攻擊分析(第 3 部分)
在本系列的第 2 部分中,我們留下了攻擊受害者網路所需的所有必要資訊。
唐·帕克
我們在第一部分向您展示了打開 Nmap 發送的資料包序列時可以觀察到的資訊。發送的序列以 ICMP 回顯回應開始,以確定電腦或網路是否已指派 IP 位址。
另外,我們也可以透過查看被攻擊電腦傳回的ICMP回顯回應封包中的ttl來猜測其網路是基於Windows的網路。現在應該做的是繼續觀察Nmap掃描器中剩餘的資料包,找出剩餘的信息,以便了解受害者網路的概況。
繼續
10:52:59.078125 IP (tos 0x0, ttl 49, id 9808, offset 0, flags [none], proto: TCP (6), length: 40) 192.168.111.17.37668 > 192.168.111.23.80: ., cksum 0xfd46 (correct), ack 85042526 win 2048
0x0000: 4500 0028 2650 0000 3106 0407 c0a8 6f11 E..(&P..1.....o.
0x0010: c0a8 6f17 9324 0050 67d1 a55e 0511 a55e ..o..$.Pg..^...^
0x0020: 5010 0800 fd46 0000 P....F..
10:52:59.078125 IP (tos 0x0, ttl 128, id 397, offset 0, flags [none], proto: TCP(6), length: 40) 192.168.111.23.80 > 192.168.111.17.37668: R, cksum 0x6813 (correct), 85042526:85042526(0)win 0
0x0000: 4500 0028 018d 0000 8006 d9c9 c0a8 6f17 E..(..........o.
0x0010: c0a8 6f11 0050 9324 0511 a55e 0511 a55e ..o..P.$...^...^
0x0020: 5004 0000 6813 0000 0000 0000 0000 P...h.........
上面的兩個資料包在我們在第 1 部分中觀察到的 ICMP 資料包之後。 Nmap 向受害者網路 IP 192.168.111.23 的連接埠 80 發送了一個 ACK 封包。由於是偽造的訊息,我們無法在這裡了解全部情況。只看到從攻擊者收到的 ACK 封包是回應的 RST 封包,因為這個 ACK 不是預期的。它本質上不是先前建立的連接的一部分。我們仍然有一個 ttl 為 128,與先前觀察到的 ttl 相對應。
10:52:59.296875 IP (tos 0x0, ttl 58, id 45125, offset 0, flags [none], proto: TCP (6), length: 40) 192.168.111.17.37644 > 192.168.111.23.21: S, cksum 0x37ce (correct), 2010644897:2010644897(0) win 3072
0x0000: 4500 0028 b045 0000 3a06 7111 c0a8 6f11 E..(.E..:.q...o.
0x0010: c0a8 6f17 930c 0015 77d8 01a1 0000 0000 ..o.....w.......
0x0020: 5002 0c00 37ce 0000 P...7...
10:52:59.296875 IP (tos 0x0, ttl 128, id 398, offset 0, flags [DF], proto: TCP (6), length: 44) 192.168.111.23.21 > 192.168.111.17.37644: S, cksum 0x4f58 (correct), 1685290308:1685290308(0) ack 2010644898 win 64240
0x0000: 4500 002c 018e 4000 8006 99c4 c0a8 6f17 E..,[email protected].
0x0010: c0a8 6f11 0015 930c 6473 7d44 77d8 01a2 ..o.....ds}Dw...
0x0020: 6012 faf0 4f58 0000 0204 05b4 0000 `...OX........
10:52:59.296875 IP (tos 0x0, ttl 128, id 110, offset 0, flags [none], proto: TCP(6), length: 40) 192.168.111.17.37644 > 192.168.111.23.21: R, cksum 0xca50 (correct), 2010644898:2010644898(0) win 0
0x0000: 4500 0028 006e 0000 8006 dae8 c0a8 6f11 E..(.n........o.
0x0010: c0a8 6f17 930c 0015 77d8 01a2 77d8 01a2 ..o.....w...w...
0x0020: 5004 0000 ca50 0000 P....P..
在 ACK 和 RST 封包交換之後,我們可以看到駭客向受害者網路發送了一個真正的 SYN 封包,如標有粗體 S 的封包所示。由此我們推斷,SYN/ACK 封包是從受害者網路的 21 連接埠回傳的。隨後,駭客的電腦向受害者網路發送了一個 RST 封包,從而終止了此次交換。這三個包裹現在包含了大量有關假冒產品的資訊。
我們還從受害者機器獲得了 ttl 128,但也有 win64240。雖然沒有列出這個值,但它確實是我以前在 Win32(Microsoft Windows 的 32 位元版本,例如 Win NT、2K、XP 和 2K3)中多次見過的大小。 Windows 電腦的另一個限制是它們的 IP ID 數量無法預測。在這種情況下,我們只有一個 IP ID 值。我們至少還需要一個值,然後才能自信地說這台電腦是一台 Microsoft Windows 電腦。請注意,請查看 Nmap 掃描的剩餘資料包。
10:52:59.312500 IP (tos 0x0, ttl 59, id 54025, offset 0, flags [none], proto: TCP (6), length: 40) 192.168.111.17.37644 > 192.168.111.23.80: S, cksum 0x3393 (correct), 2010644897:2010644897(0) win 4096
0x0000: 4500 0028 d309 0000 3b06 4d4d c0a8 6f11 E..(....;.MM..o.
0x0010: c0a8 6f17 930c 0050 77d8 01a1 0000 0000 ..o....Pw.......
0x0020: 5002 1000 3393 0000 P...3...
10:52:59.312500 IP (tos 0x0, ttl 128, id 399, offset 0, flags [DF], proto: TCP (6), length: 44) 192.168.111.23.80 > 192.168.111.17.37644: S, cksum 0x7913 (correct), 1685345101:1685345101(0) ack 2010644898 win 64240
0x0000: 4500 002c 018f 4000 8006 99c3 c0a8 6f17 E..,[email protected].
0x0010: c0a8 6f11 0050 930c 6474 534d 77d8 01a2 ..o..P..dtSMw...
0x0020: 6012 faf0 7913 0000 0204 05b4 0000 `...y.........
10:52:59.312500 IP (tos 0x0, ttl 128, id 111, offset 0, flags [none], proto: TCP(6), length: 40) 192.168.111.17.37644 > 192.168.111.23.80: R, cksum 0xca15 (correct), 2010644898:2010644898(0) win 0
0x0000: 4500 0028 006f 0000 8006 dae7 c0a8 6f11 E..(.o........o.
0x0010: c0a8 6f17 930c 0050 77d8 01a2 77d8 01a2 ..o....Pw...w...
0x0020: 5004 0000 ca15 0000 P.......
駭客查看的第一個訊息是查看 IP ID 號碼是否增加到 399。正如我們在資料包中間觀察到的那樣,這個 DI IP 確實是 399。有了這些訊息,駭客就相當有信心,他所攻擊的受害電腦是 Windows NT、2K、XP 或 2K3。在此封包序列中還觀察到,受害網路上的連接埠 80 似乎具有服務,這由 SYN/ACK 封包證明,SYN/ACK 封包是透過檢查 TCP 標頭中的標誌欄位來確定的,在這種情況下,帶下劃線的十六進位值為 12 或十進位為 18。可以透過將 SYN 標誌 2 值加到 ACK 標誌 16 值來偵測該值。
枚舉
一旦駭客得知21和80兩個連接埠都對企業開放,就會進入枚舉狀態。他現在需要知道的是哪種類型的網頁伺服器正在監聽連線。對於這個駭客來說,利用 IIS 網路伺服器上的 Apache 漏洞是毫無意義的。考慮到這一點,攻擊者將開啟 cmd.exe 會話並找出網路類型。
C:\>nc.exe 192.168.111.23 80
GET slslslls
HTTP/1.1 400 Bad Request
Server: Microsoft-IIS/5.0
Date: Mon, 06 Aug 2007 15:11:48 GMT
Content-Type: text/html
Content-Length: 87
The parameter is incorrect.
C:\>
我們可以觀察到上面標記的網路類型或駭客在受害者的IP位址以及連接埠80中輸入的nc.exe語法。一旦進入,駭客將輸入GET方法的HTTP,後面跟著一些語法錯誤的句子。此操作可能導致受害網路的網路伺服器在無法理解請求內容的情況下將資訊傳送回其係統。這就是為什麼他們自然而然地列出駭客所需的資訊。駭客現在可以看到他處於 Microsoft IIS 5.0 中。更好的消息是,駭客已經發現了該版本的多個漏洞。
結論
透過使用 Nmap 對受害者的網路進行掃描,駭客可以接收一系列重要的資料包。如我們所見,這些資料包內部充滿了可供駭客利用架構、作業系統、網路類型和伺服器類型的漏洞的資訊。
簡而言之,透過這種方式,駭客可以獲得有關主機、架構和所提供的服務的關鍵資訊。有了這些訊息,駭客就可以對受害者網路的網路伺服器發動攻擊。在下面的部分中我們將更詳細地介紹在這種情況下駭客可以使用哪些攻擊來攻擊使用者。
在本系列的第 2 部分中,我們留下了攻擊受害者網路所需的所有必要資訊。
本系列將基於網路漏洞。本文將介紹的是一次真實的攻擊,從偵察到枚舉、網路服務利用,最後以通知利用策略結束。所有這些步驟都將在資料包層級進行觀察,然後進行詳細解釋。
智慧電視確實風靡全球。憑藉如此多的強大功能和互聯網連接,科技改變了我們觀看電視的方式。
冰箱是家庭中常見的家用電器。冰箱通常有 2 個隔間,冷藏室寬敞,並且每次使用者打開時都會自動亮燈,而冷凍室狹窄且沒有燈。
除了路由器、頻寬和乾擾之外,Wi-Fi 網路還受到許多因素的影響,但也有一些智慧的方法可以增強您的網路效能。
如果您想在手機上恢復穩定的 iOS 16,這裡是卸載 iOS 17 並從 iOS 17 降級到 16 的基本指南。
酸奶是一種美妙的食物。每天吃優格好嗎?每天吃酸奶,你的身體會發生怎樣的變化?讓我們一起來了解一下吧!
本文討論了最有營養的米種類以及如何最大限度地發揮所選米的健康益處。
制定睡眠時間表和就寢習慣、更改鬧鐘以及調整飲食都是可以幫助您睡得更好、早上準時起床的一些措施。
請租用! Landlord Sim 是一款適用於 iOS 和 Android 的模擬手機遊戲。您將扮演一個公寓大樓的房東,開始出租公寓,目標是升級公寓的內部並為租戶做好準備。
取得浴室塔防 Roblox 遊戲代碼並兌換令人興奮的獎勵。它們將幫助您升級或解鎖具有更高傷害的塔。
讓我們以最準確的方式了解變壓器的結構、符號和運作原理。
從更好的影像和聲音品質到語音控制等等,這些人工智慧功能讓智慧電視變得更好!
最初,人們對DeepSeek寄予厚望。作為 ChatGPT 強勁競爭對手的 AI 聊天機器人,它承諾提供智慧聊天功能和體驗。
在記下其他重要事項時很容易錯過重要細節,而在聊天時記筆記可能會分散注意力。 Fireflies.ai 就是解決方案。
如果玩家知道如何使用 Axolot Minecraft,它將成為玩家在水下操作時的絕佳助手。
《寂靜之地:前路》的配置評價相當高,因此您需要在決定下載之前考慮其配置。