httpd.Start
End Sub
第2步:设置木马运行环境。在c:\web目录中再创建一个子目录wwwroot,并将我们所需要的ASP木马文件全部复制到wwwroot 中,这里选用的是海阳顶端ASP木马。此时,ASP运行环境应该已经准备好了。为了运行新建的NetBox 应用,必须确认8080端口没有被其他程序占用。双击main.box文件,就可以在窗口右下角看见NetBox的图标。此时,NetBox 已经正常运行了。现在,访问http://localhost:8080/测试ASP木马是否能正常运行。这种木马的好处是,不用担心有日志记录。但是现在它还远不是一个后门,只是提供了与IIS相当的功能
第3步:编译。执行“NetBox Deployment Wizard”,点击“选择文件夹”,找到刚才建立的目录C:\web,设置文件类型和输出文件名后,点“Build...(编译)”按钮,开始编译,就得到了编译成功的那个执行文件。因为这个例程是以服务方式创建的Web 服务器,所以可以在命令行下执行:myapp -install将应用安装成为服务,这样,系统无须登录便可以自动运行应用了。如果需要卸载服务,则可以在命令行下执行如下命令:myapp –remove。(myapp代表输出的应用文件名,如本例中的test),如图5所示。
第4步:隐藏服务。要达到“神不知鬼不觉”的效果,首先需要把应用程序添加为服务,我们可以使用Windows提供的Instsrv.exe和Srvany.exe这两个小软件。在命令行下,先把Instsrv.exe把Srvany.exe注册为服务。格式为:INSTSRV 服务名 SRVANY的路径,如:“INSTSRV SYSTEM C:\WEB\SRVANY.EXE”。其中SYSTEM是为了便于隐藏服务名。
第5步:添加注册表键值。注册成功后,打开注册表如下键值:[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SYSTEM]。SYSTEM是刚才我们注册的服务名,在SYSTEM下面先建立一个项PARAMETERS,然后在这个项上建立一个键值APPLICATION,填上我们要执行的文件路径如C:\web\test.exe,就可以了。
第6步:启动服务。方法有两种,第一种是在图形界面,直接进入“管理工具”下的“服务”面板;另一种是在命令行下,启动命令为:“NET START SYSTEM”,停止命令为:“NET STOP SYSTEM”。如果要将这个服务删除,可以用如下命令:“SC DELETE SYSTEM”。
第7步:制作并发布木马。结合批处理和脚本把这个做成自解压文件,或者其他的上传方式,比如通过后台数据库备份上传后再修改密码。
值得注意的是,2007年木马技术发展迅猛,除了一些老牌木马,其他有特色的木马也让人头疼不已,例如管理型木马——ncph远程控制;国产木马新秀PCView 2007;五毒俱全的蜜蜂大盗;木马Erazer Lite;另类的远程控制工具JXWebSver等。这些木马隐藏技术的不断提高,也给用户带来了许多麻烦。
通过上面的详细分类,就可以对本年度的攻击技术情况有了一个十分直观的认识。下面,我们通过典型的案例进行点评。
四、实例分析
现实生活中,网络应用越来越复杂,利用浏览器、网站插件、代码等方面的漏洞进行攻击的事件也愈演愈烈,甚至被有心人士用来窃取顾客的私人信息。一般来说,漏洞的威胁类型基本上决定了它的严重性,很多公司在公布安全漏洞的危险等级时候,把严重性分成高、中、低三个级别,再提示用户根据具体的情况,要采取程度不同的防范措施。在网络攻击者的眼里,“肉鸡”意味着可以轻松占有一台或多台服务器;至于网吧,针对服务器和网吧管理软件的攻击也十分频繁,醉翁之意不在酒,当然是想免费上网了。
针对网络服务器的攻击,也出现了许多独特的思路和新方法。如利用SA用户权限的安全隐患快速入侵网站;利用wmf远程执行漏洞(MS06-001)攻击服务器;利用Metasploit Framework体验MS06-040漏洞;利用Ability FTP Server新漏洞入侵网站;利用Windows图形渲染引擎WMF格式代码执行漏洞;利用文件后缀解析的漏洞攻击Apache服务器;百度、TOM、21CN系列搜索引擎漏洞等。
现在,网络管理员加强了内网的安全管理。比较常见的情况是网管通常都会封杀比较常见的服务端口,导致用户不能访问某些网站,不能使用QQ等工具进行聊天、玩游戏等。另外,出于安全考虑,有些网络管理员会限制某些协议,如不能使用FTP、对下载进行限制等。一般情况下,网络攻击者可以使用普通的HTTP代理或者SOCKS代理。现在,提供socks服务的代理软件有很多,如“通通通”软件(http://www.tongtongtong.com)、Socksonline(http://www.waysonline.com/mader/download)等。软件连通后,界面如图6所示。
Socksonline正常启动后,该程序就变成了本地的Socks Proxy,用户就可以通过Http Proxy或其他Proxy访问Internet了。如果要突破内网登陆QQ,可以打开QQ中的设置窗口输入参数。以QQ2007为例,在“代理设置”界面中,选择“使用SOCKS5代理服务器”。然后在代理服务器地址栏填入“localhost”,在端口栏填入“
同样,如果要突破内网,实现自由上网,也可以使用类似方法在IE浏览器中设置SOCKS5代理服务器。如果身处学校机房或管理比较严格的单位网络,还可以通过Socksonline和e-Border软件的配合,突破内网的限制就很容易了。
e-Border安装完成后,会弹出一个设置客户端程序的窗口,根据向导设置代理服务器名和默认的端口1080。在e-Border的代理方式中,选择Proxy only方式,表示将所有的网络连接全部截获并通过Socks代理连接。然后按下“Include list(包含列表)”按钮,在弹出的对话框中按下Add(添加)按钮,把Socksonline软件加入到列表框中。用同样的方法把平时上网需要使用Socks协议的软件都加入列表框。当然,网络攻击者也可以把一些特殊的黑客工具软件和游戏软件也添加进去。点OK关闭此对话框。如图7所示。
这样,无论是内网还是外网,攻击者都可以横行了,这也是目前很多网络管理员比较头疼的一个地方。在山东临沂银雀山出土的《孙膑兵法》上,有这样一段对话。齐威王曰:“地平卒齐,合而败北者,何也?”(翻译为:地形很好,士兵也很齐心,为什么打了败仗?)孙膑的回答是:“阵无锋也。”意即:“因为没有找到突破口。”这个典故说明了两军对垒,能否突破一点,向纵深进兵,往往是能否夺取全局性胜利的重要关键。总之,在网络安全实践中,我们也必须随时掌握最新的攻击技术发展动态,寻找防守的突破口,这样才能达到有效防范的目的。
文章整理:西部数码--专业提供域名注册、虚拟主机服务
http://www.west263.com
以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢!
