTTP 協定送出 HTTP Tunnel 可建立雙向的虛擬連線，使用者若被限制在防火牆後面，仍然可以突破 * 防止掃描的對策 適當的安全架構，諸如裝設防火牆、IDS 或 IPS 只開啟有必要的 Port，其他的 Port 都關閉 敏感資訊不要揭露於網路上，想辦法不顯示 加強組織成員在系統使用的教育訓練 * 入侵系統的過程 列舉使用者名稱、機器名稱或 SNMP…等資訊 破解密碼 破解使用者密碼及進入系統 升高權限 獲得管理者的層級 執行應用程式 在電腦主機上置入鍵盤側錄、間諜程式、木馬等 * 入侵系統的過程 (Cont.) 隱藏檔案 隱藏入侵工具及程式碼 覆蓋蹤跡 刪除蹤跡以免被逮 * 列舉 Enumeration 抽取出使用者名稱與群組、電腦名稱、網路資源、網路分享與服務等資訊 屬於 Intranet 環境的技術 * 列舉的技術 使用系統提供的工具進行列舉 獲取 SNMP 的使用者名稱 獲得目標的預設密碼 獲取 E-mail 的使用者名稱 使用暴力法 (Brute Force) * NetBIOS Null Sessions 使用 CIFS/SMB (Common Internet File System/ Server Messaging Block) 進行運作 主機必須安裝 NetBIOS 才能運作 攻擊者可以建立一個 Null Session 的連線到一個 Windows (200/XP) 主機上，並藉由Null User Name 及 Password 登入 * NetBIOS Null Sessions (Cont.) 若使用該 Null 連接，可能會收集到目標主機的下列資訊 Users 及 Groups 的列表 主機的列表 「分享」的列表 UIDs 及 SIDs (Security Identifiers) 任何使用 NetBIOS 連接到目標電腦的連線，都可能輕易的取得完整的列表，包括使用者名稱、群組、分享、權限、政策與服務 * NetBIOS Null Sessions (Cont.) 從Windows 2000/XP 的 TCP Port 139 獲得與該台電腦的充足資訊 使用內建的匿名使用者 (/u:””) 與 Null Password (“”) 假設目標的 IP 位址為 C:\ net use \\\IPC$ “” /u:”” * 系統工具列舉工具 SuperScan4 使用時請點選「Windows Enumeration」頁籤，可以看到左邊的「Enumeration Type」中列出許多可以列舉的項目，包括 NULL Session 接著輸入目標主機的名稱或 IP，最後再按下「Enumerate」 * 系統工具列舉工具 (Cont.) GetAcct /tools/GetAcct.html 可以獲得在 Windows 2000/XP/2003 電腦上的帳號資訊 輸入目標電腦的 IP 位址或 NetBIOS 名稱於「Remote Computer」欄位上，接著輸入 1000 以上的數字於「End of ID」欄位，最後按下「Get Account」按鈕 RID 為當使用者建立時，作業系統給使用者的識別號 預設值為 2000，即檢查 1000 個帳號 * Null Session 對策 Null Session 會去存取 TCP Port 139 與 TCP Port 445，若不使用這兩個 Port 可以將其關閉 從 Windows 操作介面上關閉 WINS Client TCP/IP，即可以關掉 SMB 服務 編輯機碼 (Registry) 以限制匿名使用者(Anonymous User)登入 輸入「regedt32」 尋找HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\restrictanonymous 選擇「修改」，Data Ty