1、实例:数据库安全

数据库mysql默认安装后存在root空口令漏洞,如果不补上的话,任意远程主机都可以使用如下命令连接你服务器上的mysql数据库,任意编辑,修改,删除数据库。

mysql –h218.184.196.9 -uroot

解决方法:设置root密码

• #./mysqladmin -u root password "passwd"

或者:

mysql>grant select,insert,update,delete on *.*to root@"%" identified by "passwd"

 

2、实例:数据库安全

• SQL Server可能存在SQL空口令漏洞。

对该漏洞的可以使用supersqlexec工具,连接成功后,在命令行中输入:

net user guest /active:yes

>The command completed successfully.

net user guest 123456

> The command completed successfully

net localgroup administrators guest /add

> The command completed successfully.这几个命令意思是将guest用户激活,密码是123456,并提升为admin

解决方法

运行SQLServer管理工具,给SA帐号加上强壮密码。

另外,最好执行SQL命令行:“use mastersp_dropextendedproc 'xp_cmdshell'”这样就算***者获得SA帐号密码远程连接后,也不能调用CMDSHELL了。

3、实例:数据库安全

很多网站使用了ASP整站程序,下载稍微修改即加以使用。

找到数据库路径,如

http//www.***.net/ADMIN/DATA/news30000.mdb

下载,用MS office acess打开,双击Admin表,很有可能看到明文形式的密码(设计良好的程序不会以明文显示)。

使用网站的管理员登录入口,进入网站的后台管理页面。

解决方法

修改数据库的名称和路径,以及相应的连接。

可以手工修改或者采用修改工具。

如某论坛安装程序释放后的临时目录为c:\Temp,打开data文件夹,可以看到一个名为“Dvbbs7.mdb的数据库文件。可以将它改为“i168love97943298you324#666.asp”

c:\Temp中找到名为CONN.asp的文件,找到“Db = data/Dvbbs7.mdb”这一行,改为刚才修改后的名称。

43389漏洞

输入法漏洞

• windows2000中文简体版终端服务

使用mstsc进行连接

登录界面出现后,使用全拼输入法,点击帮助->操作指南->在最上面右击->跳转到url->c:\windows\system32或者file:///c:\

 

创建net.exe的快捷方式

属性里在net.exe后添加

user guest active:yes

同样的,可运行:

net user winadin /add

net user winadin "xxxx"

net localgroup administrators winadin /add

5、防范

打补丁,sp2以上已经没有该漏洞。

删除输入法的帮助文件。

c:\windows\help

winime.chm 输入法操作指南

winsp.chm 双拼输入法

winzm.chm 郑码输入法

winpy.chm 全拼输入法

 

wingb.chm 内码输入法

6、防范意识

1.及时给系统打补丁,防止绝大多数利用漏洞的***。

2.使用netstat查看与主机的连接,如果有可疑情况(如陌生的IP,端口号大于1000),断开网络连接,使用杀毒软件看是否有***。

 

3.检查主机中是否多了陌生的用户,或guest用户是否被激活。net user命令查看所有用户,net user Guest

4.经常查看系统开了哪些服务,把不必要的或不认识的关掉。net start查看服务,net stop "server name"关掉服务,services.msc修改注册表。

7、防范措施

• 1.禁用Guest帐号

• 2.停止共享

• 3.关闭不必要的服务

禁止建立空连接

 

禁用Guest帐号

Guest帐号禁用。有很多***都是通过这个帐号进一步获得管理员密码或者权限的。

计算机管理->本地用户和组->Guest帐号上面点击右键,选择属性,在常规页中选中账户已停用

 停止共享

点击开始→运行→cmd,然后在命令行方式下键入命令“net share”,可以查看目前的共享。

管理工具→计算机管理→共享文件夹→共享,在相应的共享文件夹上按右键,点停止共享

或者

• net share ipc$ /delete

• net share admin$ /delete

• net share c$ /delete

• net share d$ /delete

• net share e$ /delete

关闭不必要的服务

 

尽量关闭不必要的服务,如Terminal ServicesIIS(如果你没有用自己的机器作Web服务器的话)、RAS(远程访问服务)等。

烦人的Messenger服务也关掉, 否则可能会收到有人发的网络广告。

管理工具→计算机管理→服务和应用程序→服务。

注意,彻底停止共享的办法是:关闭Server服务,也即lanmanserver,但如果对外提供IIS服务,则不要关闭这个服务。

 禁止建立空连接

禁止建立空连接的两种方法

• (1)修改注册表:

HKEY_Local_Machine\System\CurrentControlSet\Control\LSA下,将DWORDRestrictAnonymous的键值改成1

(2)修改Windows的本地安全策略:

设置本地安全策略→本地策略→选项中的RestrictAnonymous(匿名连接的额外限制)为不容许枚举SAM账号和共享

 

8、口令破解:ZIP密码破解

 

 

• advanced office password recovery

 

• advanced PDF password recovery

• ...

9Windows帐户密码

Windows采用安全账号管理器(SAM)机制。用户名和口令经过加密hash变换后存放在%systemRoot%\System32下的sam文件中。

• L0phtCrack通过破解SAM文件来获取用户名和密码。

• LC3LC5,字典结合暴力破解,速度较快。

L0phcrack的选项中的“Open Wordlist File”提供字典文件的位置,并提供了“Hybrid

Attack”(混合破解)“Brute Force Attack”(野蛮破解),混合破解会利用像“Password12345”这样的简单组合来测试SAM的密码。

• John主要是用来对UNIX“Password”进行破解的一个强大的工具,但是它同样的具有破解

“Windows NT LanManager”散列加密值的功能。

10、口令***演示:XP/2000密码

 

问题:系统运行后,无法直接打开和拷贝sam文件。

从光盘或软盘启动。

或者安装了多个操作系统,启动另一个系统,可接触目标系统所在盘。

删除目标系统的sam或改名。

重启动目标系统,空密码即可进入

11Windows的事件查看器

程序->控制面板->管理工具->事件查看器

 

12、启用安全日志

安全日志默认是停用的,键入mmc /a进行配置

 

13、对安全事件审核

 

14、口令安全设置

 

15、其它安全选项

 

16、日志文件

系统日志,安全性日志和应用程序日志分别位于

\%systemroot%\system32\config目录下。

secevent.evtsysevent.evt,appevent.evt

应用程序有自己的日志,如IIS每天生成一个日志,如文件名ex061123表示061123号产生的日志,记录的是wwwftp的日志。

• IISWWW日志位于系统盘中

\%systemroot%\system32\logfiles\w3svc1目录下。

• IISFTP日志位于系统盘中

\%systemroot%\system32\logfiles\msftpsvc1目录下。