基于认证的入侵（一）.ppt

基于认证的入侵 内容简介 IPC$入侵 远程管理计算机 Telnet入侵 远程命令执行及进程查杀 入侵注册表 获取帐号密码 远程综合入侵 基于认证入侵的方式 远程文件操作 远程屏幕检视 远程命令执行 远程进程管理 远程计算机管理 远程注册表修改 远程登录主机 获取认证密码 IPC$入侵 IPC$是Windows系统特有的一项管理功能，是微软公司为了方便用户使用计算机而设计的，主要用来远程管理计算机。但事实上，使用这项功能最多的人不是网络管理员，而是“入侵者”！他们通过IPC$连接远程主机，并通过IPC$连接可以实现： 建立、拷贝、删除远程计算机文件 在远程计算机上执行命令 远程文件操作（一） 什么是IPC$ IPC是英文Internet Process Connection的缩写，可以理解为“命名管道”。IPC后面的“$”表示隐藏符号。 IPC$是Windows2000/XP/2003及Windows NT特有的一项功能。IPC$就好像是挖好的地道，通信程序就通过这个地道访问目标主机。 默认情况下，IPC$共享是开启的，除非手动删除。通过IPC$连接，入侵者就可以实现远程控制目标主机。 远程文件操作（二） Windows操作系统的默认共享 为了配合IPC共享工作，Windows操作系统在安装完成后，自动设置共享的目录为：C盘、D盘、E盘、ADMIN目录。 上述共享是隐藏的，通过“net share”命令查看本机的共享资源 远程文件操作（三） DOS命令 DIR命令 CD命令 net user：系统帐号类命令 net localgroup：系统组操作 net use：远程连接、映射操作 net send：信使命令 net time：查看远程主机系统时间 cls：清屏命令 netstat –n：查看本机网络连接状态 nbtstat –a IP：查看指定IP主机的NetBIOS信息 IPC$实例 已知远程主机IP地址是192.168.0.106，管理员administrator的用户口令为空 要求建立ipc$连接，并将对方的系统分区映射成本地主机的Z：分区。将文件拷贝到该分区的系统文件目录下 建立IPC$连接 步骤一：单击“开始”-“运行”，在运行里输入“CMD”。 建立IPC$连接 步骤二：建立IPC$连接 使用命令：net use \\IP\IPC$ “PASSWD” /USER: “ADMIN”与目标主机建立IPC$连接，其中“ADMIN”是管理员帐号。 建立IPC$连接 步骤三：映射网络驱动器 用命使令：net use z：\\192.168.0.106\c$ 建立IPC$连接 步骤四：使用指定文件 建立IPC$连接 步骤五：断开连接 键入net use * /del命令断开所有IPC$连接 留后门帐号（一） 什么是BAT文件：BAT文件是Windows系统中的一种文件格式，称为批处理文件。简单说就是将一系列DOS命令按先后顺序写在一个后缀名是BAT的文本文件中。 什么是计划任务：设置一定时间执行相应任务的功能，可以在Windows系统的控制面板中找到。 相关dos命令： copy：文件拷贝 at：用来建立计划任务 net time：查看目标系统时间 net user：查看帐号命令 net user name passwd /add： 建立帐号 net user name passwd /del：删除帐号 net local group:管理工作组 留后门帐号（二） 步骤一：编写BAT文件，编写完成保存为“hack.bat” 留后门帐号（三） 步骤二：与目标主机建立连接 留后门帐号（四） 步骤三：拷贝文件至目标主机 留后门帐号（五） 步骤四：通过计划任务执行“hack.bat”文件 留后门帐号（六） 步骤五：断开连接，验证后门帐号是否建立 IPC$空连接漏洞 漏洞描述：IPC$本来要求客户机要有足够的权限才能够连接，但是存在IPC$漏洞的计算机使用空用户名、空密码就可以连接 IPC$空连接漏洞 漏洞带来的影响：入侵者可以与目标主机进行空连接，但是无法执行管理类的操作，例如执行驱动器映射、上传文件、执行脚本等。虽然无法通过该漏洞直接获得管理员权限，但是可以探测目标主机的一些关键信息，在信息搜索中发挥一定的作用。 通过net time命令获取主机时间 通过USERINFO获得主机用户帐号 通过X-Scan扫描主机的用户信息 安全解决方案 删除默认共享：例如建立批处理文件，并写入如下语句：net share ipc$ /del net share admin$ /del