基于认证的入侵(三)

 

六、入侵MS SQL服务器：
MS SQL也是基于帐号/密码的认证，如果存在弱口令，也会导致安全问题。
1、探测MS SQL弱口令：
有很多方法获得远程服务器的口令，下面介绍三款获得MS SQL服务器的SA口令的工具。
  X-Scan：打开“扫描模块”，在“SQL-Server弱口令”前打勾，然后打开“扫描参数”填入远程服务器的IP地址开始扫描即可。
  流光：打开“高级扫描设置”，填入起始IP、结束IP，选择目标系统，在“检测项目”中选择“SQL”，在SQL选项卡选择“对SA密码进行猜解”，开始扫描。此外，还可使用SQL主机扫描方式来扫描。
  SQLScan：界面比较简单，扫描完毕后，同时还会在有弱口令的服务器中建立用户名为Aji，密码为123456的管理员权限帐号。

2、入侵MS SQL数据库：
获得SQL服务器的管理员帐号后，入侵者可以通过SQL语言来修改SQL服务器的数据库或进入MS SQL数据库内获得敏感数据。使用远程管理MS SQL数据库的工具“SQLBrower”：首先打开SQLBrower，在主界面中填入IP，账号、密码，然后点击Connect来远程连接MS SQL服务器。通过SQLBrower直接入侵MS SQL服务器需要对SQL有一定了解。

3、入侵MS SQL主机：
在获得MS SQL管理权限认证后，可以通过MS SQL服务器控制Windows系统，即完全控制提供MS SQL服务的计算机。
  步骤一：获得MS SQL口令；
  步骤二：入侵：这里有三种方法：
      方法一：使用流光自带的SQL工具。通过“工具”—>“MSSQL工具”—>“SQL远程命令”打开“SQL远程命令”对话框，键入主机名 (IP)，用户名及密码；单击“连接”按钮，如果用户名密码正确，就会得到SQL服务器的命令窗口，还可以选择“控制台模式”来得到另一种控制界面；在得到的任意一个控制界面中，都可以执行DOS命令，而且具有管理员权限。
      方法二：SQLExec的GUI工具。SQLExec是专门在SQL服务器上执行DOS命令的工具，体积很小，不用安装；SQLExec有GUI和命令行两种方式，SQLExec能够通过pipe或TCP/IP两种模式连接MS SQL服务器来执行DOS命令。填入相应参数后，选择连接模式，单击“Connect”按钮就可以和远程SQL服务器连接了。
      方法三：SQLExec命令行方式。使用命令：SQLExec <Hostname>，进行连接时不需要输入用户名和密码，是因为命令行方式自带了常用口令尝试。

  步骤三：建立账号；入侵者入侵成功后可以建立后门账号，然后通过Windows系统中的连接工具实现远程控制。步骤二中介绍的三种获得远程服务器控制界面的方法，任一种都可以完成建立账号的任务。如键入命令“net user emile 123456 /add”和“net localgroup administrator emile /add”来完成建立一个拥有超级管理员权限的账号emile。

  步骤四：断开连接：如果是GUI界面，单击“Disconnect”按钮，如果是命令行方式，键入“exit”命令来断开连接。

七、获取账号密码：
一般来说，入侵者可以通过以下几个手段获取远程主机的管理员密码：
    弱口令扫描：这是最简单的方法。
    密码监听：通过嗅探器Sniffer等工具来监听网络中的数据包，从而获得密码；这对明文密码特别有效，

                        如果是加密数据包，还要涉及解密算法。
    社会工程学：通过欺诈或人际关系窃取密码。
    暴力破解：获取密码只是时间问题。
    其他方法：例如在入侵后安装木马或安装键盘记录程序等。
下面主要介绍通过Sniffer嗅探及暴力破解的方法获取账号密码。
1、Sniffer获取账号密码：
(1)相关知识：
   在广播型以太网中，计算机在通信时把数据包发往网络内所有其他计算机，只有发信者指定的那台计算机才把数据包接收下来，然而网络上其他计算机同样会看到这个数据包，只是非指定接收计算机应该丢弃不是发给自己的数据包，但装有Sniffer的计算机会把所有数据接收下来，进行分析。
   一般来说，以Hub为核心的组网属于广播网，可以用Sniffer来监听网络数据包；而由Switch或Router为核心的组网属于交换网， Sniffer除了抓到自己的数据包外，无法获取其他计算机的数据包；虽然有些Switch也可按照广播方式工作，但一般来说，Sniffer都只能工作在广播型局域网中。
(2)常用Sniffer工具：
  Sniffer Pro：是一款需要安装的强大网管分析软件，使用方法这里略。
  SQLServerSniffer：SQLServerSniffer本身不能产生嗅探结果的报告，为了方便，可以使用Dos管道操

    作，使用命令“SQLServerSniffer <SQLServerPort> >> result.txt”把嗅探结果添加到result.txt文件中。
  FsSniffer：FsSniffer不适用于Windows 9x/NT4.0，可以捕捉到本机和基于非交换环境局域网的

    PoP3/FTP用户名和密码。
  本地使用方法：FsSniffer -s <Bind IP> <Port> <Control Password>
      Bind IP：绑定的IP地址，通常就是本地主机IP地址
      Port：控制的端口，以后通过这个端口登陆上去查看结果
      Control Password：登录时的密码
     登陆上去后的命令：
      Show Result：查看捕获的记录
      Quit：退出
      ShutDown：结束Sniffer的运行
  远程使用方法：
     得到一个管理员组的账号；将FsSniffer.exe复制到远程主机(或用流光等工具“种植”)；利用流光中的NTCMD启动 FsSniffer.exe，并将其安装成为服务；用net命令启动服务。安装成为服务的格式：
     FsSniffer -l <Username> <Password> <Service Name> <Bind Local IP> <Port> <Control Password>
     Username：远程主机的用户名(必须拥有超级用户权限)
     Password：远程主机的密码
     Service Name：安装的服务名
     Bind Local IP：远程主机的IP
     Port：远程控制的端口
     Control Password：远程控制的密码
在服务启动一段时间后，就可以登录到FsSniffer打开的端口7上面察看结果了：telnet 192.168.1.60 7

  X-WAY：X-WAY自带的工具箱中有一个Sniffer功能，该Sniffer简单实用，不需要设置。

2、字典工具：
通过了解入侵者使用何种工具、按照何种规则制作的字典文件，可以帮助网管使用更强壮的密码，从而避开暴力破解的攻击。
(1)黑客字典：
黑客字典有两种版本，一种是可以单独使用的程序，一种是嵌在流光等工具中的黑客字典工具，功能完全相同。
(2)黑客字典流光版：入侵者可以使用黑客字典流光版产生一个符合要求的密码文件。介绍略。

3、远程暴力破解：
(1)暴力破解NT口令：
工具一： WMICracker
    这款工具用来破解NT主机账号密码，是Windows NT/2000/XP/2003的杀手，破解时候需要目标主机开放135端口，这是大多数主机所满足的。
    使用方法：WMICracker <IP> <Username> <Password File> [Threads]
    <IP>：目标IP
    <Username>：待破解密码的账号(必须属于管理员组)
    <Password File>：密码文件
    [Threads]：线程数，默认80，该数值越大，破解速度越快
工具二： SMBCrack
    它和以往SMB(共享)暴力破解工具不同，没有采用系统的API，而是采用了SMB协议，Windows2000可以在同一个会话内进行多次密码试探。对 Windows2000系统很有效，但对NT4主机使用会很慢。
    使用方法：SMBCrack <IP> <Username> <Password File>
    <IP>：目标IP
    <Username>：待破解密码的帐号
    <Password file>：密码文件
工具三： CNIPC NT弱口令终结者
    它的速度很快，可以挂上密码字典来暴力破解，可以扫描任意IP地址段的服务器，对有IPC$空连接的服务器自动进行弱口令猜测。该工具还具有基于命令行的破解方式：
    cnipc [switches] 起始IP 结束IP 并发线程数 扫描前先ping？
    参数Switches说明：-A 全部信息 ；  -D 使用密码字典破解，需要参数-u和-f。
    扫描前先ping？  0  否 ； 1  是。

(2)暴力破解SQL口令：
工具一： SQL dict
    该工具是暴力破解SQL Server密码的工具，填写好目标主机IP、待破解密码账号、选择好密码字典文件后，开始暴力破解。
工具二： cn_SQL
    这是一款速度很快的破解SQL Server密码的命令行工具，使用方法：
    cn_SQL <IP> <Username> <password-dict-file> <thread-num>
    <IP>：目标IP
    <Username>：待破解密码的账号
    <password-dict-file>：密码文件
    <thread-num>：线程数，该值越大，破解速度越快。

八、远程综合入侵：
获得管理员账号和密码后，入侵者可以使用 PCanywhere、 VNC、 DameWare等来实现远程控制。
1、DameWare入侵实例：一次完整的入侵
工具：流光4.7、DameWare。
入侵思路：获取管理员权限、在DameWare中添加目标主机、实时屏幕监视和控制、远程执行命令、系统设置修改与系统控制、文件上传与下载、留下后门、清除脚印。
步骤一：获取管理员权限
    有多种方法可以获取目标主机管理员权限，常见的有扫描弱口令、系统漏洞、服务器漏洞，种植木马、暴力破解等，为了方便，这里假设使用流光来扫描出目标主机的系统弱口令。
    打开流光，选择“探测”—>“高级扫描工具”，打开“高级扫描设置”，填好IP起始和结束地址、目标系统类型，选择“检测项目”为“IPC”；单击 “确定”，在“选择流光主机”对话框中选择“本地主机”然后单击“开始”按钮开始扫描。
    扫描出目标主机192.168.1.60的超级管理员账号和密码后，选择使用该账号和密码进行登录。

步骤二：在DameWare中添加目标主机
    打开DameWare主界面，打开“添加域或主机”对话框，选择“Non-Browsable Machine”，并填入目标主机的IP地址192.168.1.60，单击确定按钮添加成功。下面就可以通过DameWare对目标主机进行“磁盘操作”“进程管理”等系统管理操作。

步骤三：实时屏幕监视和控制
    在DameWare主界面点击“remote control”，在弹出的“user”栏和“Password”栏中填入获得的用户名和密码，单击“connect”进行连接，如果是首次连接，会要求为远程主机安装DameWare被控端。要注意的是，为了不暴露入侵者的踪迹，在安装DameWare的被控端时应单击“Install Options”进行设定，设定好后，单击“确定”来为远程主机安装被控端。服务安装、启动完毕后，便会在本地机上得到远程主机当前的屏幕，入侵者可以通过该屏幕对远程主机进行控制，甚至还可以锁定远程主机上的键盘和鼠标。
步骤四：远程执行命令
    入侵者通过DameWare连接到远程主机上后，使用自带工具“RCmd view”和“RCmd console”来实现远程执行命令。单击列表中“Remote Command”找到“RCmd View”，双击打开，如果首次使用将提示在远程主机上安装“DameWare NT utilities Service，确定即可。安装好后入侵者便可以在远程主机上执行命令。

步骤五：修改系统参数并远程控制系统
进程控制：在DameWare主界面选择Processes，可以在列表中杀死进程。
修改注册表：单击Registry打开远程主机上的注册表，可以在该编辑器中修改远程主机的注册表。
建立计划任务：单击Schedule打开计划任务。
服务管理：通过services view可以查看192.168.1.60上安装了哪些服务，可以容易的给远程主机安装/卸
          载服务或程序。
远程关机：单击shutdown图标。

步骤六：文件上传与下载
    单击主界面中的shares图标来打开远程主机上的共享文件夹，随后可以如同操作本地机一样操作。

步骤七：建立后门账号
    单击users图标打开“用户管理”，选择新建一个用户账号，然后在“Group”选项卡中赋予该用户管理员权限。

步骤八：清除脚印
    入侵者在离开远程主机前，往往需要清除脚印来防止管理员发现他们留下的痕迹，这可通过删除事件日志来实现。单击“Event log”图标，选择清除“Application”、“Security”、“System”日志。

2、DameWare成功连接的条件：
     需掌握远程主机上具有管理员权限的账号和密码；
     需要远程主机上运行Server服务、RPC服务等。
   防止被DameWare远程控制的手段：
     安装网络防火墙；
     加强密码强度，并禁用一些来历不明的账号；
     禁用一些不必要的服务，如网络注册表。