黑客经验谈:跳板攻击入侵技术例子解析

on 2009-9-12 in 安全 | 0 Comment
来源:赛迪网

网络入侵安全第个狡猾、高明入侵者不会冒然实行动他们在入侵时前会做足功课入侵时会通过各种技术手段保护自己以防被对方发现引火烧身其中跳板技术是攻击者通常采用技术下面笔者结合例子解析攻击入侵中跳板技术

1、确定目标

攻击者在通过扫描工具进行定点(IP)扫描或者对某IP段扫描过程中发现了该系统(服务器)某个漏洞然后准备实施攻击

比如笔者通过对某IP段扫描发现该IP段IP地址为211.52.*.84主机存在MYSQL漏洞可以通过提权获取系统权限进而控制该服务器

2、设计跳板

跳板通俗讲就是条通往目标主机主机链理论上讲当然是链越长就越安全但是链太长话连接速度太慢其中中转太多攻击者往往会评估入侵风险从而制定或者设计跳板原则是如果是政府、军队等敏感部门往往跳板会比较多甚至这些跳板主机会纵横 7大洲 4大洋另外入侵国内服务器往往也会需要国外跳板主机

另外跳板主机选择入侵者往往是些安全性般速度较快很少有人光顾主机如果是跳板出了安全问题安全人员从中间入手进行反向追踪定位入侵者相对比较容易

笔者演示进行入侵检测目标主机是家韩国服务器(通过[url]www.ip138.com[/url]查询)综合考虑设计了 3级跳板即通过 3个主机中转在第 3级跳板上进行目标主机入侵就爱你从设计路线为:远程登陆(3389)到IP地址为203.176.*.237马来西亚服务器;然后在该服务器上通过CMD命令登陆到IP地址为203.115.*.85印度Cisco路由器;最后该路由器上telnet到某韩国主机最后以该韩国服务器为工作平台实施MYSQL提权操作

特别介绍说明:攻击者往往在跳板中加入路由器或者交换机(比如Cisco产品)虽然路由器日志文件会记录登陆IP但是可以通过相关命令清除该日志并且这些日志清除后将永远消失路由器日志保存在flash中旦删除将无法恢复如果跳板全部用主机虽然也可以清除日志但是现在恢复软件Software往往可以恢复这些日志就会留下痕迹网络安全人员可以通过这些蛛丝马迹可能找到自己

3、跳板入侵

(1).第远程桌面

开始→运行→mstsc打开远程桌面连接输入马来西亚服务器IP地址203.176.*.237随后输入用户名、密码即可远程连接到该服务器

个非常狡猾高明入侵者般不会用自己平时使用主机进行远程桌面连接入侵他们往往通过些人员流动比较大公共电脑进行入侵如果找不到他们般不会用物理主机会采用虚拟机系统进行入侵物理主机入侵会留下痕迹就算删除格式化也会被恢复而虚拟机入侵完成后可以删除呼的即来弃的毫不可惜

(2).第 2跳telnet路由器

打开服务器命令行工具(cmd)输入telnet 203.115.*.85进行连接该路由器是Cisco设置了虚拟终端密码输入密码进入路由器般模式此时即可以通过路由器telnet到下个跳板当然最好有该cisco路由器特权密码敲入en然后输入特权密码进入特权模式就算没有进入路由器特权模式但路由器还是记录了此次登陆因此定要进入特权模式通过路由器命令清除登陆记录和历史命令笔者为了安全用SecureCRT(类似telnet)进行登陆

作为个狡猾入侵者在进入路由器特权模式后不是马上进入下跳板往往通过show user命令查看有没有其他人(特别是管理员)登陆到路由器如果存在其他登陆个谨慎入侵者往往会放弃该跳板转而用其他跳板

(3).第 3跳telnet主机

在路由器特权模式下输入telnet 203.115.*.85随后输入用户名及其密码后就telnet到远程主机系统给我们个shell

4.提权

至此我们经过 3级跳到达工作平台然后就在该shell上进行目标主机MYSQL提权操作操作平台上笔者已经准备好了进行MYSQL提权工具输入命令进行操作笔者把相关命令列举出来:

cd msysql
cd bin
mysql -h 211.52.118.84 -uroot
\. c:\mysql\bin\2003.txt







在工作平台上再打开个cmd输入命令

nc 211.52.118.84 3306







即监听该ip3306端口返回个目标主机shell获取该主机控制权

在该shell上输入命令建立管理员用户

net user test test /add
net localgour administrators test /add







下面看看对方是否开了远程桌面连接在命令行下敲入命令

netstat -ano







对方开3389端口即可以进行远程桌面连接

由于对方是XP系统不能多用户远程连接笔者入侵检测到此为止

5、全身而退

入侵完成获得目标主机管理权限入侵者就得擦除痕迹准备撤退了

(1).由于从目标主机获得shell反向连接获得不会有日志记录所以不用管直接断开连接

(2).上传clearlog工具清除telnet主机上登陆日志

(3).输入exit退出路由器到主机telnet连接在路由器上输入

clear logging







分别用来清除登陆日志

(4).退出路由器登陆通过工具清除远程桌面主机上登陆日志然后删除登录用帐户和用户目录注销用户

整理总结:上面笔者结合例子演示了入侵者如何通过跳板进行入侵以及入侵善后全过程本文只是从技术角度对跳板技术进行解析是让有兴趣读者直观地了解跳板技术相关细节当然跳板技术是博大精深远非本文所能囊括但其基本原来都类似希望文本对大家了解这种技术有所帮助



Tags: 

延伸阅读

最新评论

发表评论