隱形的戰斗—抗擊黑客無線入侵
1.發現漏洞
上次來朋友辦公室玩已經是一周前的事情了,Kevin回想起這一周發生的事情,確實令 人比較驚喜。思緒回到眼前,Kevin坐在與上次那家企業相鄰的名為“金鷹國際”的5層咖 啡屋裡,插入帶著可拆卸天線的USB無線網卡,迅速連入這家企業的無線網絡。雖然這個 無線網絡進行了MAC地址過濾等初步安全防護設置,但對子之前曾在內網仔細查看及記錄 過用戶配置的Kevin來說,這些根本就不是問題。
通過事先了解,Kevin知道這些無線路由器中有幾台采用了更高級的WPA-PSK加密, 比如這台SSID名為ZE@Office的無線路由器。
打開NMAP,對整個內網快速地掃描了一遍,很快找到了疑似網關、內部FTP等幾台 服務器,然後對其中一些開啟了80、21、1433等端口的服務器再次進行包括服務版本等內 容的詳細探查。貌似整體還是基本安全的,不過在確認網關服務器上的某個服務版本存在一 個疑似漏洞後,Kevin立即使用Metasploit進行了溢出嘗試,而且獲得了admin權限。進入 之後,Kevin熟練地植入了數個經過加殼處理的木馬。
雖然內網中也存在幾台配置了WPA-PSK加密的無線路由器,但這些難不倒Kevin,使用 另一塊無線網卡發動簡單的無線D.O.S後,便成功截獲到無線管理員密碼,然後Kevin立刻登 錄了對應的無線路由器,查看了全部的配置,當看到這台無線路由器配置頁面中有一個名為 WPS的頁面時,Kevin立刻想到了一個主意——為以後的長驅直入再放置幾個WPS“後門”。
為防止管理員更換無線路由器的WPA-PSK密碼,育的無線黑客也會放置WPS“後門”。 很簡單的原理,利用了現在95%以上的802.lln無線路由器都支持的WPS功能,這個功能 可以允許帶有WPS功能的無線網卡與同樣帶有WPS功能的無線設備通過WPS進行自動匹 配,匹配中間不需要輸入任何密碼,且匹配成功後無線客 戶端就可以輕松地連接到該無線路由器,從而達到上網的 目的。
一般情況下,WPS功能需要使用者從無線路由器管理 頁面上單擊啟動鍵,或者按下無線路由器設備外部的按鈕 才可以啟用(如圖O-ll所示)。
考慮到絕大多數具備WPS功能的無線設備在默認情 況下是不會自動開啟WPS功能的,所以Kevin在登錄到
無線路由器後,就用WPS配置頁面的“啟用”操作進行抓取,獲得了如下地址:
只需要將上述路徑直接運行,就會導致原本需要手動啟動的WPS功能在後台悄悄啟動, 此時外部攻擊者就可以與WPS關聯。說到手腳,最簡單的“後門”就是批處理,Kevin准 備了一段代碼(如下所示),這樣就可以在運行後從後台直接訪問上述網址,不會有任何窗 口及提示出現,由於是合法訪問,所以360安全衛士、卡巴斯基也都不會報警。
然後加入for循環語句和無線路由器登錄賬戶及密碼,這樣這個批處理就可以每隔3分 鐘訪問一次無線路由器的WPS配置頁面並開啟WPS功能,換句話說,就是隨時開放WPS 以便Kevin下一次連入。
將做好的bat批處理文件放置到網關服務器的組策略中,就是“計算機配置”中的“啟 動腳本”中,保存並退出。放置在這個位置的批處理文件將會在每次服務器開機後出現操作 系統登錄界面時直接運行,也就是說,只要主機再一次重啟後這個腳本就會一直在後台運行, 如圖0-12所示。
為了讓服務器重啟且不引人注意,Kevin順便再放置了一個使用shutdown命令編寫的批 處理,井設為下午6:30下班時間重啟。
2.查殺木馬
2011年8月17日。 真奇怪,升級完360安全衛士,在服務器上使用木馬雲查殺功能檢查,居然發現好幾個 木馬。“說了多少次了,誰又用服務器上網浏覽網站了?”宇一邊嘟囔著下載最新的Dr.WEB (大蜘蛛)Free版,一邊打開卡巴斯基進行第二遍全盤殺毒。即使是經常提醒,但這種事情 在公司裡仍然在所難免。宇一邊想一邊無奈地進行反復殺毒。
不出所料,之前的木馬被清掉了,看來無論怎麼加殼處理還是不行。Kevin在嘗試完 全部的預留木馬連接後,開始感覺有點郁悶。還好自己留了一個“後門”,Kevin打開無 線網卡的WPS功能,立即開始自動搜索及連接。看著網卡管理工具提醒已經成功建立連 接(如圖0-13所示),Kevin笑了笑,再次闖入名為ZE@Office的無線網絡。
3.哪裡的問題?
2011年8月19日。
“今天怎麼搞的,一直連不到公司無線網絡上”,隨著公司幾個同事紛紛表達了也無法連 接服務器的不滿之後,宇先連接服務器發現管理員密碼被修改無法登錄,然後切到無線網絡 後也發現無線網絡無法連接。連忙拿出自己另外備用的一台筆記本,通過有線連到無線路由
圖0-13
上次走得急,這次的目的是將服務器上的幾個有意思的目錄好好看看,Photos?有意思 的目錄,這裡面怎麼也應該有漂亮的照片吧,還有Lotus?看來可以找找對方的聯系方式了。 怎麼360還有沒打完的補丁?管理員可真粗心,Kevin無語地決定如果有收獲,臨走前就順 便給系統打上補丁,如圖0-14所示。想到此,Kevin便開始興致勃勃地在服務器上“翻箱倒 櫃”起來……
圖0-14
器上,發現無線網絡的SSID已經被修改,宇忍氣繼續查看,在查看到MAC地址過濾處時, 發現下面的黑名單中赫然列出一串公司內部員工所用的筆記本MAC地址,原來都被禁止訪 問了。當看到歷史連接用戶顯示為這些天來一直陰魂不散的陌生主機MAC時,宇終於忍不 住了。
二話不說,提著筆記本就沖向周圍的幾個辦公室,到底誰在上網?宇氣急敗壞地挨個辦 公室檢查。
該死,他在哪裡?從哪裡來的?宇突然痛恨起這無線網絡來,絲毫不記得這款Belkin 無線路由器還是自己在上個月購買的。終於要離開這個城市了,雖然時間不長但卻很有意思,Kevin緊了緊電腦包的帶子,拉 著箱子,跟著前面的人在機場候機廳21號櫃台前排隊等待換登機牌。回過頭,望望後面大 門出口外藍藍的晴空,回想起上午臨走前給對方留下的惡作劇,不由地好笑了