渗透技术.txt

木马木马木马木马木马木马木马木马木马木马木马木马木马木马木马木马木马木马木马

　　软件防火墙一般基于某个操作系统平台开发，直接在计算机上进行软件的安装和配置。由于客户平台的多样性，软件防火墙需支持多操作系统，如Unix、Linux、SCO-Unix、Windows等，代码庞大、安装成本高、售后支持成本高、效率低。

　　1、性能优势。防火墙的性能对防火墙来说是至关重要的。它决定了每秒钟通过防火墙的数据流量。单位是Bps，从几十M到几百M不等，还有千兆防火墙甚至达到几G的防火墙。而软件防火墙则不可能达到如此高的速率。

　　2、CPU占用率的优势。硬件防火墙的CPU占用率当然是0了，而软件防火墙就不同了，如果处于节约成本的考虑将防火墙软件安装在提供服务的主机上，当数据流量较大时，CPU占用率将是主机的杀手，将拖跨主机。

　　3、售后支持。硬件防火墙厂家会对防火墙产品有跟踪的服务支持，而软件防火墙的用户能得到这种机会的相对较少，而且厂家也不会在软件防火墙上下太大的功夫和研发经费。

　　二、防火墙渗透

　　以上我们简单的介绍了防火墙的原理，分类，优缺点等。下面，我们将对防火墙的渗透技术做一下简单的介绍。

　　精心配置过的防火墙固然将让绝大多数crackers挡在外围，掌握网络控制的主动权，但是，防火墙并不是万能的，没有任何一样网络产品可以说是绝对安全的。我在这里想再提起"通道技术"。

　　说到通道技术，我想再提一下"端口复用"，很多朋友以为通道技术就是端口复用技术。那么，错了，端口复用是指一个端口上建立了多个连接，而不是在一个端口上面开放了多个服务而互不干扰。假如你想在已经开放了WWW服务的主机上，在80端口再添加一项服务，只有2种可能：1.添加服务失败 2.WWW服务出错。那么什么是通道呢？这里所谓的通道，是指一种绕过防火墙端口屏蔽的通讯方式。防火墙两端的数据包封装在防火墙所允许通过的数据包类型或是端口上，然后穿过防火墙与处在防火墙后面的主机通讯，当封装的数据包到达目的地时，再将数据包还原，并将还原后的数据包交送到相应的服务上，是在一个端口上面开放了多个服务而互不干扰的。
　　
　　为了通信，不论是什么防火墙，都不可能把所有的服务，所有的端口都封闭。（如果有那样的防火墙，还不如拔网线来的直接，呵呵）大多数的防火墙或多或少都要开放一个端口或服务（比如HTTP），只要开放了端口和服务，就给了我们渗透的可能。HTTP是一种比较简单而常用的互交式协议，你给服务器发送一个请求，服务器就返回给你一个回应。几乎所有的主机都被允许发送HTTP请求。网络上HTTP协议使用的是如此广泛，这也决定了我们可以通过使用通道技术而轻松的通过防火墙或其他类似设备而将我们需要的数据发送至目标。一个很典型的例子就是http-tunnel.

　　在http-tunnel的官方网站http://***www.http-tunnel.com上有这么一句话："http-tunnel在HTTP请求中建立了一个双向的虚拟数据连接。HTTP请求可以经过代理而被发送，这就可以被那些处在限制了端口的防火墙背后的用户使用。如果通过HTTP代理的WWW浏览是被允许的，那么http-tunnel也就可以成立，也就是说，可以在防火墙外telnet或者PPP到防火墙的内部。"这样看来，攻击者可以使用这种技术来实现远程控制。我们来看看http-tunnel的设计思路：

　　A主机在防火墙的外面，没有做任何限制。B主机在防火墙内部，受到防火墙保护，防火墙配置的访问控制原则是只允许80端口的数据进出，但主机开放了telnet服务。现在假设需要从A系统Telnet到B系统上去，怎么办？使用正常的telnet肯定是不可能了，因为telnet使用的23端口被防火墙屏蔽，防火墙收到这个telnet的包后，发现不符合只允许80端口的数据通过的过滤原则，就丢弃了。但我们知道可用的有80端口，那么这个时候使用Httptunnel通道，就是一个好的办法，思路如下：

　　在A机器上运行tunnel的客户端，让它侦听本机的一个不被使用的任意指定端口（最好是1024以上65535以下），如，8888。同时将来自8888端口上的数据指引到B机的80端口上，因为是80端口，防火墙是允许通过的。然后在B机上起一个服务端，（在只有80端口对外开放的情况下，只能先得到一个WEBSHELL，想办法提升自己的权限，并运行服务端）同样挂接在80端口上，同时指引80端口的来自客户端的转发到本机的telnet服务端口23，这样就OK了。现在在A机上telnet本机端口8888，根据刚才的设置数据包会被转发到目标端口为80的B机，因为防火墙允许通过80端口的数据，因此数据包畅通的穿过防火墙，到达B机。此时B机在80端口侦听的进程收到来自A的数据包，会将数据包还原，再交还给telnet进程。当数据包需要由B到A返回时，将由80端口再回送，同样可以顺利的通过防火墙。

　　上述功能似乎用端口映射也能做的到，把A主机上的23端口重定向到80端口，再把B主机上的80端口重定向到23端口就行了。但如果B主机已经开启了WWW服务了呢？要使用上述功能，使用端口映射必须牺牲B主机的80端口，这是得不偿失的。试想在一次渗透防火墙的对某台主机的攻击中，把别人本来已经开启的WWW服务DOWN了，你还能在这台主机上呆多久？但是，使用http-tunnel就可以完美实现，即使B主机已经开放80，提供WWW，我们也照样可以发送telnet到其80端口上，享受到"正版"的telnet服务。

　　对于通道技术，我们的解决方案是采用应用层的数据包检测技术，因为在正常的HTTP请求中，GET、POST等行为是必不可少的，如果来自一个连接的HTTP请求中，总是没有GET、POST，那么这个连接肯定有问题。从而终止此连接。现在已经有公司的IDS产品能够查出隐藏在80中的tunnel,但是这些IDS产品的费用恐怕也不是中小型企业能承受的了的。

　　对于防火墙的渗透，还有一些方法，比如找防火墙本身的设计缺陷等等，但那些难度太大。恐怕不是我们应该考虑的了。

　　总结：

　　我们又把防火墙和防火墙的渗透深入浅出的复习了一遍。现在我们应该更清楚的知道，防火墙不是万能的，即使是经过精心配置的防火墙也抵挡不住隐藏在看似正常数据下的通道程序。那么，对于一个网络来说，我们应该怎么做才能够保证它的最大安全呢？

　　1.根据需要合适的配置防火墙，尽量少开端口。

　　2.采用过滤严格的WEB程序。

　　3.采用加密的HTTP协议(HTTPS)。

　　4.如果条件允许，购买一台功能较强大的NIDS。

　　5.管理好你的内网用户，防止攻击者和内网用户直接连接绕过防火墙。

　　6.经常升级你的firewall产品。


@@@@@@@@@@@@@

对X盟的一次渗透 
 
安全中国 www.anqn.com 更新时间:2005-7-13 23:43:00 责任编辑:池天 
 
 
热 点：  
 
X盟是国内一家著名的网络安全公司(注：此文不便透露该网站真实名称，所以用x盟为名)，可以说在安全界是无人不知。所谓树大招风，曾有不少入侵者企图入侵x盟或者找到一点bug，但绝大多数人都以失败而告终，其中当然也有个别的成功者，比如几年前小鱼巫师利用sql injection技术把x盟论坛的数据库删除了，造成了一定的影响。正是由于x盟在安全界非常显眼,所以也激起了我心中从来都不曾安分过的挑战欲,我决定在周末对其进行渗透入侵。下面是简单的渗透过程以及思路(这不论结果如何只注重过程): 
首先进行一系列的信息收集: 

C:\>ping bbs.xxxxxxx.net 

Pinging bbs.xxxx.net [21.16.6.16] with 32 bytes of data: 

Reply from 21.16.6.16: bytes=32 time=110ms TTL=236
Reply from 21.16.6.16: bytes=32 time=91ms TTL=236 
Reply from 21.16.6.16: bytes=32 time=110ms TTL=236 
Reply from 21.16.6.16: bytes=32 time=100ms TTL=236 
Ping statistics for 21.16.6.16: 

[注:这里的bbs.xxxxxxx.net和21.16.6.16是假设的，如有雷同则纯属巧和] 


用superscan进行全端口扫描的结果: 


* + 21.16.6.16 

|___ 29 MSG ICP 

|___ 31 MSG Authentication 

|___ 33 Display Support Protocol 

|___ 37 Time 

|___ 38 Route Access Protocol 

|___ 35 any private printer server 

|___ 39 Resource Location Protocol 

|___ 41 Graphics 

|___ 42 WINS Host Name Server 

|___ 43 Who Is 

|___ 44 MPM FLAGS Protocol 

|___ 45 Message Processing Module [recv] 

|___ 46 MPM [default send] 

|___ 47 NI FTP 

|___ 48 Digital Audit Daemon 

|___ 71 Remote Job Service 

|___ 67 Bootstrap Protocol Server 

|___ 69 Trivial File Transfer 

|___ 72 Remote Job Service 

|___ 70 Gopher 

|___ 68 Bootstrap Protocol Client 

|___ 73 Remote Job Service 

|___ 74 Remote Job Service 

………………………………………… 


这不是误报，这肯定是IDS产生的端口。看来我们没办法得到真实开放的端口了。本想接下来进行cgi扫描的，但是想想有那么多人都试过了，我再试也不会扫出什么漏洞，况且对付这么著名的安全网站常规方法一定行不通。 


由于X盟安装了IDS(肯定还有防火墙)，我用扫描器就收集不了信息。所以我们得想出另一种手段: 


既然目标主机配置的非常安全，我们一时没有想出很好的办法进行渗透入侵（经前面检测，x盟脚本的输入输出过滤很全面,所以脚本没什么可利用的），但是我们可以从其网http://bbs.xxxxxx.net看到，x盟还是存在很严重的安全隐患-----------传统的http协议没有加密。所以我们可以从x盟同一交换机的其他主机开始渗透入侵，然后利用arp欺骗技术嗅探x盟的通信数据包，达到间接入侵的目的。 


接着我用各种扫描器x-scan、hscan、流光4.7对x盟所在的一个c类IP段进行了全面扫描，试图用各种办法控制其中的一台主机。扫描发现这个网段有一些winnt/2000的主机，可是用unicode编码漏洞、webdav溢出、ida溢出、idq溢出、IPC弱口令、sql溢出等都无法攻破这个网段。后来想到了rpc溢出，这个漏洞我曾经在sp0-sp3(英文、简/繁体)的主机上测试通过，成功率极高，但是使用这个溢出攻击的人却极少，原因我想是因为大家的注意力都吸引到webdav溢出上了，而且rpc溢出需要对方开放Remote Procedure Call (RPC) Locator服务。除了域控制器，谁开会开放这个服务呢？根据常识我们知道，域控制器会开放特定端口，所以我先找找21.16.6.1-21.16.6.254有没有域控制器，结果还不错，找到了三台域控制器: 


21.16.6.30 
21.167.67.61 
21.167.67.68 

接下来顺利地利用rpc溢出得到了21.16.6.30主机的系统控制权，并且21.16.6.30还有终端服务（端口:3389），这点我不是太了解，为什么90%的域控制器都开放3389？接着登录上21.16.6.30的终端服务，先看一下: 


C:\>query user 

USERNAME SESSIONNAME ID STATE IDLE TIME LOGON TIME 

>test rdp-tcp#9 1 运行中 . 2003-4-14 12:28 

还好3389只有我一个 


C:\>net session 

清单是空的。 

这里也没人 

这下可以放心地干了，先安装winpcap 2.1，然后安装x-sniffer对bbs.xxxxxxx.net进行攻击，先看一下本机: 


C:\>ipconfig 

Windows 2000 IP Configuration 

Ethernet adapter 本地连接: 


Connection-specific DNS Suffix . : 

IP Address. . . . . . . . . . . . : 21.16.6.30 

Subnet Mask . . . . . . . . . . . : 255.255.255.0 

Default Gateway . . . . . . . . . : 21.16.6.1 

OK，运行x-sniffer工具配置好并抓包，一会功夫就有了结果: 


C:\>dir log1.txt 

驱动器 C 中的卷没有标签。 

卷的序列号是 68AB-0241 

C:\ 的目录 

2003-04-14 11:20 1,474,800 log1.txt 

1 个文件 1,474,800 字节 

0 个目录 961,003,520 可用字节 

再来看看有什么好东东: 


find /I “username” log1.txt 

---------- A.TXT 


act=Login&do=01&UserName=badhack&PassWord=aaa&submit=%CE%D2%D2%AA%B5%C7%C2% 


BDact=Login&do=01&UserName=badhack&PassWord=aaa&submit=%CE%D2%D2%AA%B5%C7%C2%BD??act=Login&do=01&UserName=badhack&PassWord=aaa&submit=%CE%D2%D2%AA%B5%C7%C2%BD211.167.67.167(37395)->211.167.67.167(80)??act=Login&do=01&UserName=badhack&PassWord=aaa&submit=%CE%D2%D2%AA%B5%C7%C2%BD211.167.254.76(80)->211.167.254.76(37401) 

act=Login&do=01&UserName= lanker&PassWord=ljyjsjx9803 

UserName=aoxue&PassWord=KFmyTUav 

UserName=antisecurity&PassWord=nsfocus 

………… 

随便用adam用户登录，发现真的进去了


只要我愿意，想得到多少用户密码就得到多少用户密码。而我想得到的是更多的权限，我想得到论坛管理员的密码如果论坛又支持上传文件的话就有办法获得shell了，可是这论坛管理员也不知什么时候才会登录，我决定试一下其他的地方说不定有新的转机。