|
導(dǎo)讀網(wǎng)絡(luò)技術(shù)是從1990年代中期發(fā)展起來的新技術(shù),它把互聯(lián)網(wǎng)上分散的資源融為有機整體,實現(xiàn)資源的全面共享和有機協(xié)作,使人們能夠透明地使用資源的整體能力并按需獲取信息。資源包括高性能計算機、存儲資源、數(shù)據(jù)... 網(wǎng)絡(luò)技術(shù)是從1990年代中期發(fā)展起來的新技術(shù),它把互聯(lián)網(wǎng)上分散的資源融為有機整體,實現(xiàn)資源的全面共享和有機協(xié)作,使人們能夠透明地使用資源的整體能力并按需獲取信息。資源包括高性能計算機、存儲資源、數(shù)據(jù)資源、信息資源、知識資源、專家資源、大型數(shù)據(jù)庫、網(wǎng)絡(luò)、傳感器等。 當(dāng)前的互聯(lián)網(wǎng)只限于信息共享,網(wǎng)絡(luò)則被認為是互聯(lián)網(wǎng)發(fā)展的第三階段。 理由:避免被追蹤,防止同行破壞,可以長期的使用,使自己更安全,讓你更加的有愛心(一定不要破壞肉雞<忽略肉雞國籍>。 GO~ 檢查補丁狀態(tài): 查看 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows 2000 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\HotFix 或者使用 hfnetchk.exe (微軟主頁可以找到) 注意,只是看,好心里有個數(shù)! ▲ipc$(445 or 139) 主要的問題是因為默認設(shè)置允許空會話。通過匿名,可以獲得n多的信息。從而進行用戶驗證攻擊。 問題:你不能改密碼。 關(guān)掉Admin$ 服務(wù)器: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters AutoShareServer = DWORD:00000000 工作站: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters AutoShareWks = DWORD:00000000 問題:ipc$還存在,它只是關(guān)掉了諸如Admin$,c$之類的東西。 立刻從新啟動lanmanserver服務(wù),使其生效 禁止空會話: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA RestrictAnonymous = DWORD:00000001 或者“控制面板”-“本地(域)安全策略”-“安全選項”里...... 立刻從新啟動lanmanserver服務(wù),使其生效 問題: GetAccount.exe這個小工具一樣可以輕易的獲得用戶列表,然后掛字典攻擊。 更改帳號鎖定閥值5次。 此外,還有bug,445 or139 上還有一個漏洞,直接讓機器掛掉。 攻擊程序 SMBdie.exe 可以到http://packetstorm.linuxsecurity.com找到。 相關(guān)的補丁 Q326830_W2K_SP4_X86_CN.exe。 注意,這是在為肉雞打補丁,不是自己的機器。所以絕對不要安裝。 很煩?所以直接關(guān)掉445or139,最好。注意,要關(guān),兩個端口一起。關(guān)一個沒用。(注意這是指windows 2000,不是nt機器) 通常,是這樣的,先連接445端口,如果失敗,就會去連接139,所以一定要兩個都關(guān)了。 如何關(guān)閉? 啟用ipsec(路由和遠程訪問也可以),一個強大的玩意。包括icmp。一樣可以關(guān)掉。也就是ping不通了。 這里不涉及ipsec如何使用,他確實很強大,建議熟練使用。給出兩個相關(guān)的連接,給不熟悉的朋友們參考一下。 Internet 協(xié)議安全 (IPSec) 循序漸進指南 http://www.microsoft.com/china/technet/windows2000/win2ksrv/technote/ispstep.asp IPSec 鎖定服務(wù)器 http://www.microsoft.com/CHINA/TechNet/windows2000/win2ksrv/ipsecld.asp 需要注意的是,我們在為肉雞做安全,不是自己的機器,當(dāng)然,有些時候是很矛盾的,畢竟你要改的東西很多,相對的,你被管理員發(fā)現(xiàn)的可能也增加了。 通常默認的IPSec的設(shè)置是這樣的(本地(域)安全策略-ip安全策略) 默認的有3個:安全服務(wù)器(要求安全設(shè)置) 客戶端(只響應(yīng)) 服務(wù)器(請求安全設(shè)置) 所以,最好不要創(chuàng)建新的策略,直接在原來的基礎(chǔ)上改,也就是3個默認設(shè)置的其中一個。以免太過于暴露了。連接類型最好指定為遠程訪問,以免他內(nèi)網(wǎng)機器訪問不到。最后,選中一個策略,右鍵-指派。立刻生效了。提一下命令行下的操作。以上是通過終端服務(wù)上去操作的。要是行命令下,如何做?推薦使用Resource Kit中的ipsecpol.exe。非常強大,也非常復(fù)雜。有興趣的朋友,可以自己看看。 ▲iis (80) iis 默認安裝完后,漏洞就像蜂窩。 unicode漏洞:雖然這個漏洞老的已經(jīng)成為歷史,但還是有的,主要是一些默認安裝了iis的機器,也別刪除它。之所以http://www.xxx.com/scripts/..%c1%1c..%c1%1c..%c1%1c..%c1%1c../winnt/system32/cmd.exe?/c+dir能夠執(zhí)行命令(相當(dāng)于一個shell)。其實是scripts目錄有執(zhí)行權(quán)限。到iis里去掉就可以了。注意一點的是,把每個虛擬目錄的的執(zhí)行權(quán)限都去掉。因為在沒打補丁之前,所有的有執(zhí)行權(quán)限的虛擬目錄都有這個問題,但不一定能被掃描器掃到。如果已經(jīng)安裝了sp2也就不用忙了,補上了。 單個補丁:http://www.microsoft.com/windows2000/downloads/critical/q269862/default.asp Q269862_W2K_SP2_x86_CN.EXE 二次解碼漏洞:這個漏洞很像上面的那個,一個列子http://www.xxx.com/scripts/..%255c..%255cwinnt/system32/cmd.exe?/c+dir+c:\。同樣的去掉所有虛擬目錄的執(zhí)行權(quán)限。如果安裝了sp3,不用忙了,補上了。 單個補丁:http://www.microsoft.com/Downloads/Release.asp?ReleaseID=29764 Q293826_W2k_SP3_x86_cn.exe .printer遠程益出:同樣,一個成為歷史的漏洞。到iis設(shè)置里把這個映射刪掉就可以了,注意一點的是。ms的iis有點變態(tài)。有些時候,你安裝刪除了一些系統(tǒng)組件。映射可能重新產(chǎn)生。如果安裝了sp2,不用忙了,補上了。 單個補丁:Q296576_w2k_sp2_x86_CN.EXE Index Server遠程益出:同樣,一個非常危險的漏洞,直接取得system權(quán)限。主要是idq.dll有問題,相對應(yīng)的映射idq,ida。刪掉后,也算補上了。如果安裝了sp3,不用忙了,補上了。 asp分塊編碼遠程溢出:對于這個漏洞,成功率是很低的。你可以到http://packetstorm.linuxsecurity.com找到相關(guān)的exploit。而且你所得到的權(quán)限是IWAM_computername這個帳號的。但結(jié)合一些local exploit。就...。看情況了,如果iis只是被默認安裝了,沒有網(wǎng)站。把wwwroot目錄里的那些默認安裝的*.asp刪掉,也算是補上了。如果,它已經(jīng)有web在運做了,這個沒辦法,或許幫它升級windows update是個不錯的注意 :)。安裝了sp3,也不要忙了,補上了。 此外,還有一些看asp源碼的漏洞,方法n多。如果你肉雞的沒安裝sp3的話,最好到iis里把htw和htr刪掉。 Frontpage服務(wù)器擴展:這個服務(wù)所涉及的漏洞特別多,要是肉雞更本就沒用到這個服務(wù)建議直接刪除它。主要是默認的權(quán)限設(shè)置問題。允許權(quán)限是分配給Everyone組的,有些可以寫的,相應(yīng)的,放后門程序上去(asp.cmd),結(jié)合一些local exploit。最后獲得admin權(quán)限。對“_vti”開頭的目錄,去掉Everyone組的控制,此外,還有一些拒絕服務(wù)漏洞,直接當(dāng)?shù)鬷is。列如:提交http://www.xxx.com/_vti_bin/shtml.dll/com1.。或者http://www.xxx.com/_vti_inf.html。可以獲得服務(wù)器的一些信息。多的要死,直接刪掉! snmp服務(wù)(udp 161):即簡單網(wǎng)絡(luò)管理協(xié)議 。也就是為了方便網(wǎng)絡(luò)管理而產(chǎn)生的。主要的問題:口令默認。 通常在win2k下,能找到運行這個服務(wù)的機器是很少的。相對的*nix和路游比較多些。 在win2k下一旦安裝了snmp服務(wù),打開新的端口udp 161、dup 162。通過scan可以輕易的刺探到(推薦LANguard Network Scanner、它帶有一個snmp瀏覽器,或者snscan.exe,一個強勁的snmp掃描器,那它找不同類型的肉雞,比較方便)主要是口令默認,也別刪除這個服務(wù)了,改了口令也算補上了,如何改?“服務(wù)”-“snmp service”-“屬性頁”-“安全”那個“接受團體名稱”也就是“public”,它就是snmp訪問口令。把它改成一個安全的口令。小心!一些暴力破解。這個漏洞,危害雖然沒有那么直接,但還是有的,暴露系統(tǒng)的類型和具體的版本,獲取帳號列表,運行服務(wù)信息.....。 Terminal service(3389) :主要是輸入法狀態(tài)條漏洞,雖然這個已經(jīng)成了古董級的,但還是有的。有些肉雞連sp1都沒有。也不要去刪什么幫助文件了。在注冊表里-這個:HKEY_USERS\.DEFAULT\Keyboard Layout\Preload 這也就是登陸時可以用到的輸入法。都在這里面,保留一個就可以了E00E0804 微軟拼音,免得被人看出破綻。要是全刪除了也就沒有en圖標(biāo)了。打過sp2的,也不要忙了。補上了。此外,還有一個拒絕服務(wù)漏洞。這個沒辦法。只有打補丁,如果裝了sp3也不要忙了,補上了。 ms-sql(tcp 1433 udp 1434): ms-sql這個服務(wù)涉及的漏洞也是比較多的,如果肉雞沒安裝sp2,更多。 口令問題:sa這個帳號比較特別,不能改名字,也不能刪除。加之安裝時的“隨意”。成了一個漏洞,口令太弱。通過一些小工具,連接以后調(diào)用系統(tǒng)存儲過程xp-cmdshell,來執(zhí)行命令。就算你禁用了存儲過程xp-cmdshell。也是可以恢復(fù)的,就算恢復(fù)不了,通過寫一些特別的asp文件(cmd.asp)到iis下有執(zhí)行權(quán)限的目錄,得到一個shell,最后結(jié)合一些local exploit。取得admin權(quán)限。 順便說下,針對win2k+sp3的本地exploit已經(jīng)有了。所以這個漏洞,沒辦法補,你不可能改sa口令,要不,等于買了自己,要不讓它的asp腳本全部完蛋。這樣的問題,永遠都有的,像ipc$,本來設(shè)計來為了方便管理員管理計算機的。設(shè)置一個強壯的口令,本身就是很好的防御措施,就算是默認設(shè)置。又能怎么樣!意識... 除外,ms-sql還有一個udp remote exploit和一些拒絕服務(wù)漏洞,這個沒辦法,只有打補丁,要是肉雞裝了sp3,不用忙了,補上了。 同行所留下的: 帳號,腳本,木馬,服務(wù)級后門,內(nèi)核級后門。 帳號: 1.可能已經(jīng)被先來的同行全部破解掉了,這個沒辦法,只能希望admin經(jīng)常改口令。 2.攻擊者添加的帳號,這個針對一些帳號特多的肉雞,可能有人用這樣低級的手法,你一樣沒辦法,你沒法判斷到底是誰的帳號。 3.帳號被克窿。檢查注冊表,每個帳號的sid應(yīng)該是對應(yīng)的,比如guest的f5,01,如果是f4,01。被克窿了。要是覺得麻煩,用工具ca.exe來檢查,只是要記得del掉%windir%\system32下的SASrv.exe,這是ca產(chǎn)生的。應(yīng)該重點檢查系統(tǒng)帳號,比如guest和IUSR_computername等。 4.注意的:有些帳號里來有"$"這個字符,這樣的帳號在行命令下,將不會被顯示。 腳本: 利用運行的web,這類后門找起來多少有點困難,比如被放了cmd.asp。名字不一定是這個,都會被改的。你要是想完美點,執(zhí)行一下:regsvr32 scrrun.dll /u /s 那個cmd.asp文件也就沒用了。也就是無法創(chuàng)建FileSystemObject 改回來:regsvr32 scrrun.dll /i /s 。此外,針對php、jsp、perl也一樣有類似的腳本。找這類后門很困難。 木馬: 被中過馬兒了,還好,一般比較好的服務(wù)器,都裝有強力的殺毒軟件,比如,Norton AntiVirus、kill nt版等。只是n久沒升級了。提示下,順便把它注冊碼給弄走(有些在注冊表里,有些是一個文件)。都是正版的哦,絕對可以升級。:)。像這類后門只能依 *** 殺毒軟件。種類實在太多了。 服務(wù)級后門: 這類后門找起來也即算容易,首先需要一些工具,pslist.exe pskill.exe、fport.exe、sc.exe、結(jié)合一些系統(tǒng)命令來找。netstat -an |more 看看端口,fport.exe 來查看端口所對應(yīng)的程序。常用兩種手法,直接加到服務(wù)里或者刪掉一個系統(tǒng)里無關(guān)緊要的服務(wù),在把后門偽裝成剛剛哪個刪掉的服務(wù)。找這類后門,只要你對系統(tǒng)服務(wù)和系統(tǒng)進程比較熟悉,應(yīng)該不是很困難。 1.系統(tǒng)服務(wù)都是以大寫字母開頭的,并有規(guī)范的描述。(注意一些軟件安裝所產(chǎn)生的服務(wù),比如serv-u) 2.系統(tǒng)服務(wù)對應(yīng)的程序,都是版權(quán)信息的。(查看屬性頁)以及生成的時間。 3.端口,不太確定它是干什么用的時候,最好telnet下。 4.不能確定某個服務(wù)是干什么用的時候,也就不要del了(用sc.exe)。 內(nèi)核后門: 這類后門在win2k下是比較少的,不像在*nix系統(tǒng)下,多的要死,比如用的比較爽的lkm后門,在win2k下這類后門不太成熟。弄不好讓肉雞徹底完蛋。我自己不太清楚,不多廢話了。 別的廢話:這個,只是我太無聊了,寫起玩的。可能有用詞不準(zhǔn)確的或者錯誤。將就下了。本人工作也和計算機安全沒有關(guān)系。要批評我的,隨便了,我沒意見。 網(wǎng)絡(luò)的神奇作用吸引著越來越多的用戶加入其中,正因如此,網(wǎng)絡(luò)的承受能力也面臨著越來越嚴峻的考驗―從硬件上、軟件上、所用標(biāo)準(zhǔn)上......,各項技術(shù)都需要適時應(yīng)勢,對應(yīng)發(fā)展,這正是網(wǎng)絡(luò)迅速走向進步的催化劑。 |
溫馨提示:喜歡本站的話,請收藏一下本站!
本站發(fā)布的Win7純凈版系統(tǒng)、Win10純凈版和XP純凈版系統(tǒng)僅為個人學(xué)習(xí)測試使用,請在下載后24小時內(nèi)刪除,不得用于任何商業(yè)用途,否則后果自負,請支持購買微軟正版軟件!
本站所有資源全部來自于網(wǎng)絡(luò)資源,如侵犯到您的權(quán)益,請及時通知我們(peng896066052@126.com),我們會及時處理.
Copyright © 2018-2020 雨林木風(fēng)下載站
