入侵检测三级跳 解析跳板技术

本文涉及的产品
云数据库 RDS MySQL,集群系列 2核4GB
推荐场景:
搭建个人博客
RDS MySQL Serverless 基础系列,0.5-2RCU 50GB
全局流量管理 GTM,标准版 1个月
简介:

 网络入侵,安全第一。一个狡猾的、高明的入侵者,不会冒然实行动。他们在入侵时前会做足功课,入侵时会通过各种技术手段保护自己,以防被对方发现,引火烧身。其中,跳板技术是攻击者通常采用的技术。下面笔者结合实例,解析攻击入侵中的跳板技术。

  1、确定目标

  攻击者在通过扫描工具进行定点(IP)扫描或者对某IP段扫描的过程中发现了该系统(服务器)的某个漏洞,然后准备实施攻击。

  比如,笔者通过对某IP段的扫描,发现该IP段IP地址为211.52.*.84的主机存在MYSQL漏洞,可以通过提权获取系统权限进而控制该服务器。(图1)

2、设计跳板

  跳板通俗讲就是一条通往目标主机的主机链,理论上讲当然是链越长就越安全,但是链太长的话连接的速度太慢,因为其中的中转太多。攻击者往往会评估入侵风险,从而制定或者设计跳板。一般的原则是,如果是政府、军队等敏感部门往往跳板会比较多,甚至这些跳板主机会纵横七大洲四大洋。另外,入侵国内服务器往往也会需要国外的跳板主机。

  另外跳板主机的选择,入侵者往往是一些安全性一般速度较快,很少有人光顾的主机。因为如果是跳板出了安全问题,安全人员从中间入手,进行反向追踪,定位入侵者的相对比较容易。

  笔者演示进行入侵检测的目标主机是一家韩国的服务器(通过www.ip138.com查询),综合考虑,设计了三级跳板,即通过三个主机中转在第三级跳板上进行目标主机的入侵就爱你从。设计的路线为:远程登陆(3389)到一IP地址为203.176.*.237的马来西亚服务器;然后在该服务器上通过CMD命令登陆到一IP地址为203.115.*.85的印度Cisco路由器;最后该路由器上telnet到一某韩国主机。最后以该韩国服务器为工作平台实施MYSQL提权操作。(图2)

特别说明:攻击者往往在跳板中加入路由器或者交换机(比如Cisco的产品),虽然路由器的日志文件会记录登陆IP,但是可以通过相关的命令清除该日志。并且这些日志清除后将永远消失,因为路由器的日志保存在flash中,一旦删除将无法恢复。如果跳板全部用主机的话,虽然也可以清除日志,但是现在的恢复软件往往可以恢复这些日志,就会留下痕迹,网络安全人员可以通过这些蛛丝马迹可能找到自己。3、跳板入侵

  (1).第一跳,远程桌面

  开始→运行→mstsc,打开远程桌面连接,输入马来西亚服务器的IP地址203.176.*.237,随后输入用户名、密码即可远程连接到该服务器。(图3)

一个非常狡猾高明的的入侵者一般不会用自己平时使用的主机进行远程桌面连接入侵,他们往往通过一些人员流动比较大的公共电脑进行入侵。如果找不到的话,他们一般不会用物理主机,会采用虚拟机系统进行入侵。因为物理主机的入侵会留下痕迹,就算删除格式化也会被恢复。而虚拟机,入侵完成后可以删除,呼之即来,弃之毫不可惜。

  (2).第二跳,telnet路由器

  打开服务器命令行工具(cmd),输入telnet 203.115.*.85进行连接。该路由器是一Cisco设置了虚拟终端的密码,输入密码进入路由器一般模式。此时即可以通过路由器telnet到下一个跳板。当然最好有该cisco路由器的特权密码,敲入en,然后输入特权密码进入特权模式。因为就算没有进入路由器的特权模式,但路由器还是记录了此次登陆,因此一定要进入特权模式,通过路由器命令清除登陆记录和历史命令。笔者为了安全用SecureCRT(类似telnet)进行登陆,登陆成功如图4。(图4)

作为一个狡猾的入侵者,在进入路由器特权模式后,不是马上进入下一跳板。往往通过show user命令查看有没有其他人(特别是管理员)登陆到路由器。如果存在其他登陆,一个谨慎的入侵者往往会放弃该跳板转而用其他的跳板。(图5)

(3).第三跳,telnet主机

  在路由器特权模式下,输入telnet 203.115.*.85,随后输入用户名及其密码后就telnet到远程主机系统给我们一个shell。(图6)

4.提权

  至此,我们经过三级跳到达工作平台,然后就在该shell上进行目标主机的MYSQL提权操作。操作平台上笔者已经准备好了进行MYSQL提权的工具。输入命令进行操作,笔者把相关的命令列举出来:

  cd msysql cd bin mysql -h 211.52.118.84 -uroot . c:mysqlbin2003.txt

在工作平台上再打开一个cmd,输入命令

  nc 211.52.118.84 3306

  即监听该ip的3306端口,返回一个目标主机的shell,获取该主机的控制权。

在该shell上输入命令建立管理员用户

  net user test test /add net localgour administrators test /add

  下面看看对方是否开了远程桌面连接,在命令行下敲入命令

  netstat -ano

  如图9所示,对方开了3389端口,即可以进行远程桌面的连接

由于对方是XP系统,不能多用户远程连接,笔者的入侵检测到此为止。

  3、全身而退

  入侵完成获得目标主机的管理权限,入侵者就得擦除痕迹,准备撤退了。

  (1).由于从目标主机获得的shell反向连接获得的,不会有日志记录,所以不用管直接断开连接。

  (2).上传clearlog工具,清除telnet主机上的登陆日志。

  (3).输入exit,退出路由器到主机的的telnet连接。在路由器上输入

  clear logging

  分别用来清除登陆日志。

(4).退出路由器登陆,通过工具清除远程桌面主机上的登陆日志,然后删除登录用帐户和用户目录,注销用户。














本文转hackfreer51CTO博客,原文链接:http://blog.51cto.com/pnig0s1992/546534,如需转载请自行联系原作者

相关文章
|
19天前
|
域名解析 存储 网络协议
深入解析网络通信关键要素:IP 协议、DNS 及相关技术
本文详细介绍了IP协议报头结构及其各字段的功能,包括版本、首部长度、服务类型、总长度、标识、片偏移、标志、生存时间(TTL)、协议、首部检验和等内容。此外,还探讨了IP地址的网段划分、特殊IP地址的应用场景,以及路由选择的大致流程。最后,文章简要介绍了DNS协议的作用及其发展历史,解释了域名解析系统的工作原理。
75 5
深入解析网络通信关键要素:IP 协议、DNS 及相关技术
|
24天前
|
负载均衡 5G 网络性能优化
深入解析LTE(长期演进技术)的基本架构及其关键组件
深入解析LTE(长期演进技术)的基本架构及其关键组件
130 2
|
22天前
|
Linux iOS开发 Docker
Docker:容器化技术的领航者 —— 从基础到实践的全面解析
在云计算与微服务架构日益盛行的今天,Docker作为容器化技术的佼佼者,正引领着一场软件开发与部署的革命。它不仅极大地提升了应用部署的灵活性与效率,还为持续集成/持续部署(CI/CD)提供了强有力的支撑。
204 69
|
26天前
|
机器学习/深度学习 算法
概率分布深度解析:PMF、PDF和CDF的技术指南
本文将深入探讨概率分布,详细阐述概率质量函数(PMF)、概率密度函数(PDF)和累积分布函数(CDF)这些核心概念,并通过实际示例进行说明。
77 15
概率分布深度解析:PMF、PDF和CDF的技术指南
|
5天前
|
人工智能 算法 安全
探索未来科技的基石:量子计算技术深度解析
探索未来科技的基石:量子计算技术深度解析
18 5
|
3天前
|
存储 文字识别 算法
解析!文档扫描 SDK 中的高级图像处理技术
本博客讨论了图像质量在文档扫描中的重要性,解决了扫描过程中遇到的常见挑战,以及文档扫描 SDK 利用先进的图像处理技术来应对这些挑战。
|
7天前
|
机器学习/深度学习 存储 监控
深入解析软件测试中的自动化测试技术
本文旨在全面探讨软件测试中的自动化测试技术。通过对自动化测试的定义、优势、常见工具和实施步骤的详细阐述,帮助读者更好地理解和应用自动化测试。同时,本文还将讨论自动化测试的局限性及未来发展趋势,为软件测试人员提供有益的参考。
27 6
|
4天前
|
机器学习/深度学习 前端开发 JavaScript
前端技术探索:从基础到未来趋势的全方位解析
前端技术探索:从基础到未来趋势的全方位解析
12 1
|
13天前
|
移动开发 Android开发 数据安全/隐私保护
移动应用与系统的技术演进:从开发到操作系统的全景解析随着智能手机和平板电脑的普及,移动应用(App)已成为人们日常生活中不可或缺的一部分。无论是社交、娱乐、购物还是办公,移动应用都扮演着重要的角色。而支撑这些应用运行的,正是功能强大且复杂的移动操作系统。本文将深入探讨移动应用的开发过程及其背后的操作系统机制,揭示这一领域的技术演进。
本文旨在提供关于移动应用与系统技术的全面概述,涵盖移动应用的开发生命周期、主要移动操作系统的特点以及它们之间的竞争关系。我们将探讨如何高效地开发移动应用,并分析iOS和Android两大主流操作系统的技术优势与局限。同时,本文还将讨论跨平台解决方案的兴起及其对移动开发领域的影响。通过这篇技术性文章,读者将获得对移动应用开发及操作系统深层理解的钥匙。
|
15天前
|
存储 缓存 Java
在Spring Boot中使用缓存的技术解析
通过利用Spring Boot中的缓存支持,开发者可以轻松地实现高效和可扩展的缓存策略,进而提升应用的性能和用户体验。Spring Boot的声明式缓存抽象和对多种缓存技术的支持,使得集成和使用缓存变得前所未有的简单。无论是在开发新应用还是优化现有应用,合理地使用缓存都是提高性能的有效手段。
15 1

热门文章

最新文章

推荐镜像

更多