攻擊分析(第一部分)
本系列將基於網路漏洞。本文將介紹的是一次真實的攻擊,從偵察到枚舉、網路服務利用,最後以通知利用策略結束。所有這些步驟都將在資料包層級進行觀察,然後進行詳細解釋。
唐·帕克
在本系列的第 2 部分中,我們留下了攻擊受害者網路所需的所有必要資訊。考慮到這一點,讓我們開始實際的攻擊。這次攻擊需要傳輸多個請求程序,以便進一步利用攻擊。
簡單地攻擊電腦然後撤退是沒有意義的,所以我們將進行強力攻擊。通常,惡意攻擊者的目標不僅是增加其在電腦網路上的存在,而且還要維持這種存在。這意味著攻擊者仍然想繼續隱藏自己的存在並執行一些其他操作。
有趣的問題
現在我們將使用 Metasploit 框架來促進真正的攻擊。這種工作機制非常有趣,因為它為您提供了許多不同類型的挖掘以及在選擇有效載荷時的許多不同選項。也許您不想要反向實用程式或 VNC 注入。有效載荷通常取決於您即將實現的目標、網路架構和最終目標。在這種情況下,我們將使用反向實用程式來完成此操作。這通常是更有利的方法,特別是在我們的目標位於路由器後面且無法直接存取的情況下。例如,您「攻擊」了一個網頁伺服器,但負載仍然是平衡的。無法保證可以使用正向實用程式連接到它,因此您需要電腦產生反向實用程式。我們不會介紹如何使用 Metasploit Framework,因為它可能已在另一篇文章中介紹過。因此我們只關注包級別之類的事情。
這次,我們不會採用透過簡短的圖像和程式碼片段介紹每個攻擊步驟的方法,而是展示不同的攻擊。我們要做的就是在 Snort 的幫助下重新建立攻擊。我們將在執行的攻擊中利用二進位日誌,然後透過 Snort 對其進行解析。理想情況下,它看起來就像我們所做的一切。事實上,將要實施的是一個證明包。這裡的目標是看看我們能多準確地拼湊出發生的事情。考慮到這一點,我們將使用記錄所有執行操作的二進位資料包日誌,並使用其一些預設規則透過 Snort 對其進行解析。
Snort 輸出
用於呼叫 Snort 的語法如下:
C:\snort\bin\snort.exe –r c:\article_binary –dv –c snort.conf –A full
這個語法使Snort分析名為article_binary的二進位資料包,結果如下所示。我們截斷了 Snort 輸出,以便我們可以詳細查看每個部分。
==============================================================
Snort processed 1345 packets.
==============================================================
Breakdown by protocol:
TCP: 524 (38.959%)
UDP: 810 (60.223%)
ICMP: 11 (0.818%)
ARP: 0 (0.000%)
EAPOL: 0 (0.000%)
IPv6: 0 (0.000%)
ETHLOOP: 0 (0.000%)
IPX: 0 (0.000%)
FRAG: 0 (0.000%)
OTHER: 0 (0.000%)
DISCARD: 0 (0.000%)
==============================================================
Action Stats:
ALERTS: 63
LOGGED: 63
PASSED: 0
這部分很有趣,因為一次攻擊行動觸發了 63 個警報。我們將查看 alert.ids 文件,它可以提供有關所發生事件的大量詳細資訊。現在,如果您還記得攻擊者做的第一件事是使用 Nmap 執行網路掃描,這也創建了由 Snort 觸發的第一個警報。
[**] [1:469:3] ICMP PING NMAP [**]
[Classification: Attempted Information Leak] [Priority: 2]
08/09-15:37:07.296875 192.168.111.17 -> 192.168.111.23
ICMP TTL:54 TOS:0x0 ID:3562 IpLen:20 DgmLen:28
Type:8 Code:0 ID:30208 Seq:54825 ECHO
[Xref => http://www.whitehats.com/info/IDS162]
這樣,攻擊者就使用netcat來枚舉Web伺服器,以找出它是什麼類型的Web伺服器。此操作未觸發任何 Snort 警報。我們還想找出發生了什麼,所以讓我們仔細看看包的日誌。觀察完通常的TCP/IP握手過程後,我們將看到下面的資料包。
15:04:51.546875 IP (tos 0x0, ttl 128, id 9588, offset 0, flags [DF], proto: TCP (6), length: 51) 192.168.111.17.1347 > 192.168.111.23.80: P, cksum 0x5b06 (correct), 3389462932:3389462943(11) ack 2975555611 win 64240
0x0000: 4500 0033 2574 4000 8006 75d7 c0a8 6f11 E..3%[email protected].
0x0010: c0a8 6f17 0543 0050 ca07 1994 b15b 601b ..o..C.P.....[`.
0x0020: 5018 faf0 5b06 0000 4745 5420 736c 736c P...[...GET.slsl
0x0030: 736c 0a sl.
這個套件除了有一個 GET 請求以及隨後的一些內部問題(例如 slslsl)之外,沒有什麼特別之處。因此實際上,Snort 沒什麼可做的。因此,建立有效的 IDS 簽名(或特徵碼)來觸發此類枚舉嘗試非常困難。這就是為什麼沒有這樣的簽名。此後的下一個資料包是受害網路的網路伺服器列出自身的地方。
一旦枚舉完成,攻擊者就會立即向網路伺服器發送執行漏洞的程式碼。然後,此程式碼將在啟用 Snort 簽章的情況下給出一些結果。具體來說,對於下面顯示的漏洞,我們可以看到這個 Snort 簽章。
[**] [1:1248:13] WEB-FRONTPAGE rad fp30reg.dll access [**]
[Classification: access to a potentially vulnerable web application] [Priority:
2]08/09-15:39:23.000000 192.168.111.17:1454 -> 192.168.111.23:80
TCP TTL:128 TOS:0x0 ID:15851 IpLen:20 DgmLen:1500 DF
***A**** Seq: 0x7779253A Ack: 0xAA1FBC5B Win: 0xFAF0 TcpLen: 20
[Xref => http://www.microsoft.com/technet/security/bulletin/MS01-035.mspx][Xref
=> http://cve.mitre.org/cgi-bin/cvename.cgi?name=2001-0341][Xref => http://www.s
ecurityfocus.com/bid/2906][Xref => http://www.whitehats.com/info/IDS555]
一旦攻擊者獲得了對網頁伺服器的存取權限,他將開始使用 TFTP 用戶端傳輸 4 個檔案:nc.exe、ipeye.exe、fu.exe、msdirectx.exe。一旦這些檔案被傳輸,攻擊者就會使用 netcat 將實用程式傳送回他的電腦。從那裡,他可以斷開初始攻擊所產生的其他實用程序,並在 netcat 實用程式中完成所有剩餘的工作。有趣的是,Snort 沒有記錄攻擊者透過反向實用程式執行的任何操作。然而,不管怎樣,攻擊者使用透過TFTP傳輸的rootkit來隱藏netcat的進程資訊。
結論
在本系列的第三部分中,我們看到了使用 Snort 的示範攻擊。除了使用 rootkit 之外,我們可以完全重現所做的事情之一。儘管 IDS 是一項非常有用的技術並且是網路防禦系統的一部分,但它並不總是完美的。 IDS 只能對它能夠感知到的流量發出警報。考慮到這一點,我們將在本系列的最後一部分學習如何建立 Snort 簽章。除此之外,我們還將學習如何測試數位簽章(簽章)以評估其有效性。
本系列將基於網路漏洞。本文將介紹的是一次真實的攻擊,從偵察到枚舉、網路服務利用,最後以通知利用策略結束。所有這些步驟都將在資料包層級進行觀察,然後進行詳細解釋。
我們在第一部分向您展示了打開 Nmap 發送的資料包序列時可以觀察到的資訊。發送的序列以 ICMP 回顯回應開始,以確定電腦或網路是否已指派 IP 位址。
有了密碼金鑰(傳統密碼的現代替代品),您將不必再擔心記住、管理(無論是否使用密碼管理器)或重設密碼。
無論您是永久切換瀏覽器還是只想減少資料遺失的機會,您都需要定期備份瀏覽器。
為什麼牛吃草也能長得肥,還能產出營養豐富的牛奶?如果你想知道草食動物為什麼胖,請閱讀下面的文章。
並非所有補充劑都對腸躁症 (IBS) 有益,有些甚至可能會加重您的症狀。
有許多 iMessage 應用程式可供您安裝用於群組聊天,從而增強群組成員的體驗。以下是 6 個用於群組聊天的 iMessage 應用程式的清單。
如果您的電腦遺失時間或日期設置,或顯示 CMOS 讀取錯誤、CMOS 校驗和錯誤或 CMOS 電池故障訊息,則需要更換 CMOS 電池。
超級野獸領袖代碼將幫助您獲得豐厚的獎勵,以支持玩家成為超級訓練師。以下是最新的超級野獸領袖代碼清單以及如何輸入代碼。
大金空調定時器是使用者經常使用的實用功能之一,可設定定時器在回家前打開空調或睡覺時關閉空調。
現在大多數洗衣機的顯示時間與實際洗滌時間相差10到20分鐘。
東芝空調遙控器電池如何更換?請閱讀下面的文章,以了解如何更換東芝空調遙控器的電池。
輸入禮品代碼 Hero AFK: VNG War 將幫助您收到許多有價值的遊戲內物品。立即探索
《迷你英雄大冒險》為玩家提供金錢、鑽石和許多其他物品,例如一般經驗值、角色經驗值、體力、百萬士兵命令和許多其他有吸引力的物品。
雖然不像一些競爭對手那樣受到廣泛討論,但Google的 Gemini AI 仍有很多優勢——以下是 Gemini 值得你關注的五個理由。
Netflix 最近在其面向日本市場的 YouTube 頻道上發布了一部採用 AI 技術製作的 3 分鐘動畫電影《狗與男孩》。
PXE-E61 錯誤與某些主機板支援的預啟動執行環境 (PXE) 有關。 PXE 是一種特殊的啟動模式,允許電腦透過網路而不是從本機硬碟搜尋並載入可啟動的作業系統。