论文部分内容阅读
在以前的《红客路线》中,我们通常都是教大家如何入侵,获得一个Webshell或是CMD Shell窗口。但是在获得了Shell后,如何进行渗透控制。控制整个服务器,甚至控制其所在的整个网络呢?渗透攻击离不开一个好的工具,今天我们就教大家如何利用“hijack”这个小巧强大的工具,进行远程渗透入侵。
Shell——渗透攻击的前提
在进行渗透入侵攻击前,首先是要求我们已获得一个Shell窗口,当然这个Shell窗口要求权限不高,可以为Webshell或CMD Shell窗口。甚至也可以是某个带命令执行功能的木马控制端。Webshell一般通过网站入侵获得,而CMD Shell窗口则通常是通过远程溢出获得的。而木马的命令行Shell控制窗口则可通过各种途径传播木马获得。具体的攻击方法获得Shell的过程就不多讲了,这里我们以假设已用远程控制木马“Byshell”控制了一台肉鸡,以木马Shell控制窗口讲解渗透入侵攻击。
在本地的Byshell控制端,点击工具栏上的“超级终端”按钮,打开一个黑漆漆的命令提示符窗口。这就是我们所说的Shell窗口了。后面的渗透入侵攻击,都将在此命令窗口下完成。
上传hijack,安装嗅探组件
首先。我们要将Hijack上传到远程主机上,Hijack解压后里面有三个文件。“hiiack.exe” 、“wimnpcap.exe”和“old,exe”。其中“hijack。exe”和“winpcap.exe”是必须的,前者是程序主文件,后者是嗅探所必须Winpacap包的自解压版本。通过Byshell上传文件是非常简单的,点击工具栏上的“文件管理”按钮,打开远程文件浏览窗口,直接将“hijack.exe”和“wimpcap.exe”上传到远程主机某个目录中即可。这里选择上传到C盘根目录下。
返回到Byshell的命令控制窗口中。执行命令“dirc:hijack.exe”。如果显示文件,则表示上传文件成功。然后我们执行“c:Winpcap.exe”’命令,将会自动解压所需的嗅探组件到系统目录下。
查获远程网络信息
我们入侵控制的主机,可能是单独的一台主机。也可能是位于某个网络中。主机上可能只安装了一块网卡,也可能安装了多块网卡。全面了解远程主机上的网络信息。是进一步渗透入侵攻击前所必须进行的。
在Byshell的命令控制窗口中,执行命令“hijack/L”。即可看到远程主机上网卡的设备名、IP地址、MAC物理地址、子网掩码等各种网络信息。其中比较重要的是“idx”列显示的信息,也就是网卡索引号。如果是单网卡的话,那么网卡索引号为1。
现在我们要扫描远程主机子网中,所有的主机IP地址。命令格式为:
hijack-d网卡索引号/s
这里由于是单网卡,因此直接执行命令“hiljack-d 1/s”,即可扫描并显示远程主机所在子网中的所有主机IP地址,以及其网卡MAC物理地址。这里可以看到在子网中有3台电脑。
嗅探子网主机密码
在进行渗透入侵时,嗅探往往能够起到非常重要的作用,尤其是在入侵网站服务器网络时的作用非常大。利用嗅探,我们可以获得子网中其它主机的管理员密码,或者是网站登录密码,邮箱或FTP登录密码等。
进行嗅探
例如我们控制的网站服务器主机内网IP地址是“192.168.18”。在子网中的另一台主机IP地址是“192.168.1.10”,该主机是网站的数据库服务器。我们要想获得数据库的连接密码,可以嗅探主机“192.168.16”的所有网络连接数据。在Byshell的命令控制窗口中,执行嗅探命令:
hilack-d-1-O pass log192.168 1*192.168.110
该命令可以嗅探所有“192.168.1*”网段的主机,与数据库服务器“192.168.1.6”之间的网络数据,并从中截获密码保存在“pass.log”文件中。当然。我们也可以直接使用“hijack-d1-O pass.log 192.168.1*192.168.1.1”,嗅探所有主机与网关服务器间的数据交换,从而获得其登录密码,直接从外网上登录网关。
显示嗅探结果
前面只是执行后台嗅探,嗅探的结果会保存在远程主机上,我们还需要使用命令,显示嗅探的结果数据。显示嗅探结果的命令为:
hijack.exe-I pass log
执行命令后,就可以看到嗅探记录文件中保存的所有嗅探数据了,从中可以分析查看获得密码。
IP欺骗攻击
通过前面嗅探到的密码。我们可以进行远程连接,控制子网中的其它主机。但是这些子网中的主机,往往通过防火墙或其它方式作了连接限制,只能允许指定IP地址的主机进行连接,此时可以通过hijack的IP欺骗功能,渗透入侵连接受限制的主机。这里假设在子网内的某台电脑,其公网IP地址为“202.98.198.33”,该主机做了IP限制,只允许IP地址“202.98.198.77”访问,而我们攻击者本机的IP地址是“202.172.68.12”,想连接入侵受限的电脑,那么可执行命令:
hijack-d 1-z 202 98.198.33.202.98.198.1202.172.68.12.202.98.198.77
其中“202.98.198.1”是该网段的网关IP。执行命令后,攻击者就突破IP限制,可以连接上原本受限制的电脑了。
ARP欺骗攻击
在渗透入侵攻击中。如果我们无法进行嗅探,又或者难以突破内网与外网,此时ARP欺骗攻击就可以大显身手了。提起ARP攻击,前段时间的ARP病毒让无数局域网遭殃。而Hijack的ARP欺骗攻击采用了同样的原理,可以在子网中其它主机与网关的数据交换中,任意添加修改网络数据,达到挂马攻击的目的。例如我们已经有了一个网页木马,地址为“http//www.binghexijtan.com/1.htm”,要让子网中的其它主机,在浏览任何网页时都被网页木马攻击,那么可进行如下ARP欺骗攻击操作。
步骤一:编写规则文件
打开记事本,编写如下内容的文本文件:
Shell——渗透攻击的前提
在进行渗透入侵攻击前,首先是要求我们已获得一个Shell窗口,当然这个Shell窗口要求权限不高,可以为Webshell或CMD Shell窗口。甚至也可以是某个带命令执行功能的木马控制端。Webshell一般通过网站入侵获得,而CMD Shell窗口则通常是通过远程溢出获得的。而木马的命令行Shell控制窗口则可通过各种途径传播木马获得。具体的攻击方法获得Shell的过程就不多讲了,这里我们以假设已用远程控制木马“Byshell”控制了一台肉鸡,以木马Shell控制窗口讲解渗透入侵攻击。
在本地的Byshell控制端,点击工具栏上的“超级终端”按钮,打开一个黑漆漆的命令提示符窗口。这就是我们所说的Shell窗口了。后面的渗透入侵攻击,都将在此命令窗口下完成。
上传hijack,安装嗅探组件
首先。我们要将Hijack上传到远程主机上,Hijack解压后里面有三个文件。“hiiack.exe” 、“wimnpcap.exe”和“old,exe”。其中“hijack。exe”和“winpcap.exe”是必须的,前者是程序主文件,后者是嗅探所必须Winpacap包的自解压版本。通过Byshell上传文件是非常简单的,点击工具栏上的“文件管理”按钮,打开远程文件浏览窗口,直接将“hijack.exe”和“wimpcap.exe”上传到远程主机某个目录中即可。这里选择上传到C盘根目录下。
返回到Byshell的命令控制窗口中。执行命令“dirc:hijack.exe”。如果显示文件,则表示上传文件成功。然后我们执行“c:Winpcap.exe”’命令,将会自动解压所需的嗅探组件到系统目录下。
查获远程网络信息
我们入侵控制的主机,可能是单独的一台主机。也可能是位于某个网络中。主机上可能只安装了一块网卡,也可能安装了多块网卡。全面了解远程主机上的网络信息。是进一步渗透入侵攻击前所必须进行的。
在Byshell的命令控制窗口中,执行命令“hijack/L”。即可看到远程主机上网卡的设备名、IP地址、MAC物理地址、子网掩码等各种网络信息。其中比较重要的是“idx”列显示的信息,也就是网卡索引号。如果是单网卡的话,那么网卡索引号为1。
现在我们要扫描远程主机子网中,所有的主机IP地址。命令格式为:
hijack-d网卡索引号/s
这里由于是单网卡,因此直接执行命令“hiljack-d 1/s”,即可扫描并显示远程主机所在子网中的所有主机IP地址,以及其网卡MAC物理地址。这里可以看到在子网中有3台电脑。
嗅探子网主机密码
在进行渗透入侵时,嗅探往往能够起到非常重要的作用,尤其是在入侵网站服务器网络时的作用非常大。利用嗅探,我们可以获得子网中其它主机的管理员密码,或者是网站登录密码,邮箱或FTP登录密码等。
进行嗅探
例如我们控制的网站服务器主机内网IP地址是“192.168.18”。在子网中的另一台主机IP地址是“192.168.1.10”,该主机是网站的数据库服务器。我们要想获得数据库的连接密码,可以嗅探主机“192.168.16”的所有网络连接数据。在Byshell的命令控制窗口中,执行嗅探命令:
hilack-d-1-O pass log192.168 1*192.168.110
该命令可以嗅探所有“192.168.1*”网段的主机,与数据库服务器“192.168.1.6”之间的网络数据,并从中截获密码保存在“pass.log”文件中。当然。我们也可以直接使用“hijack-d1-O pass.log 192.168.1*192.168.1.1”,嗅探所有主机与网关服务器间的数据交换,从而获得其登录密码,直接从外网上登录网关。
显示嗅探结果
前面只是执行后台嗅探,嗅探的结果会保存在远程主机上,我们还需要使用命令,显示嗅探的结果数据。显示嗅探结果的命令为:
hijack.exe-I pass log
执行命令后,就可以看到嗅探记录文件中保存的所有嗅探数据了,从中可以分析查看获得密码。
IP欺骗攻击
通过前面嗅探到的密码。我们可以进行远程连接,控制子网中的其它主机。但是这些子网中的主机,往往通过防火墙或其它方式作了连接限制,只能允许指定IP地址的主机进行连接,此时可以通过hijack的IP欺骗功能,渗透入侵连接受限制的主机。这里假设在子网内的某台电脑,其公网IP地址为“202.98.198.33”,该主机做了IP限制,只允许IP地址“202.98.198.77”访问,而我们攻击者本机的IP地址是“202.172.68.12”,想连接入侵受限的电脑,那么可执行命令:
hijack-d 1-z 202 98.198.33.202.98.198.1202.172.68.12.202.98.198.77
其中“202.98.198.1”是该网段的网关IP。执行命令后,攻击者就突破IP限制,可以连接上原本受限制的电脑了。
ARP欺骗攻击
在渗透入侵攻击中。如果我们无法进行嗅探,又或者难以突破内网与外网,此时ARP欺骗攻击就可以大显身手了。提起ARP攻击,前段时间的ARP病毒让无数局域网遭殃。而Hijack的ARP欺骗攻击采用了同样的原理,可以在子网中其它主机与网关的数据交换中,任意添加修改网络数据,达到挂马攻击的目的。例如我们已经有了一个网页木马,地址为“http//www.binghexijtan.com/1.htm”,要让子网中的其它主机,在浏览任何网页时都被网页木马攻击,那么可进行如下ARP欺骗攻击操作。
步骤一:编写规则文件
打开记事本,编写如下内容的文本文件: