全面降低windows系统的安全隐患(三)
之应对Windows的入侵
作者:许本新
另外系列文章连接
之四 [url]http://windows.blog.51cto.com/92193/51981[/url]
之二 [url]http://windows.blog.51cto.com/92193/51228[/url]
之一 [url]http://windows.blog.51cto.com/92193/51214[/url]
之二 [url]http://windows.blog.51cto.com/92193/51228[/url]
之一 [url]http://windows.blog.51cto.com/92193/51214[/url]
l
探测
§
选择攻击对象,了解部分简单的对象信息;针对具体的攻击目标,随便选择了一组IP地址,进行测试,选择处于活动状态的主机,进行攻击尝试
l
针对探测的安全建议
§
对于网络:安装防火墙,禁止这种探测行为
§
对于主机:安装个人防火墙软件,禁止外部主机的ping包,使对方无法获知主机当前正确的活动状态
l
扫描
§
使用的扫描软件
§
NAT、流光、Xscan、SSS
l
扫描远程主机
§
开放端口扫描
§
操作系统识别
§
主机漏洞分析
l
端口扫描
l
操作系统识别
l
漏洞扫描
l
查看目标主机的信息
l
IIS攻击
尝试利用IIS中知名的Unicode和“Translate:f”漏洞进行攻击,没有成功。目标主机可能已修复相应漏洞,或没有打开远程访问权限
l
Administrator口令强行破解
这里我们使用NAT(NetBIOS Auditing Tool)进行强行破解:构造一个可能的用户帐户表,以及简单的密码字典,然后用NAT进行破解
l
Administrator口令破解情况
l
巩固权力
现在我们得到了
Administrator
的帐户,接下去我们需要巩固权力
装载后门
一般的主机为防范病毒,均会安装反病毒软件,如
Norton Anti-Virus
、金山毒霸等,并且大部分人也能及时更新病毒库,而多数木马程序在这类软件的病毒库中均被视为
Trojan
木马病毒。所以,这为我们增加了难度。除非一些很新的程序或自己编写的程序才能够很好地隐藏起来
我们使用
NetCat
作为后门程序进行演示
l
安装后门程序
利用刚刚获取的Administrator口令,通过Net use映射对方驱动器
l
将netcat主程序nc.exe复制到目标主机的系统目录下,可将程序名称改为容易迷惑对方的名字
利用at命令远程启动NetCat
l
清除痕迹
n
我们留下了痕迹了吗
n
del
*.evt echo xxx > *.evt
l
看看它的日志文件
n
无安全日志记录
l
通过入侵来看
Win 2000
的防范
Ø
安装防火墙软件,对安全规则库定期进行更新
Ø
及时更新操作系统厂商发布的
SP
补丁程序
Ø
停止主机上不必要的服务,各种服务打开的端口往往成为黑客攻击的入口
Ø
使用安全的密码
Ø
如果没有文件和打印机共享要求,最好禁止
135
、
139
和
445
端口上的空会话
Ø
经常利用
net session
、
netstat
查看本机连接情况
本文转自xubenxin 51CTO博客,原文链接:http://blog.51cto.com/windows/51501
,如需转载请自行联系原作者
