新手常見安全問題

　　新手常見安全問題 關於被入侵簡單說明：經常有說：“我中xx木馬啦，怎麼辦？”、“我的windows有問題，是不是被入侵啦？”等等。通用的做法是查看可疑進程（win98需要用相關工具）、注冊表啟動項、服務、開放端口等，然後更新病毒庫，殺毒。前提是你要有一定的電腦常識並對你的系統比較了解，才能分別正常與否。如果你自己對電腦一竅不通，那在論壇別人也很難幫助你。其實就像對付現實中的病毒一樣，應該預防為主。殺毒軟件和網絡防火牆可以抵御絕大部分危險，自身安全知識的提高則是最根本的保障。最新的病毒相關知識可以到殺毒軟件公司的主頁上找。另外，系統不正常也可能是操作失誤引起的。相關工具： Active Ports 監視自己電腦的端口: windows優化大師2004它的進程管理功能不錯 :?id=504&no=1 Fport-2.0 查看端口關聯的進程 : [url=http://down.20cl.com/down.asp?id=2198&no=1]點擊下載[/url] mport 比fport更勝一籌的工具: 本人暫時無法提供，希望大家能給我提供下載地址相關帖子： 關於廣外女生木馬的手工清除方法: 把灰鴿子趕盡殺絕: 清除惡意網頁的破壞 : 2000系統進程總列表 木馬的檢測、清除及其預防 ?forum=pcit&message=829 關於基礎知識和入侵步驟簡單說明： 電腦和網絡知識可算是基礎的基礎，至少你要先了解了它們再來看下面的。看完這部分，你也只是算站到了“零起點”上，路還長著呢。這裡我再多說幾句關於入侵步驟的話，給新手做個引導。所謂入侵，可以理解為未授權的訪問。既然是未授權的，就需要借助一些非常規的手段，即通常所說的利用漏洞。 1，要利用漏洞首先要發現它。端口掃描和漏洞掃描就是“敲門磚”。可以對大量目標做一般掃描，也可以對單一目標做重點掃描。或者兩者結合。當你對漏洞熟悉時，你可以只通過端口掃描就能了解目標的可能有的漏洞。這樣既提高效率又不易被記錄日志。 2，找到漏洞後的利用問題，是千差萬別的。這正是新手學要學習的地方之一。這裡就不多說了。 3，利用漏洞的目的是什麼呢？是控制對方，即是獲得遠程shell。shell這個概念是從UNIX下繼承過來的，是指與操作系統核心的一種交互方式和界面。典型的例子是telnet。得到shell的辦法有很多種，比如通過系統自帶的telnet，終端服務。或者用木馬和工具提供的，如winshell，冰河等等。 4，shell是有權限差別的。最高權限——管理員權限才是我們的目標。所以有時會有提升權限的問題。當然，這也是利用了漏洞。 5，有了shell還要擴大它，就是進一步獲得更好用的shell。命令行的到圖形的、功能少的到多的。於是才有了“怎麼開3389”，“怎麼上傳”之類問題。 6，為了下次還能控制目標，你需要保持shell。做一個好的後門又是一種“學問”。克隆帳號、埋木馬、破administrator的密碼，手段不一而足。各位慢慢學吧。相關： 如何成為一名黑客: TCP/IP基礎介紹 : 網絡攻防教程 ; 網絡入侵步驟及思路: ?id=181 幾種掃描器的使用教程 :?id=5614 全球IP地址分配表 : 黑客入門教程 :?id=375關於命令的使用簡單說明： windowsNT/2000下有豐富的cmd可供使用，其作用也是巨大的。完全值得去熟練掌握她它們。windows2000本身就提供了詳細的命令幫助。在開始菜單--》幫助中可以搜索到“windows 2000 命令參考”。強烈建議各位新手花些時間仔細看一遍。裝了比如IIS等軟件，就會有新的命令（iisreset），在命令行方式下加/?或-h參數可以查看幫助，其他內置的命令當然也可以。相關帖子： ftp命令： telnet命令： net命令： 一般入侵所需要的幾個常用命令: ?forum=1&topic=4242關於端口相關工具： 掃描端口是掃描器的基本功能，工具太多了。看後面的“常用工具的使用”這部分。相關帖子： 端口掃描簡介 常見端口一覽表 常見端口詳解及部分攻擊策略 關於windows98簡單說明： 這類問題有兩種：一是怎樣入侵win98系統，二是在win98怎樣入侵。 由於98對網絡的支持不完善，使得問題的解決遠沒有像對2000那樣“豐富多采”。98默認沒有什麼網絡服務啟動，也就找不到什麼可利用的漏洞。共享算是最常見的“服務”了。我簡單的寫了些利用方法放在這裡： 其他還有些方法，比如嗅探密碼、發病毒和木馬到信箱、甚至用QQ“聯絡感情”再傳個綁木馬的Flash等，沒什麼意思，就此打住。 基於同樣的理由，98不是一個好的攻擊平台。如果只是端口掃描，那麼superscan可以勝任。web類的漏洞掃描x-scan也可以。但涉及ipc\$的弱口令、漏洞、遠程控制工具以及連接一些服務（如sql）就要“基於NT技術構建”的os了。好在3389終端服務的客戶端可以是98，所以先搞一台開3389的肉雞就算是回避了問題。如果你還在用98，誠懇的建議你：請用2000。如果你在網吧，先試試入侵網吧服務器。 鑒於98的問題技術含量不高、沒有深入探討價值，所以如果不是特別的問題就請不用發帖了。（個人觀點）相關工具： NetPass 1.0 破解98共享密碼 cain v2.5 綜合破解工具 ?id=1398 exeBinderZ 1.3 EXE捆綁機 （我用PE壓了一下，暫時不會被殺了） 關於破解郵箱相關工具： 溯雪 ?id=4457&url=http://hlbr-http.skycn.net:8080/down/p-DanSnowB7.exe 相關帖子： 溯雪破解21cn信箱的完整教程 ?id=1263關於解除網吧、網頁限制破解右鍵： 破解硬盤還原卡： ?SoftID=1966破解美屏： 相關工具： 網吧幽靈2.0 ?id=468關於流光簡單說明： 流光實在是個十分出色的綜合工具。其易用性和實用性都很適合新手使用。還沒用過的立刻下載一個裝上，自己體驗一下吧。使用前建議看看自帶的說明。相關工具： 流光4.7 流光4.7破解補丁 ?id=2422常見問題和回答： 1，我下載的流光殺毒軟件說有病毒，怎麼會事？ 答：一些殺毒軟件的確認為流光是木馬（誰讓它這麼有名呢，呵呵）。如果殺毒，流光將無法使用，所以只有讓殺毒軟件停止監測。或者使用不認為流光是病毒的軟件，比如金山毒霸。 2，為什麼有些肉雞安裝sensor失敗？ 答：如果拷貝文件出錯，可能是因為目標admin\$共享未開放。請采用其他shell，在目標主機上執行net share admin\$命令。 如果啟動服務失敗，可能因為使用的端口已經被占用，換個試試；也可能目標有殺毒軟件刪除了文件，或者有防火牆阻止sensor連網，沒有什麼好的解決辦法。 3，為什麼一些流光掃到的密碼不能用？ 答：可能是誤報，將掃描速度降低些再掃。對於winxp目標，也會產生誤報。也可能因為你用掃到的非管理員帳號來連接目標，請在ipc\$掃描選項裡將“只對administrators組進行猜解”選上。關於字典簡單說明： 操作系統將用戶和密碼信息加密後存放在特定的地方和文件中。典型的如windowsNT裡的sam文件和Linux裡的etc/passwd。由於加密算法是單向散列的，所以幾乎不可能找到逆向算法。因此，不得不使用同樣的算法加密各種口令，將結果去吻合散列值。字典就是有選擇地儲存了一批口令的文件。例如生日、常用單詞、中文名字的拼音等。著名的破解密碼的工具，一般自帶一些字典。也可以使用字典工具制作符合要求的字典。相關工具： 亂刀 小榕出品，破解UNIX系統的密碼 john 最著名的UNIX密碼破解工具 producepass 通用字典生成器 hh_dictall 英文單詞大全字典 sr-password 生日密碼生成器 關於ipc\$、空連接和默認共享簡單說明： 首先需要指出的是空連接和ipc\$是不同的概念。空連接是在沒有信任的情況下與服務器建立的會話，換句話說，它是一個到服務器的匿名訪問。ipc\$是為了讓進程間通信而開放的命名管道，可以通過驗證用戶名和密碼獲得相應的權限。有許多的工具必須用到ipc\$。默認共享是為了方便遠程管理而開放的共享，，包含了所有的邏輯盤（c\$,d\$,e\$……）和系統目錄winnt或windows（admin\$）。相關帖子： IPC進攻方法 ... opic=2498&show=1034常見問題和回答： 1，怎樣建立空連接，它有什麼用？ 答：使用命令 net use \\IP\ipc\$ "" /user:"" 就可以簡單地和目標建立一個空連接（需要目標開放ipc\$）。 對於NT，在默認安全設置下，借助空連接可以列舉目標用戶、共享，訪問everyone權限的共享，訪問小部分注冊表等，沒有什麼利用價值。對2000作用就更小了。而且實現也不方便，需借助工具。如果你不理解“沒用”的東西為什麼還會存在，就看看“專業”的解釋吧： 在NT/2000下的空連接 :?id=83 解剖WIN2K下的空會話: 2，為什麼我連不上IPC\$？ 答：1，只有nt/2000/xp及以上系統才可以建立ipc\$。如果你用的是98/me是沒有該功能的。 2，確認你的命令沒有打錯。正確的命令是： net use \\目標IP\ipc\$ "密碼" /user:"用戶名" 注意別多了或少了空格。當用戶名和密碼中不包含空格時兩邊的雙引號可以省略。空密碼用""表示。 3，根據返回的錯誤號分析原因： 錯誤號5，拒絕訪問 ： 很可能你使用的用戶不是管理員權限的，先提升權限； 錯誤號51，Windows 無法找到網絡路徑 : 網絡有問題； 錯誤號53，找不到網絡路徑 ： ip地址錯誤；目標未開機；目標lanmanserver服務未啟動；目標有防火牆（端口過濾）； 錯誤號67，找不到網絡名 ： 你的lanmanworkstation服務未啟動；目標刪除了ipc\$； 錯誤號1219，提供的憑據與已存在的憑據集沖突 ： 你已經和對方建立了一個ipc\$，請刪除再連。 錯誤號1326，未知的用戶名或錯誤密碼 ： 原因很明顯了； 錯誤號1792，試圖登錄，但是網絡登錄服務沒有啟動 ： 目標NetLogon服務未啟動。（連接域控會出現此情況） 錯誤號2242，此用戶的密碼已經過期 ： 目標有帳號策略，強制定期要求更改密碼。 4，關於ipc\$連不上的問題比較復雜，本論壇沒有總結出一個統一的認識，我在肉雞上實驗有時會得出矛盾的結論，十分棘手。 而且知道了問題所在，如果沒有用其他辦法獲得shell，很多問題依然不能解決。問題過於細致後就不適合在本文章裡探討了。 各位看著辦吧，呵呵。 3，怎樣打開目標的IPC\$？ 答：首先你需要獲得一個不依賴於ipc\$的shell，比如sql的cmd擴展、telnet、木馬。當然，這shell必須是admin權限的。然後你可以使用shell執行命令 net share ipc\$ 來開放目標的ipc\$