入侵者进行渗透入侵的一般过程:
第一步:进入系统
1.扫描目标主机。
2.检查开放的端口,获得服务软件及版本。
3.检查服务软件是否存在漏洞,如果是,利用该漏洞远程进入系统;否则进入下一步。
4.检查服务软件的附属程序(*1)是否存在漏洞,如果是,利用该漏洞远程进入系统;否则
进入下一步。
5.检查服务软件是否存在脆弱帐号或密码,如果是,利用该帐号或密码系统;否则进入下
一步。
6.利用服务软件是否可以获取有效帐号或密码,如果是,利用该帐号或密码进入系统;否
则进入下一步。
7.服务软件是否泄露系统敏感信息,如果是,检查能否利用;否则进入下一步。
8.扫描相同子网主机,重复以上步骤,直到进入目标主机或放弃。
第二步:提升权限
1.检查目标主机上的SUID和GUID程序是否存在漏洞,如果是,利用该漏洞提升权限,否则
进入下一步。
2.检查本地服务是否存在漏洞,如果是,利用该漏洞提升权限,否则进入下一步。
3.检查本地服务是否存在脆弱帐号或密码,如果是,利用该帐号或密码提升权限;否则进
入下一步。
4.检查重要文件的权限是否设置错误,如果是,利用该漏洞提升权限,否则进入下一步。
5.检查配置目录(*2)中是否存在敏感信息可以利用。
6.检查用户目录中是否存在敏感信息可以利用。
7.检查临时文件目录(*3)是否存在漏洞可以利用。
8.检查其它目录(*4)是否存在可以利用的敏感信息。
9.重复以上步骤,直到获得root权限或放弃。
第三步:放置后门
最好自己写后门程序,用别人的程序总是相对容易被发现。
第四步:痕迹清除
对于我们留下的痕迹,并不能完全清除,完全清除入侵痕迹是不可能的!主要是增加管理员发现入侵者的时间成本和人力成本。只要管理员想查,无论你怎么清除,还是能查到的。
最主要还是要以隐藏自身身份为主,最好的手段是在渗透前挂上代理,然后在渗透后痕迹清除。
Windows系统
1. 如果是windows系统,可用MSF中的 clearev 命令清除痕迹
2. 如果3389远程登录过,需要清除mstsc痕迹
3. 执行命令清除日志:
del %WINDR%\* .log /a/s/q/f
4:如果是web应用,找到web日志文件,删除
相关文章:WINDOWS之入侵痕迹清理总结
Linux系统
1:如果是Linux系统,在获取权限后,执行以下命令,不会记录输入过的命令
export HISTFILE=/dev/null export HISTSIZE=0
2:删除 /var/log 目录下的日志文件
3:如果是web应用,找到web日志文件,删除
附加说明:
(*1)例如WWW服务的附属程序就包括CGI程序等
(*2)这里指存在配置文件的目录,如/etc等
(*3)如/tmp等,这里的漏洞主要指条件竞争
(*4)如WWW目录,数据文件目录等