攻擊分析(第 3 部分)
在本系列的第 2 部分中,我們留下了攻擊受害者網路所需的所有必要資訊。
唐·帕克
我們在第一部分向您展示了打開 Nmap 發送的資料包序列時可以觀察到的資訊。發送的序列以 ICMP 回顯回應開始,以確定電腦或網路是否已指派 IP 位址。
另外,我們也可以透過查看被攻擊電腦傳回的ICMP回顯回應封包中的ttl來猜測其網路是基於Windows的網路。現在應該做的是繼續觀察Nmap掃描器中剩餘的資料包,找出剩餘的信息,以便了解受害者網路的概況。
繼續
10:52:59.078125 IP (tos 0x0, ttl 49, id 9808, offset 0, flags [none], proto: TCP (6), length: 40) 192.168.111.17.37668 > 192.168.111.23.80: ., cksum 0xfd46 (correct), ack 85042526 win 2048
0x0000: 4500 0028 2650 0000 3106 0407 c0a8 6f11 E..(&P..1.....o.
0x0010: c0a8 6f17 9324 0050 67d1 a55e 0511 a55e ..o..$.Pg..^...^
0x0020: 5010 0800 fd46 0000 P....F..
10:52:59.078125 IP (tos 0x0, ttl 128, id 397, offset 0, flags [none], proto: TCP(6), length: 40) 192.168.111.23.80 > 192.168.111.17.37668: R, cksum 0x6813 (correct), 85042526:85042526(0)win 0
0x0000: 4500 0028 018d 0000 8006 d9c9 c0a8 6f17 E..(..........o.
0x0010: c0a8 6f11 0050 9324 0511 a55e 0511 a55e ..o..P.$...^...^
0x0020: 5004 0000 6813 0000 0000 0000 0000 P...h.........
上面的兩個資料包在我們在第 1 部分中觀察到的 ICMP 資料包之後。 Nmap 向受害者網路 IP 192.168.111.23 的連接埠 80 發送了一個 ACK 封包。由於是偽造的訊息,我們無法在這裡了解全部情況。只看到從攻擊者收到的 ACK 封包是回應的 RST 封包,因為這個 ACK 不是預期的。它本質上不是先前建立的連接的一部分。我們仍然有一個 ttl 為 128,與先前觀察到的 ttl 相對應。
10:52:59.296875 IP (tos 0x0, ttl 58, id 45125, offset 0, flags [none], proto: TCP (6), length: 40) 192.168.111.17.37644 > 192.168.111.23.21: S, cksum 0x37ce (correct), 2010644897:2010644897(0) win 3072
0x0000: 4500 0028 b045 0000 3a06 7111 c0a8 6f11 E..(.E..:.q...o.
0x0010: c0a8 6f17 930c 0015 77d8 01a1 0000 0000 ..o.....w.......
0x0020: 5002 0c00 37ce 0000 P...7...
10:52:59.296875 IP (tos 0x0, ttl 128, id 398, offset 0, flags [DF], proto: TCP (6), length: 44) 192.168.111.23.21 > 192.168.111.17.37644: S, cksum 0x4f58 (correct), 1685290308:1685290308(0) ack 2010644898 win 64240
0x0000: 4500 002c 018e 4000 8006 99c4 c0a8 6f17 E..,[email protected].
0x0010: c0a8 6f11 0015 930c 6473 7d44 77d8 01a2 ..o.....ds}Dw...
0x0020: 6012 faf0 4f58 0000 0204 05b4 0000 `...OX........
10:52:59.296875 IP (tos 0x0, ttl 128, id 110, offset 0, flags [none], proto: TCP(6), length: 40) 192.168.111.17.37644 > 192.168.111.23.21: R, cksum 0xca50 (correct), 2010644898:2010644898(0) win 0
0x0000: 4500 0028 006e 0000 8006 dae8 c0a8 6f11 E..(.n........o.
0x0010: c0a8 6f17 930c 0015 77d8 01a2 77d8 01a2 ..o.....w...w...
0x0020: 5004 0000 ca50 0000 P....P..
在 ACK 和 RST 封包交換之後,我們可以看到駭客向受害者網路發送了一個真正的 SYN 封包,如標有粗體 S 的封包所示。由此我們推斷,SYN/ACK 封包是從受害者網路的 21 連接埠回傳的。隨後,駭客的電腦向受害者網路發送了一個 RST 封包,從而終止了此次交換。這三個包裹現在包含了大量有關假冒產品的資訊。
我們還從受害者機器獲得了 ttl 128,但也有 win64240。雖然沒有列出這個值,但它確實是我以前在 Win32(Microsoft Windows 的 32 位元版本,例如 Win NT、2K、XP 和 2K3)中多次見過的大小。 Windows 電腦的另一個限制是它們的 IP ID 數量無法預測。在這種情況下,我們只有一個 IP ID 值。我們至少還需要一個值,然後才能自信地說這台電腦是一台 Microsoft Windows 電腦。請注意,請查看 Nmap 掃描的剩餘資料包。
10:52:59.312500 IP (tos 0x0, ttl 59, id 54025, offset 0, flags [none], proto: TCP (6), length: 40) 192.168.111.17.37644 > 192.168.111.23.80: S, cksum 0x3393 (correct), 2010644897:2010644897(0) win 4096
0x0000: 4500 0028 d309 0000 3b06 4d4d c0a8 6f11 E..(....;.MM..o.
0x0010: c0a8 6f17 930c 0050 77d8 01a1 0000 0000 ..o....Pw.......
0x0020: 5002 1000 3393 0000 P...3...
10:52:59.312500 IP (tos 0x0, ttl 128, id 399, offset 0, flags [DF], proto: TCP (6), length: 44) 192.168.111.23.80 > 192.168.111.17.37644: S, cksum 0x7913 (correct), 1685345101:1685345101(0) ack 2010644898 win 64240
0x0000: 4500 002c 018f 4000 8006 99c3 c0a8 6f17 E..,[email protected].
0x0010: c0a8 6f11 0050 930c 6474 534d 77d8 01a2 ..o..P..dtSMw...
0x0020: 6012 faf0 7913 0000 0204 05b4 0000 `...y.........
10:52:59.312500 IP (tos 0x0, ttl 128, id 111, offset 0, flags [none], proto: TCP(6), length: 40) 192.168.111.17.37644 > 192.168.111.23.80: R, cksum 0xca15 (correct), 2010644898:2010644898(0) win 0
0x0000: 4500 0028 006f 0000 8006 dae7 c0a8 6f11 E..(.o........o.
0x0010: c0a8 6f17 930c 0050 77d8 01a2 77d8 01a2 ..o....Pw...w...
0x0020: 5004 0000 ca15 0000 P.......
駭客查看的第一個訊息是查看 IP ID 號碼是否增加到 399。正如我們在資料包中間觀察到的那樣,這個 DI IP 確實是 399。有了這些訊息,駭客就相當有信心,他所攻擊的受害電腦是 Windows NT、2K、XP 或 2K3。在此封包序列中還觀察到,受害網路上的連接埠 80 似乎具有服務,這由 SYN/ACK 封包證明,SYN/ACK 封包是透過檢查 TCP 標頭中的標誌欄位來確定的,在這種情況下,帶下劃線的十六進位值為 12 或十進位為 18。可以透過將 SYN 標誌 2 值加到 ACK 標誌 16 值來偵測該值。
枚舉
一旦駭客得知21和80兩個連接埠都對企業開放,就會進入枚舉狀態。他現在需要知道的是哪種類型的網頁伺服器正在監聽連線。對於這個駭客來說,利用 IIS 網路伺服器上的 Apache 漏洞是毫無意義的。考慮到這一點,攻擊者將開啟 cmd.exe 會話並找出網路類型。
C:\>nc.exe 192.168.111.23 80
GET slslslls
HTTP/1.1 400 Bad Request
Server: Microsoft-IIS/5.0
Date: Mon, 06 Aug 2007 15:11:48 GMT
Content-Type: text/html
Content-Length: 87
The parameter is incorrect.
C:\>
我們可以觀察到上面標記的網路類型或駭客在受害者的IP位址以及連接埠80中輸入的nc.exe語法。一旦進入,駭客將輸入GET方法的HTTP,後面跟著一些語法錯誤的句子。此操作可能導致受害網路的網路伺服器在無法理解請求內容的情況下將資訊傳送回其係統。這就是為什麼他們自然而然地列出駭客所需的資訊。駭客現在可以看到他處於 Microsoft IIS 5.0 中。更好的消息是,駭客已經發現了該版本的多個漏洞。
結論
透過使用 Nmap 對受害者的網路進行掃描,駭客可以接收一系列重要的資料包。如我們所見,這些資料包內部充滿了可供駭客利用架構、作業系統、網路類型和伺服器類型的漏洞的資訊。
簡而言之,透過這種方式,駭客可以獲得有關主機、架構和所提供的服務的關鍵資訊。有了這些訊息,駭客就可以對受害者網路的網路伺服器發動攻擊。在下面的部分中我們將更詳細地介紹在這種情況下駭客可以使用哪些攻擊來攻擊使用者。
在本系列的第 2 部分中,我們留下了攻擊受害者網路所需的所有必要資訊。
本系列將基於網路漏洞。本文將介紹的是一次真實的攻擊,從偵察到枚舉、網路服務利用,最後以通知利用策略結束。所有這些步驟都將在資料包層級進行觀察,然後進行詳細解釋。
《Code Meeting the Supreme》為玩家提供了包括貨幣和物品在內的多種獎勵,幫助玩家快速熟悉遊戲。
Sohm DTCL 第 7.5 季是被培養起來的龍之一,可以說是得到隊友最好支持的龍之一,與獨自一人的 Terra Dragon 形成對比。
購買電視時,您會看到 QLED、OLED 和 LED 選項。當你在螢幕上看它們時,它們似乎都一樣,那麼你應該買哪款電視,它們之間有什麼區別?
許多三星智慧電視都配備內建功能,可改善您的串流和遊戲體驗。以下是我們最喜歡的一些功能。
《呼嘯浪潮》的配置已由遊戲發行商正式公佈,玩家必須至少擁有 GTX 1060 或更高版本。
三星手機上的計算器應用程式有一個小費計算器,可以幫助您與他人分攤帳單。這樣,您就不必親自去做,並且可以避免因心裡計算錯誤金額而造成的尷尬。
有許多 AI 照片編輯器使 Photoshop 成為第二選擇,而 AI 功能是編輯照片的有用工具,無需學習複雜的 Photoshop。
透過 Microsoft Edge 上調整相機權限的選項,使用者可以輕鬆更改網站的選項,從而確保更多的隱私。
比爾吉沃特顯然為《雲頂之戰》第 9.5 季添加了一些有趣的英雄。
使用具有外接顯示器的筆記型電腦可以很好地提高工作效率並幫助您完成工作。但隨著時間的推移,你會發現你的筆記型電腦突然很快沒電了,電池壽命開始減少。
無可否認,可折疊手機非常酷。但使用一段時間後,發現該設備有不少問題。折疊螢幕手機5大你意想不到的缺點!
Adobe 以新的方式將 AI 影片創作技術帶給了大眾,儘管目前尚未使用該技術製作完整的電影。
原神 5.5 代碼可幫助您兌換原始石、魔法礦物、經驗和許多其他獎勵。
macOS Catalina 和 iPadOS 支援一項名為 Sidecar 的新功能,旨在讓您將 iPad 用作 Mac 的輔助顯示器。
這是一組諾基亞 1280 壁紙,如果您曾經發短信獲取 1280 壁紙、磚塊手機壁紙,那麼請嘗試看看這些壁紙。