samsa黑客手册.doc

SAMSA黑客手册 1999-11 北京 [摘要] 入侵一个系统有很多步骤，阶段性很强的“工作”，其最终的目 标是获得超级用户权限——对目标系统的绝对控制。从对该系统一无所知 开始，我们利用其提供的各种网络服务收集关于它的信息，这些信息暴露 出系统的安全脆弱性或潜在入口；然后我们利用这些网络服务固有的或配 置上的漏洞，试图从目标系统上取回重要信息（如口令文件）、或在上面 执行命令，通过这些办法，我们有可能在该系统上获得一个普通的shell 接口；接下来，我们再利用目标系统本地的操作系统或应用程序的漏洞试 图提升我们在该系统上的权限，攫取超级用户控制；适当的善后工作包括 隐藏身份、消除痕迹、安置特洛伊木马和留后门。 为什么要研究网络入侵技术？《孙子兵法》有云：知己知彼、百战不殆。为了更好的防卫网络入侵，为了提高网络安全，为了网络管理员甚至系统设计者能够防患于未然，将安全隐患消灭或尽量减少，必须使大家了解网络黑客入侵技术的具体细节。因此笔者先做一个假设的替换，把自己放到一个黑客的位置，然后再诚实地从那个位置把黑客的秘密手段向大家展示。 (零)、确定目标 攻击的基本条件，除了攻击者和攻击技术，就是攻击对象，特定的对象（特定子网、特定主机）对特定的攻击者构成吸引力，也召唤着与之相适应的技术。 0.1) 目标明确 攻击者明确地知道要攻击的目标，如某可恶的ISP，如某敌对观点的宣传站点，如解雇了攻击者的单位的主页，等等。 0.2) 区段搜索 攻击者有大致的攻击范围（某一网段），但没有具体的主机作为目标，这时可以工具搜索出该网段上的所有机器，如用笔者开发的mping(multi-ping)，用法如下： [synopsis] mping network netmask e.g. # mping 第一个参数是欲搜索的网段，第二个参数是网络掩码。即可快速获取该网段上所有活动主机的IP地址。 0.3) 抓网 从一个有很多链接的WWW站点开始，顺藤摸瓜，自然可以找到许多域名和IP地址； 0.4) 到网上去找站点列表 很多网页上都有大量相关站点的列表；找到一个站点列表，就可以挨个儿进行攻击尝试了！ (一)、情报搜集 从对攻击目标一无所知开始，通过种种尝试，获得越来越多的关于它的信息；黑客的哲学是：没有无用的信息。几乎关于攻击目标的任何知识都是可能的入侵入口，举凡操作系统类型、版本、用户名等，即使是一些表面上无害的信息，也可能通过和别的信息综合而构成暴露系统漏洞的消息。 1.1) 端口扫描 端口扫描是通过扫描找出目标系统开放的服务端口从而推断出目标系统上运行的服务，通过这些服务可能获取进一步的知识或通往系统的路径。 端口扫描的程序所在多有，可从网上免费获取，如笔者使用的一种，其输出如下： e.g. # tcp_scan numen 1-65535 7:echo: 9:discard: 13:daytime: 19:chargen: 21:ftp: 23:telnet: 25:smtp: 37:time: 79:finger 111:sunrpc: 512:exec: 513:login: 514:shell: 515:printer: 540:uucp: 2049:nfsd: 4045:lockd: 6000:xwindow: 6112:dtspc: 7100:fs: … # udp_scan numen 1-65535 7:echo: 9:discard: 13:daytime: 19:chargen: 37:time: 42:name: 69:tftp: 111:sunrpc: 161:UNKNOWN: 177:UNKNOWN: ... 大概地说，TCP和UDP端口扫描的机理都是依次（如从1号端口到n号）向目标系统的端口发出连接请求或服务请求包，若该端口上无服务程序守侯，则TCP协议层会回送一个RST（Reset）包，而UDP协议层则会回送一个ICMP Port Unreachable（端口不可达）包，如果没有收到这两种包，就说明该端口有一服务程序，再根据服务程序和著名端口号间的对应关系，既可推知目标系统上究竟运行着哪些服务了。 观看端口扫描程序运行结果，如发现有下列服务： finger,sunrpc,nfs,nis(yp),tftp,ftp,telnet,http,shell(rsh), login(rlogin),smtp,exec(rexec),etc… 则应引起注意。因为这些服务或者无偿向外界提供关于系统的重要知识，或者提供某种使用户可以“登录”到系统的方法，或者使得用户可以远程执行系统中的程序，所以都有可能是网络入侵的重要途径。在下面的叙述中读者将陆续看到这一点。 1.2) finger 如果端口扫描发