攻擊分析(第一部分)
本系列將基於網路漏洞。本文將介紹的是一次真實的攻擊,從偵察到枚舉、網路服務利用,最後以通知利用策略結束。所有這些步驟都將在資料包層級進行觀察,然後進行詳細解釋。
唐·帕克
在本系列的第 2 部分中,我們留下了攻擊受害者網路所需的所有必要資訊。考慮到這一點,讓我們開始實際的攻擊。這次攻擊需要傳輸多個請求程序,以便進一步利用攻擊。
簡單地攻擊電腦然後撤退是沒有意義的,所以我們將進行強力攻擊。通常,惡意攻擊者的目標不僅是增加其在電腦網路上的存在,而且還要維持這種存在。這意味著攻擊者仍然想繼續隱藏自己的存在並執行一些其他操作。
有趣的問題
現在我們將使用 Metasploit 框架來促進真正的攻擊。這種工作機制非常有趣,因為它為您提供了許多不同類型的挖掘以及在選擇有效載荷時的許多不同選項。也許您不想要反向實用程式或 VNC 注入。有效載荷通常取決於您即將實現的目標、網路架構和最終目標。在這種情況下,我們將使用反向實用程式來完成此操作。這通常是更有利的方法,特別是在我們的目標位於路由器後面且無法直接存取的情況下。例如,您「攻擊」了一個網頁伺服器,但負載仍然是平衡的。無法保證可以使用正向實用程式連接到它,因此您需要電腦產生反向實用程式。我們不會介紹如何使用 Metasploit Framework,因為它可能已在另一篇文章中介紹過。因此我們只關注包級別之類的事情。
這次,我們不會採用透過簡短的圖像和程式碼片段介紹每個攻擊步驟的方法,而是展示不同的攻擊。我們要做的就是在 Snort 的幫助下重新建立攻擊。我們將在執行的攻擊中利用二進位日誌,然後透過 Snort 對其進行解析。理想情況下,它看起來就像我們所做的一切。事實上,將要實施的是一個證明包。這裡的目標是看看我們能多準確地拼湊出發生的事情。考慮到這一點,我們將使用記錄所有執行操作的二進位資料包日誌,並使用其一些預設規則透過 Snort 對其進行解析。
Snort 輸出
用於呼叫 Snort 的語法如下:
C:\snort\bin\snort.exe –r c:\article_binary –dv –c snort.conf –A full
這個語法使Snort分析名為article_binary的二進位資料包,結果如下所示。我們截斷了 Snort 輸出,以便我們可以詳細查看每個部分。
==============================================================
Snort processed 1345 packets.
==============================================================
Breakdown by protocol:
TCP: 524 (38.959%)
UDP: 810 (60.223%)
ICMP: 11 (0.818%)
ARP: 0 (0.000%)
EAPOL: 0 (0.000%)
IPv6: 0 (0.000%)
ETHLOOP: 0 (0.000%)
IPX: 0 (0.000%)
FRAG: 0 (0.000%)
OTHER: 0 (0.000%)
DISCARD: 0 (0.000%)
==============================================================
Action Stats:
ALERTS: 63
LOGGED: 63
PASSED: 0
這部分很有趣,因為一次攻擊行動觸發了 63 個警報。我們將查看 alert.ids 文件,它可以提供有關所發生事件的大量詳細資訊。現在,如果您還記得攻擊者做的第一件事是使用 Nmap 執行網路掃描,這也創建了由 Snort 觸發的第一個警報。
[**] [1:469:3] ICMP PING NMAP [**]
[Classification: Attempted Information Leak] [Priority: 2]
08/09-15:37:07.296875 192.168.111.17 -> 192.168.111.23
ICMP TTL:54 TOS:0x0 ID:3562 IpLen:20 DgmLen:28
Type:8 Code:0 ID:30208 Seq:54825 ECHO
[Xref => http://www.whitehats.com/info/IDS162]
這樣,攻擊者就使用netcat來枚舉Web伺服器,以找出它是什麼類型的Web伺服器。此操作未觸發任何 Snort 警報。我們還想找出發生了什麼,所以讓我們仔細看看包的日誌。觀察完通常的TCP/IP握手過程後,我們將看到下面的資料包。
15:04:51.546875 IP (tos 0x0, ttl 128, id 9588, offset 0, flags [DF], proto: TCP (6), length: 51) 192.168.111.17.1347 > 192.168.111.23.80: P, cksum 0x5b06 (correct), 3389462932:3389462943(11) ack 2975555611 win 64240
0x0000: 4500 0033 2574 4000 8006 75d7 c0a8 6f11 E..3%[email protected].
0x0010: c0a8 6f17 0543 0050 ca07 1994 b15b 601b ..o..C.P.....[`.
0x0020: 5018 faf0 5b06 0000 4745 5420 736c 736c P...[...GET.slsl
0x0030: 736c 0a sl.
這個套件除了有一個 GET 請求以及隨後的一些內部問題(例如 slslsl)之外,沒有什麼特別之處。因此實際上,Snort 沒什麼可做的。因此,建立有效的 IDS 簽名(或特徵碼)來觸發此類枚舉嘗試非常困難。這就是為什麼沒有這樣的簽名。此後的下一個資料包是受害網路的網路伺服器列出自身的地方。
一旦枚舉完成,攻擊者就會立即向網路伺服器發送執行漏洞的程式碼。然後,此程式碼將在啟用 Snort 簽章的情況下給出一些結果。具體來說,對於下面顯示的漏洞,我們可以看到這個 Snort 簽章。
[**] [1:1248:13] WEB-FRONTPAGE rad fp30reg.dll access [**]
[Classification: access to a potentially vulnerable web application] [Priority:
2]08/09-15:39:23.000000 192.168.111.17:1454 -> 192.168.111.23:80
TCP TTL:128 TOS:0x0 ID:15851 IpLen:20 DgmLen:1500 DF
***A**** Seq: 0x7779253A Ack: 0xAA1FBC5B Win: 0xFAF0 TcpLen: 20
[Xref => http://www.microsoft.com/technet/security/bulletin/MS01-035.mspx][Xref
=> http://cve.mitre.org/cgi-bin/cvename.cgi?name=2001-0341][Xref => http://www.s
ecurityfocus.com/bid/2906][Xref => http://www.whitehats.com/info/IDS555]
一旦攻擊者獲得了對網頁伺服器的存取權限,他將開始使用 TFTP 用戶端傳輸 4 個檔案:nc.exe、ipeye.exe、fu.exe、msdirectx.exe。一旦這些檔案被傳輸,攻擊者就會使用 netcat 將實用程式傳送回他的電腦。從那裡,他可以斷開初始攻擊所產生的其他實用程序,並在 netcat 實用程式中完成所有剩餘的工作。有趣的是,Snort 沒有記錄攻擊者透過反向實用程式執行的任何操作。然而,不管怎樣,攻擊者使用透過TFTP傳輸的rootkit來隱藏netcat的進程資訊。
結論
在本系列的第三部分中,我們看到了使用 Snort 的示範攻擊。除了使用 rootkit 之外,我們可以完全重現所做的事情之一。儘管 IDS 是一項非常有用的技術並且是網路防禦系統的一部分,但它並不總是完美的。 IDS 只能對它能夠感知到的流量發出警報。考慮到這一點,我們將在本系列的最後一部分學習如何建立 Snort 簽章。除此之外,我們還將學習如何測試數位簽章(簽章)以評估其有效性。
本系列將基於網路漏洞。本文將介紹的是一次真實的攻擊,從偵察到枚舉、網路服務利用,最後以通知利用策略結束。所有這些步驟都將在資料包層級進行觀察,然後進行詳細解釋。
我們在第一部分向您展示了打開 Nmap 發送的資料包序列時可以觀察到的資訊。發送的序列以 ICMP 回顯回應開始,以確定電腦或網路是否已指派 IP 位址。
智慧電視確實風靡全球。憑藉如此多的強大功能和互聯網連接,科技改變了我們觀看電視的方式。
冰箱是家庭中常見的家用電器。冰箱通常有 2 個隔間,冷藏室寬敞,並且每次使用者打開時都會自動亮燈,而冷凍室狹窄且沒有燈。
除了路由器、頻寬和乾擾之外,Wi-Fi 網路還受到許多因素的影響,但也有一些智慧的方法可以增強您的網路效能。
如果您想在手機上恢復穩定的 iOS 16,這裡是卸載 iOS 17 並從 iOS 17 降級到 16 的基本指南。
酸奶是一種美妙的食物。每天吃優格好嗎?每天吃酸奶,你的身體會發生怎樣的變化?讓我們一起來了解一下吧!
本文討論了最有營養的米種類以及如何最大限度地發揮所選米的健康益處。
制定睡眠時間表和就寢習慣、更改鬧鐘以及調整飲食都是可以幫助您睡得更好、早上準時起床的一些措施。
請租用! Landlord Sim 是一款適用於 iOS 和 Android 的模擬手機遊戲。您將扮演一個公寓大樓的房東,開始出租公寓,目標是升級公寓的內部並為租戶做好準備。
取得浴室塔防 Roblox 遊戲代碼並兌換令人興奮的獎勵。它們將幫助您升級或解鎖具有更高傷害的塔。
讓我們以最準確的方式了解變壓器的結構、符號和運作原理。
從更好的影像和聲音品質到語音控制等等,這些人工智慧功能讓智慧電視變得更好!
最初,人們對DeepSeek寄予厚望。作為 ChatGPT 強勁競爭對手的 AI 聊天機器人,它承諾提供智慧聊天功能和體驗。
在記下其他重要事項時很容易錯過重要細節,而在聊天時記筆記可能會分散注意力。 Fireflies.ai 就是解決方案。
如果玩家知道如何使用 Axolot Minecraft,它將成為玩家在水下操作時的絕佳助手。
《寂靜之地:前路》的配置評價相當高,因此您需要在決定下載之前考慮其配置。