Hack Roads
黑客黑的是什么
黑客攻击的常用手段
口令猜解攻击,恶意代码攻击,缓冲区溢出攻击,网络欺骗攻击
网站攻防
阻塞攻击,文件上传漏洞攻击,跨站脚步攻击,弱密码攻击,网络旁注攻击
后门分类
账号后门,漏洞后门,系统服务后门,木马后门
DOS常见命令整理
目录操作类命令
- MD:建立子目录(C:\>MD Con 在当前驱动器C盘下创建子目录Con,C:\MD Con\USER 在Con子目录下再创建USER子目录)
- CD:改变当前目录(CD \退回到根目录,CD .. 退回到上一级目录)
- RD:删除子目录命令(不能删除根目录和当前目录,且子目录在删除前必须为空,也就是说要先进入该子目录,使用DEL将其子目录下的文件删空,然后退回到上一级目录,用RD命名删除该目录本身,如删除C盘Con子目录下的USER子目录,操作如下:首先,先将USER子目录下的文件删空,C:\>DEL C:\Con\USER\*.*;然后,删除USER子目录,C:\RD C:\Con\USER)
- DIR:显示磁盘目录命令(如欲查看的目录太多,无法在一屏显示完屏幕会一直往上卷,不容易看清,此时可以使用/P参数,屏幕上会分页一次显示23行的文件信息,然后暂停,并提示:Press any key to continue;如果使用/W参数,则只显示文件名,文件大小及建立的时间和日期则都被忽略)
- PATH:路径设置命令(当运行一个可执行文件时,DOS会先在当前目录中搜索该文件,若找到则运行之;若找不到该文件,则根据PATH命令所设置的路径,顺序逐条地到目录中搜索该文件。PATH命令中的路径,若有两条以上,各路径之间以一个分号";"隔开。PATH有三种使用方法:PATH [盘符1:][路径1][;盘符2:][路径2] 用于设置可执行文件的搜索路径;PATH: 取消所有路径;PATH 显示目前所设的路径。注意:改命令重设PATH路径只对当前DOS窗口有效,并且不会修改系统path路径,因此再打开一个新的DOS窗口,输入PATH显示系统path路径)
- TREE:显示磁盘目录结构命令(使用/F参数显示所有目录和目录下所有文件,省略时,只显示目录,不显示目录下的文件)
磁盘操作类命令
- FORMAT:磁盘格式化命令(对磁盘进行格式化,划分磁道和扇区;同时检查出整个磁盘上有无带缺陷的磁道,对坏道加注标记;建立目录区和文件分配表,使磁盘做好接收DOS的准备)
- CHKDSK:检查磁盘当前状态命令(显示磁盘状态、内存状态和指定路径下指定文件的不连续数目)
- LABEL:建立磁盘卷标命令
- VOL:显示磁盘卷标命令
- DEFRAG:重整磁盘命令(整理磁盘,消除磁盘碎块)
文件操作类命令
- COPY:拷贝一个文件或多个文件到指定盘上。
- XCOPY:复制指定的目录和目录下的所有文件连同目录结构(XCOPY是COPY的扩展,可以把指定目录连文件和目录结构一并拷贝,但不能拷贝隐藏文件和系统文件;选用/S参数对源目录及其子目录下的所有文件进行COPY,若不指定/S参数,则XCOPY只拷贝源目录文件本身,而不涉及其下的子目录。除非指定/E参数,否则/S不会拷贝空目录)
- TYPE:显示文件内容命令(若文件较长,一屏显示不下时,可以使用管道符|MORE,使用该参数后当满屏时会暂停,按任意键)
- REN:文件改名命令(格式:REN [盘符:][路径] <旧文件名> <新文件名>。使用说明:新文件名前不可以加上盘符和路径,因为该命令只能对同一盘上的文件更换文件名;允许使用通配符更改一组文件名或扩展名)
- FC:文件比较命令(选用/A参数,为ASCII码比较模式;选用/B参数,为二进制比较模式;选用/C参数,将大小写字符看成是相同的字符;选用/N参数,在ASCII码比较方式下,显示相异处的行号)
- DEL:删除文件命令
其它命令
- CLS:清屏命令
- VER:显示当前系统版本号
- DATE:设置或显示系统日期
- TIME:设置或显示系统时间
黑客术语
肉鸡:所谓"肉鸡"是一种很形象的比喻,比喻那些可以随意被我们控制的电脑,对方可以是WINDOWS系统,也可以是UNIX/LINUX系统,可以是普通的个人电脑,也可以是大型的服务器,我们可以象操作自己的电脑那样来操纵它们,而不被对方所发觉。
木马:就是那些表面上伪装成了正常的程序,但是当这些程序运行时,就会获取系统的整个控制权限。有很多黑客就是热衷于使用木马程序来控制别人的电脑,比如灰鸽子、黑洞、PcShare等。
网页木马:表面上伪装成普通的网页文件或是将木马代码直接插入到正常的网页文件中,当有人访问时,网页木马就会利用对方系统或者浏览器的漏洞自动将配置好的木马的服务器端下载到访问者的电脑上来自动执行。
挂马:就是在别人的网站文件里面放入网页木马或者是将代码嵌入到对方正常的网页文件里,以使浏览者中马。
后门:这是一种形象的比喻,入侵者在利用某种方法成功的控制了目标主机后,可以在对方的系统中植入特定的程序,或者修改某些设置。这些改动表面上是很难被察觉的,但是入侵者却可以使用相应的程序或者方法来轻易的与这台电脑建立连接,重新控制这台电脑,就好像是入侵者偷偷的配了一把主人房间的钥匙,可以随时进出而不被主人发现一样。通常大多数特洛伊木马(Trojan Horse)程序都可以被入侵者用于制作后门(BackDoor)。
rootkit:rootkit是攻击者用来隐藏自己的行踪和保留root(根权限,可以理解成WINDOWS下的system或者系统管理员权限)访问权限的工具。通常,攻击者通过远程攻击的方式获得root访问权限,或者是先使用密码猜解(破解)的方式获得会系统的普通访问权限,进入系统后,再通过对方系统内存在的安全漏洞获得系统的root权限。然后,攻击者就会在对方的系统中安装rootkit,以达到自己长久控制对方的目的,rootkit与我们前边提到的木马和后门很类似,但远比它们要隐蔽,黑客守卫者就是很典型的rootkit,还有国内的ntroorkit等都是不错的rootkit工具。
IPC$:是共享"命名管道"的资源,它是为了让进程间通信而开放的命名管道,可以通过验证用户名和密码获得相应的权限,在远程管理计算机和查看计算机的共享资源时使用。
弱口令:指那些强度不够,容易被猜解的,类似123,abc这样的口令(密码)。
默认共享:默认共享是WINDOWS2000/XP/2003系统开启共享服务时自动开启所有硬盘的共享,因为加了"$"符号,所以看不到共享的图标,也称为隐藏共享。
shell:指的是一种总命令执行环境,比如我们按下键盘上的"开始键+R"时出现"运行"对话框,在里面输入"cmd"会出现一个用于执行命令的黑窗口,这个就是WINDOWS的Shell执行环境。通常我们使用远程溢出程序成功溢出远程电脑后得到的那个用于执行系统命令的环境就是对方的shell。
WebShell:WebShell就是以asp、php、jsp或者cgi等网页文件形式存在的一种命令执行环境,也可以将其称作是一种网页后门。黑客在入侵了一个网站后,通常会将这些asp或php后门文件与网站服务器WEB目录下正常网页文件混在一起,然后就可以使用浏览器来访问这些asp或者php后门,得到一个命令执行环境,以达到控制网站服务器的目的。可以上传下载文件,查看数据库,执行任意程序命令等。国内常用的WebShell有海阳ASP木马,Phpspy,c99shell等。
溢出:确切的讲,应该是"缓冲区溢出"。简单的解释就是程序对接受的输入数据没有执行有效的检测而导致错误,后果可能是造成程序崩溃或者是执行攻击者的命令。大致可以分为两类:堆溢出、栈溢出。
注入:随着B/S模式应用开发的发展,使用这种模式编写程序的程序员越来越多,但是由于程序员的水平参差不齐,相当大一部分应用程序存在安全隐患。用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想知道的数据,这个就是所谓的SQLinjection,即:SQL注入。
注入点:是可以实行注入的地方,通常是一个访问数据可的连接。根据注入点数据库的运行账号的权限的不同,你所得到的权限也不同。
内网:通俗的讲就是局域网,比如网吧、校园网、公司内部网等都属于此类。查看IP地址如果是在以下三个范围之内的话,就说明我们是处于内网之中的:10.0.0.0——10.255.255.255,172.16.0.0——172.31.255.255,192.168.0.0——192.168.255.255。
外网:直接连入INTERNET(互联网),可以与互联网上的任意一台电脑互相访问,IP地址不是保留IP(内网)IP地址。
端口:(Port)相当于一种数据传输通道。用于接受某些数据,然后传输给相应的服务,而电脑将这些数据处理后,再将相应的数据通过开启的端口传给对方。一般每一个端口的开启对应了相应的服务,要关闭这些端口只需要将对应的服务关闭就可以了。
3389、4899肉鸡:3389是Windows终端服务(Terminal Services)所默认使用的端口号,该服务是微软为了方便网络管理员远程管理及维护服务器而推出的,网络管理员可以使用远程桌面连接到网络上任意一台开启了终端服务的计算机上,成功登录后就会象操作自己的电脑一样来操作主机了。这和远程控制软件甚至是木马程序实现的功能很相似,终端服务的连接非常稳定,而且任何杀毒软件都不会查杀,所以也深受黑客喜爱。黑客在入侵了一台主机后,通常会想办法先添加一个属于自己的后门账号,然后再开启对方的终端服务,这样,自己就随时可以使用终端服务来控制对方了,这样的主机,通常会被叫做3389肉鸡。Radmin是一款非常优秀的远程控制软件,4899就是Radmin默认使用的端口,Radmin也经常被黑客当作木马来使用(正是这个原因,目前的杀毒软件也对Radmin查杀了)。因为Radmin的控制功能非常强大,传输速度也比大多数木马快,而且又不被杀毒软件所查杀,所以Radmin管理远程电脑时使用的是空口令或者是弱口令,黑客就可以使用一些软件扫描网络上存在Radmin空口令或者弱口令的主机,然后就可以登录上去远程控制,这样被控制的主机通常就被称作4899肉鸡。
免杀:就是通过加壳、加密、修改特征码、加花指令等等技术来修改程序,使其逃过杀毒软件的查杀。
加壳:就是利用特殊的算法,将EXE可执行程序或者DLL动态链接库文件的编码进行改变(比如实现压缩、加密),以达到缩小文件体积或者加密程序编码,甚至是躲过杀毒软件查杀的目的。目前较常用的壳有UPX、ASPack、PePack、PECompact、UPack、免疫007、木马彩衣等等。
花指令:就是几句汇编指令,让汇编语句进行一些跳转,使得杀毒软件不能正常的判读病毒文件的构造。说通俗点就是"杀毒软件时从头到脚按顺序来查找病毒"。如果我们把病毒的头和脚颠倒位置,杀毒软件就找不到病毒了。
TCP/IP:是一种网络通信协议,它规范了网络上所有的通信设备,尤其是一个主机与另一个主机之间的数据往来格式以及传送方式。TCP/IP是INTERNET的基础协议,也是一种电脑数据打包和寻址的标准方法。在数据传送中,可以形象地理解为两个信封,TCP和IP就像是信封,要传递的信息被划分为若干段,每一段塞入一个TCP信封,并在该信封上记录有分段号的信息,再将TCP信封塞入IP大信封,发送上网。
路由器:路由器应该是在网络上使用最高的设备之一了,它的主要作用就是路由选路,将IP数据包正确的送到目的地,因此也叫IP路由器。
蜜罐:好比是情报收集系统。蜜罐是故意让人攻击的目标,引诱黑客来攻击,攻击者攻击后,你就可以知道他是如何得逞的,随时了解针对你的服务器发动的最新的攻击和漏洞。还可以通过窃听黑客之间的联系,收集黑客所用的种种工具,并掌握他们的社交网络。
拒接服务攻击:DoS是Denial of Service的简称,即拒绝服务,造成DoS的攻击行为被称为DoS攻击,其目的是使计算机或网络无法正常服务,最常见的DoS攻击有计算机网络带宽攻击和连通性攻击,连通性攻击指用大量的连接请求冲击计算机,使得所有可用的操作系统资源被消耗,最终计算机无法再处理合法用户的请求。
脚本注入攻击:所谓脚本注入攻击是把SQL命令插入到WEB表单的输入域或页面请求的查找字符串,欺骗服务器执行恶意的SQL命令,在某些表单中,用户输入的内用用来构造动态的SQL命令,或作为存储过程的输入参数,这类表单特别容易受到SQL注入式攻击。
防火墙:使用防火墙(Firewall)是一种确保网络安全的方法。防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口,能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。
后门:后门(BackDoor)是指一种绕过安全性控制而获取对程序或系统访问权的方法。在软件的开发阶段,程序员常会在软件内创建后门以便可以修改程序中的缺陷。如果后门被其他人知道,或是在软件发布之前没有删除,那么它就成了安全隐患。
入侵检测:入侵检测是防火墙的合理补充,帮助系统对付网络攻击,扩展系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息,并分析这些信息,检查网络中是否有违反安全策略的行为和遭到袭击的迹象。
数据包监测:数据包检测可以被认为是一根窃听电话线在计算机网络中的等价物。当某人在"监听"网络时,他们实际上是在阅读和解释网络上传送的数据包。如果你需要在互联网上通过计算机发送一封电子邮件或请求下载一个网页,这些操作都会使数据通过你和数据目的地之间的许多计算机。这些信息传输时经过的计算机都能够看到你发送的数据,而数据包监测工具就允许某人截获数据并且查看它。
NIDS:NIDS是Network Intrusion Detection System的缩写,即网络入侵检测系统,主要用于检测Hacker或Cracker通过网络进行的入侵行为。NIDS的运行方式有两种,一种是在目标主机上运行以监测其本身的通信信息,另一种是在一台单独的机器上运行以检测所有网络设备的通信信息,比如Hub、路由器。
SYN包:TCP连接的第一个包,非常小的一种数据包。SYN攻击包括大量此类的包,由于这些包看上去来自实际不存在的站点,因此无法有效进行处理。
暴库:这个漏洞现在很少见了,但是还有许多站点有这个漏洞可以利用,暴库就是提交字符得到数据库文件,得到了数据库文件我们就直接有了站点的前台或者后台的权限了。
注入漏洞:这个漏洞是现在应用最广泛,杀伤力也很大的漏洞,可以说微软的官方网站也存在着注入漏洞。注入漏洞是因为字符过滤不严谨所造成的,可以得到管理员的账号密码等相关资料。
旁注:我们入侵某站时可能这个站坚固的无懈可击,我们可以找下和这个站同一服务器的站点,然后再利用这个站点用提权,嗅探等方法来入侵我们要入侵的站点。打个形象的比喻,比如你和我一个楼,我家很安全,而你家呢,却漏洞百出,现在有个贼想入侵我家,他对我家做了监视(也就是扫描),发现没有什么可以利用的东西,那么这个贼发现你家和我家一个楼,你家很容易就进去了,他可以先进入你家,然后通过你家得到整个楼的钥匙(系统权限),这样就自然得到我的钥匙了,就可以进入我的家(网站)。
COOKIE诈骗:许多人不知道什么是COOKIE,COOKIE是你上网时网站所为你发送的值,记录了你的一些资料,比如IP,姓名什么的。怎样诈骗呢?如果我们现在已经知道了XX站管理员的站号和MD5密码了,但是破解不出来密码(MD5是加密后的一个16位的密码)。我们就可以用COOKIE诈骗来实现,把自己的ID修改成管理员的,MD5密码也修改成其它的,有工具可以修改COOKIE,这样就达到了COOKIE诈骗的目的,系统以为你就是管理员了。
时间戳:"时间戳"是个听起来有些玄乎但实际上相当通俗易懂的名词,我们查看系统中的文件属性,其中显示的创建、修改、访问时间就是该文件的时间戳。对于大多数一般用户而言,通常修改"时间戳"也许只是为了方便管理文件等原因而掩饰文件操作记录。但对于应用数字时间戳技术的用户就并非这么"简单"了,这里的时间戳(time-stamp)是一个经加密后形成的凭证文档,是数字签名技术的一种变种应用。在电子商务交易文件中,利用数字时间戳服务(DTS:digital times stamp service)能够提供对电子文件的日期和时间信息进行安全保护,以防止被商业对手等有不良企图的人伪造和串改文件的关键性内容。
MySQL数据库:我们在黑客文章中常会看到针对MySQL数据库的攻击,但很多朋友却对其不大了解。MySQL数据库之所以应用范围如此广泛,是由于它是一款免费开放源代码的多用户、多线程的跨平台关系型数据库系统,也可称得上是目前运行速度最快的SQL语言数据库。MySQL数据库提供了面向C、C++、Java等编程语言的编程接口,尤其是它与PHP的组合更是黄金搭档。MySQL数据库采用的是客户机/服务器结构的形式,它由一个服务器守护程序Mysqld和很多不同的客户程序和库组成。但若配置不当,MySQL数据库就可能会受到攻击,例如若是设置本地用户拥有对库文件读权限,那么入侵者只要获得MySQL数据库的目录,将其复制到本机数据目录下就能访问进而窃取数据库内容。
MD5验证:MD5(全称message-digest algorithm5)的作用是让大容量信息在用数字签名软件签署前被"压缩"为一种保密的格式。它的典型应用是对一段信息(message)产生信息摘要(message-digest),以防止被篡改。通俗的说MD5码就是个验证码,就像我们的个人身份证一样,每个人的都是不一样的。MD5码是每个文件的唯一校验码(MD5不区分大小写,但由于MD5码有128位之多,所以任意信息之间具有相同MD5码的可能性非常之低,通常被认为是不可能的),凭借此特性常被用于密码的加密存储、数字签名及文件完整性验证。通过MD5验证即可检查文件的正确性,例如可以校验出下载文件中是否别捆绑有其他第三方软件或木马、后门,若是校验结果不正确就说明原文件已被人擅自串改)。
ICMP协议:ICMP(全称是Inter Control Message Protocol,即Inter控制消息协议)用于在IP主机、路由器之间传递控制消息,包括网络通不通、主机是否可达、路由是否可用等网络本身的消息。例如,我们在检测网络通不通时常会使用Ping命令,Ping执行操作的过程就是ICMP协议工作的过程。"ICMP协议"对于网络安全有着极其重要的意义,其本身的特性决定了它非常容易被用于攻击网络上的路由器和主机。例如,曾经轰动一时的海信主页被黑事件就是以ICMP攻击为主的。由于操作系统规定ICMP数据包最大尺寸不超过64KB,因而如果向目标主机发送超过64KB上限的数据包,该主机就会出现内存分配错误,进而导致系统耗费大量的资源处理,疲于奔命,最终瘫痪、死机。
WAP攻击:黑客们在网络上疯狂肆虐之后,又将"触角"伸向了WAP(无线用用协议的英文简写),继而WAP成为了他们的又一个攻击目标。WAP攻击主要是指攻击WAP服务器,使启用了WAP服务的手机无法接收正常信息。由于目前WAP无线网络的安全机制并非相当严密,因而这一领域将受到越来越多黑客的"染指"。现在,我们使用的手机绝大部分都已支持WAP上网,而手机的WAP功能则需要专门的WAP服务器来支持,若是黑客们发现了WAP服务器的安全漏洞,就可以编制出针对该WAP服务器的病毒,并对其进行攻击,从而影响到WAP服务器的正常工作,时WAP手机无法接收到正常的网络信息。
