对于手机入侵服务器,谁有经验?
一般来讲,要想利用手机入侵服务器或者个人主机就必须先来说一下手机是如何接入英特网的。拿中国移动上网服务举例,手机接入网络的方式分为两种,即net接入和wap接入,也就是我们常说的CMNET和CMWAP。CMNET和CMWAP是中国移动GPRS网络的两个不同的APN(Access Point Name接入点名称)。CMNET提供了NAT服务,使用该服务的手机可以直接访问internet。CMWAP只提供了WAP代理和HTTP代理,手机上网能访问的范围有限,接入时只能访问GPRS网络内的IP为(10。。。)的地址。因此CMWAP主要用于手机WAP上网,CMNET则是用于PC,笔记本电脑,PDA等设备实现GPRS上网。两者手机上网的方式没有差别,如此划分是中国移动对手机上网服务对象的定位不同,所以它们的应用范围和资费标准不同。
虽然通过刚才的步骤得到了存在FTP弱口令的主机,但并不表明它们都可以被入侵因为他们的FTP服务器类型还没确定可能是微软的TP或者是WUFTP等等
而入侵时所利用的漏洞是serv-u FTP的, 所以还必须对这些存在FTP弱口令的主机进行一下类型确认;
步骤1 将刚才扫描生成的ftpscantxt进行过滤全部留下IP以每个IP一行的规则保存
步骤2 打开superscan扫描器勾选"显示主机响应",IP设置里选择"导入文件",然后选择保存好的ftpscantxt,最后将扫描端口定义在21上完成之后就要吧开始扫描了
步骤3:很快扫描完毕详细显示了被扫描主机的FTP服务器类型可以看出有台目标主机的FTP服务器类型为:serv-u FTP
二 入侵指定目标
通过刚才的扫描等一系列步骤我已经确定了要下手的目标
下面,开始使用serv-u MDTM溢出漏洞进行入侵
步骤1:在命令行下运行serv-u MDTM溢出的利用程序killftp察看到帮助文件
步骤2:按照提示我们输入命令:killftp 2181092222 21 ftp ftp 即对一台IP为2181092222,帐号为FTP密码为FTP的主机进行攻击,
可以看出,提示成功之后连接8111端口
步骤3:按照成功提示我们利用NC端口程序连接目标主机的8111端口,输入连接命令: nc -vv 2181092222 8111 很快就可以得到一个新的
DOS窗口而且这个窗口还是管理员权限的就这么简单
嗯不知道你要干什么,希望你不要干坏事。
第一步:情报收集与分析
用扫面器或者人工的对服务器的状态进行探知,获得以下信息: 服务器类型(大致分为windows服务器和linux服务器)、服务器版本、服务器的网络布局(自己与网站服务器的相对网络位置,是否有防火墙,不过现在的服务器一般都在防火墙后面)、服务器上开启的端口号、服务器上运行的服务及其版本、网站的网页脚本类型、脚本版本等等。最后根据以上信息判断该服务器可能存在的漏洞,这将是下一步的基础。
第二步:攻击开始
根据上一步收集到的漏洞信息开始对网站服务器发动攻击。一般是登陆服务器上开启的服务并猜测该服务的密码(弱口令攻击,现在基本失效)如果猜对便可以根据服务获得相应的服务器操作权限,如果运气好,这里就可以直接拿下服务器。或者根据服务器上运行的服务所存在的溢出漏洞进行溢出攻击(不过,溢出漏洞并不好找)。或者跟据网页脚本上的漏洞进行网页渗透。
第二步的主要目的就是为了获得一个可以在目标服务器上执行一定命令的权限,这也是最难的一步。
第三步:权限提升
如果只是为了从服务器上拿些东西,或者修改服务器上的一些文件,利用第二步获得权限可能已经足够,但是如果遇到细心的管理员进行了严格的权限管理,或者想完全控制服务器还需要提权操作。也就是利用第二步获得的权限获得跟高的服务器使用权限的操纵。其实现方法根据不同的入侵路径,会很多。这里只提一下大概思路,windows服务器:获得服务器系统盘的读写权(有时可以跳过)、获得system权限、建立自己的隐藏管理员用户、留下后门或木马。linux:获得root权限、留下后门。
最后就是清理自己的脚步,删除或者修改服务器上的日志文件,不然管理员会很容易察觉到被入侵。
网站入侵的形式其实很多,上面只是较为常用的形式而已。其他的还有 中间人攻击 社会工程学攻击等等。
以上只是个人的见解,希望能帮到你
1、首先通过“win+R”键,打开运行对话框,输入gpeditmsc,调出 本地组策略编辑器。
2、选择“计算机”-“Windows设置”-“IP安全策略,在本地计算机”。
3、在右侧窗口中右击鼠标,从弹出对话框中选择“创建IP安全策略”。
4、弹出的安全策略向导,一路点击“下一步”完成策略创建。
5、最后“关闭端口 属性”对话框中去掉“使用 添加向导”的勾,单击“添加”按钮。
6、最后在IP筛选器列表中,输入名称“关闭139端口”,同时去掉“使用添加向导”前面的勾,就完成了。
一、ping 它是用来检查网络是否通畅或者网络连接速度的命令。作为一个生活在网络上的管理员或者黑客来说,ping命令是第一个必须掌握的DOS命令,它所利用的原理是这样的:网络上的机器都有唯一确定的IP地址,我们给目标IP地址发送一个数据包,对方就要返回一个同样大小的数据包,根据返回的数据包我们可以确定目标主机的存在,可以初步判断目标主机的操作系统等。下面就来看看它的一些常用的操作。先看看帮助吧,在DOS窗口中键入:ping / 回车。所示的帮助画面。在此,我们只掌握一些基本的很有用的参数就可以了(下同)。 -t 表示将不间断向目标IP发送数据包,直到我们强迫其停止。试想,如果你使用100M的宽带接入,而目标IP是56K的小猫,那么要不了多久,目标IP就因为承受不了这么多的数据而掉线,呵呵,一次攻击就这么简单的实现了。 -l 定义发送数据包的大小,默认为32字节,我们利用它可以最大定义到65500字节。结合上面介绍的-t参数一起使用,会有更好的效果哦。 -n 定义向目标IP发送数据包的次数,默认为3次。如果网络速度比较慢,3次对我们来说也浪费了不少时间,因为现在我们的目的仅仅是判断目标IP是否存在,那么就定义为一次吧。 说明一下,如果-t 参数和 -n参数一起使用,ping命令就以放在后面的参数为标准,比如"ping IP -t -n 3",虽然使用了-t参数,但并不是一直ping下去,而是只ping 3次。另外,ping命令不一定非得ping IP,也可以直接ping主机域名,这样就可以得到主机的 IP。 下面我们举个例子来说明一下具体用法。 这里time=2表示从发出数据包到接受到返回数据包所用的时间是2秒,从这里可以判断网络连接速度的大小 。从TTL的返回值可以初步判断被 ping主机的操作系统,之所以说"初步判断"是因为这个值是可以修改的。这里TTL=32表示操作系统可能是win98。 (小知识:如果TTL=128,则表示目标主机可能是Win2000;如果TTL=250,则目标主机可能是Unix) 至于利用ping命令可以快速查找局域网故障,可以快速搜索最快的QQ服务器,可以对别人进行ping攻击……这些就靠大家自己发挥了。 二、nbtstat 该命令使用TCP/IP上的NetBIOS显示协议统计和当前TCP/IP连接,使用这个命令你可以得到远程主机的NETBIOS信息,比如用户名、所属的工作组、网卡的MAC地址等。在此我们就有必要了解几个基本的参数。 -a 使用这个参数,只要你知道了远程主机的机器名称,就可以得到它的NETBIOS信息(下同)。 -A 这个参数也可以得到远程主机的NETBIOS信息,但需要你知道它的IP。 -n 列出本地机器的NETBIOS信息。 当得到了对方的IP或者机器名的时候,就可以使用nbtstat命令来进一步得到对方的信息了,这又增加了我们入侵的保险系数。 三、netstat 这是一个用来查看网络状态的命令,操作简便功能强大。 -a 查看本地机器的所有开放端口,可以有效发现和预防木马,可以知道机器所开的服务等信息。 这里可以看出本地机器开放有FTP服务、Telnet服务、邮件服务、WEB服务等。用法:netstat -a IP。 -r 列出当前的路由信息,告诉我们本地机器的网关、子网掩码等信息。用法:netstat -r IP。
四、tracert 跟踪路由信息,使用此命令可以查出数据从本地机器传输到目标主机所经过的所有途径,这对我们了解网络布局和结构很有帮助。 这里说明数据从本地机器传输到19216801的机器上,中间没有经过任何中转,说明这两台机器是在同一段局域网内。用法:tracert IP。 2
必须掌握的八个cmd命令(自己的收藏)
五、net 这个命令是网络命令中最重要的一个,必须透彻掌握它的每一个子命令的用法,因为它的功能实在是太强大了,这简直就是 微软为我们提供的最好的入侵工具。首先让我们来看一看它都有那些子命令,键入net /回车。 在这里,我们重点掌握几个入侵常用的子命令。 net view 使用此命令查看远程主机的所以共享资源。命令格式为net view IP。 net use 把远程主机的某个共享资源影射为本地盘符,图形界面方便使用,呵呵。命令格式为net use x: IPsharename。上面一个表示把 19216805IP的共享名为magic的目录影射为本地的Z盘。下面表示和19216807建立IPC$连接(net use IP IPC$"password" /user:"name")。 建立了IPC$连接后,呵呵,就可以上传文件了:copy ncexe 9216807admin$,表示把本地目录下的ncexe传到远程主机,结合后面要介绍到的其他DOS命令就可以实现入侵了。 net start 使用它来启动远程主机上的服务。当你和远程主机建立连接后,如果发现它的什么服务没有启动,而你又想利用此服务怎么办?就使用这个命令来启动吧。用法:net start servername,成功启动了telnet服务。 net stop 入侵后发现远程主机的某个服务碍手碍脚,怎么办?利用这个命令停掉就ok了,用法和net start同。 net user 查看和帐户有关的情况,包括新建帐户、删除帐户、查看特定帐户、激活帐户、帐户禁用等。这对我们入侵是很有利的,最重要的,它为我们克隆帐户提供了前提。键入不带参数的net user,可以查看所有用户,包括已经禁用的。下面分别讲解。 1,net user abcd 1234 /add,新建一个用户名为abcd,密码为1234的帐户,默认为user组成员。 2,net user abcd /del,将用户名为abcd的用户删除。 3,net user abcd /active:no,将用户名为abcd的用户禁用。 4,net user abcd /active:yes,激活用户名为abcd的用户。 5,net user abcd,查看用户名为abcd的用户的情况。 net localgroup 查看所有和用户组有关的信息和进行相关操作。键入不带参数的net localgroup即列出当前所有的用户组。在入侵过程中,我们一般利用它来把某个帐户提升为administrator组帐户,这样我们利用这个帐户就可以控制整个远程主机了。用法: net localgroup groupname username /add。 现在我们把刚才新建的用户abcd加到administrator组里去了,这时候abcd用户已经是超级管理员了,呵呵,你可以再使用 net user abcd来查看他的状态。但这样太明显了,网管一看用户情况就能漏出破绽,所以这种方法只能对付菜鸟网管,但我们还得知道。现在的手段都是利用其他工具和手段克隆一个让网管看不出来的超级管理员,这是后话。有兴趣的朋友可以参照《黑客防线》第30期上的《由浅入深解析隆帐户》一文。 net time 这个命令可以查看远程主机当前的时间。如果你的目标只是进入到远程主机里面,那么也许就用不到这个命令了。但简单的入侵成功了,难道只是看看吗?我们需要进一步渗透。这就连远程主机当前的时间都需要知道,因为利用时间和其他手段(后面会讲到)可以实现某个命令和程序的定时启动,为我们进一步入侵打好基础。用法:net time IP。 3 必须掌握的八个cmd命令(自己的收藏)
六、at 这个命令的作用是安排在特定日期或时间执行某个特定的命令和程序(知道net time的重要了吧?)。当我们知道了远程主机的当前时间,就可以利用此命令让其在以后的某个时间(比如2分钟后)执行某个程序和命令。用法:at time command computer。 表示在6点55分时,让名称为a-01的计算机开启telnet服务(这里net start telnet即为开启telnet服务的命令)。 七、ftp 大家对这个命令应该比较熟悉了吧?网络上开放的ftp的主机很多,其中很大一部分是匿名的,也就是说任何人都可以登陆上去。现在如果你扫到了一台开放 ftp服务的主机(一般都是开了21端口的机器),如果你还不会使用ftp的命令怎么办?下面就给出基本的ftp命令使用方法。 首先在命令行键入ftp回车,出现ftp的提示符,这时候可以键入"help"来查看帮助(任何DOS命令都可以使用此方法查看其帮助)。 大家可能看到了,这么多命令该怎么用?其实也用不到那么多,掌握几个基本的就够了。 首先是登陆过程,这就要用到open了,直接在ftp的提示符下输入"open 主机IP ftp端口"回车即可,一般端口默认都是21,可以不写。接着就是输入合法的用户名和密码进行登陆了,这里以匿名ftp为例介绍。 用户名和密码都是ftp,密码是不显示的。当提示 logged in时,就说明登陆成功。这里因为是匿名登陆,所以用户显示为Anonymous。 接下来就要介绍具体命令的使用方法了。 dir 跟DOS命令一样,用于查看服务器的文件,直接敲上dir回车,就可以看到此ftp服务器上的文件。 cd 进入某个文件夹。 get 下载文件到本地机器。 put 上传文件到远程服务器。这就要看远程ftp服务器是否给了你可写的权限了,如果可以,呵呵,该怎么 利用就不多说了,大家就自由发挥去吧。 delete 删除远程ftp服务器上的文件。这也必须保证你有可写的权限。 bye 退出当前连接。 quit 同上。 八、telnet 功能强大的远程登陆命令,几乎所有的入侵者都喜欢用它,屡试不爽。为什么?它操作简单,如同使用自己的机器一样,只要你熟悉DOS命令,在成功以 administrator身份连接了远程机器后,就可以用它来干你想干的一切了。下面介绍一下使用方法,首先键入telnet回车,再键入help查看其帮助信息。 然后在提示符下键入open IP回车,这时就出现了登陆窗口,让你输入合法的用户名和密码,这里输入任何密码都是不显示的。 当输入用户名和密码都正确后就成功建立了telnet连接,这时候你就在远程主机上具有了和此用户一样的权限,利用DOS命令就可以实现你想干的事情了。
勒索病毒传播方法如下:
服务器入侵传播:通过系统或者软件漏洞进入服务器,或RDP破解远控;利用病毒,木马来**密码进行入侵;
·利用漏洞自动传播:利用系统自身漏洞进行传播
·软件供应链攻击传播:对合法软件进行劫持篡改,绕过了安全产品
·邮件附件传播:在附件中夹带恶意文件,执行其中的脚本
·挂马网页传播:在网页插入木马,受害的为裸奔用户
利用万象给自己的会员加钱:
大部分的入侵技术都是利用系统本身的漏洞进行的,而其中的关键就是人——网
络管理员的素质,管理员的技术素质,工作态度在很大的程度上会左右系统的安
全性能。
本文以万象网吧管理专家系统为例,描述笔者是如何破解万象网管软件的。万象
中最为重要的一个文件是名为“OctLogmdb”数据库文件,他记录了万象的会员
数据,有会员资料,会员卡号,余额等等的敏感数据如果这个文件一旦被用心不
良的人截获并肆意修改,那后果是非常严重的。所以这里提醒网吧管理员,必须
保护好你的会员数据库。
下面是笔者重破解者的角度来描述整个破解过程,让你领会一次因配置适当而导
致的严重漏洞。
一,前期工作
首先的问题就是我们如何接近数据库文件“OctLogmdb”。这里我们简单的分析
一下,现在的网吧一般不安装万象服务器版(收银端)在C盘,原因是担心系统出
现问题丢失数据,大部分安装在C盘以外,例如安装在“D:OCTOPUS"所以我们要
确定网吧的主机是那一台,安装了“OctPUS”的盘有没有共享?如果安装了
“OctPUS”的盘没有共享,想办法让“OctLogmdb”被共享,可能你觉得共享了
“OctLogmdb”的网吧不会有,但我觉得这样的网吧是用很多的,说不定你用的
网吧就是,那你就……因为现在的网吧管理人员的水平也不是很高的。即使有的
网吧暂时$共享“OctLogmdb”也不要灰心,有时候网吧人员变动,主机的设置
也有可能变动,这时候也是有机会的……
1,Autorun,inf文件的妙用
例如如果万象安装在D盘, 而D盘没有共享,但是其他的盘例如E盘共享了,这样
利用光盘自动运行程序的原理,在完全共享(例如E盘)的根目录建立一个
“Autoruninf”文件,用记事本就可以进行了,文件保存后缀为INF。内容如下
:
[autorun]
open=木马的路径
这样当有人想打开E盘的时候木马就会自动运行了,这个方法很容易被别人发现,
因为如果不删去“Autoruninf”文件,管理员双击就进不去E盘了,要进去的话
还要用右键点击才能打开。
2,利用Vredirvxd文件偷梁换柱
你大部分遇到的网吧可能是D盘加密了的只读共享,在Win98下破解共享密码的方
法很简单,因为在Win98共享目录密码校炼有BUG,只要将一个经过修改的
Vredirvxd文件COPY到WINDOWSSYSTEM目录覆盖源文件,重新启动电脑以后,你
再进入有密码共享的目录,出现提示输入密码的窗口时不用输入 密码,只要按住
回车键不放就可以进去了!如果网吧安装了还原精灵,我们可以这样做,点击“
关闭系统”,选择“重新启动计算机”,这时候按住Shift键不放,然后点击重新
启动确定,就可以绕过还原精灵了!
二,精彩部分
1,第一招——直捣黄龙
最幸运的情况就时你遇上了“OctPUS”目录被完全共享,而且网吧客户端安装了
Microsoft Access,这时候入侵最简单了,用客户机Microsoft Access打开收银
机的“OctLogmdb”,这是提示输入密码,输入“alpha”确定后就会看见了,选
择“打开数据库”确定后再输入一次“alpha”就可以看见如图:
不要管他,点击确定后
之后双击“userlist”就会
看见什么了?会员的资料尽收眼底,“CARDID”下就时会员的卡号,“password
”下就时密码,“remain”就时余下的金额,还有……里面的数据时可以直接修
改的,你可以在你的用户名的金额后面加个0,呵呵!你甚至还可以进行新增会员
,改变密码等操作。
2,第二招——伪装欺骗
首先去下载万象(下载地址是:http://downkk66com/showaspid=3680 ;)
,下载后选择安装服务器版,
安装路径不要和客户机安装的路径相同,安装后千万不要运行,当然,如果你不
幸运行了,在不足30秒的时间内,管理员就会站在你的身后……毛骨悚然……。
因为运行之后,“真”的服务端会有提示有另一个服务端在那一台电脑上运行。
所以我们要进行必要的设置,首先将“真”的服务器安装目录映射成本机的一个
驱动器F盘。然后打开本机控制面板的“ODBC数据原(32位)”。选择配置
“Octopus”,然后在出现的对话框中选择“真”服务端的“OctLogmdb”,点击
“配置”,在出现的图象中选择“选取”。然后在对话框中的数据原选择你映射
在你自己电脑上的数据库,也就是主机的数据原,然后推出。这是俩个服务端就
共用一个同步的数据库了。最后还要打开注册表编辑器,找到“HKEY-LOCAL-
MACHINESOFT万象幻境 ”这个键。先在“万象幻境”后新建一个主键“专家系
列网管软件服务器”,服务端暂时未运行,所以这个键要自己添加,然后在“专
家系列网管软件服务器”里面添加一个DWORD值,名称叫:LPORT,数据设为任意
一个值,比如8207。
关掉注册表就大公告成了,这时候打开本机的服务端,会弹出一个对话框,显示
错误提示,我们不用管他,点击“确定”进入后,是看不到任何局域网的计算机
的(这就是前面说的不可能反控的原因),但是可以对会员的数据库进行操作,
二个数据库的操作是同步的,所以就可以对会员卡加钱了,呵呵!
3,第三招——
值得注意的是,第三招是我在没有实际操作的情况下在猜想的,所以请朋友千万
不是以身使法!既然我们现在要做的仅仅是如何打开“OctLogmdb”,而在同一
个网络中用服务端打开会被发现,那么我们不可以在另外一个网络中通过服务端
打开呢???我的猜想是:首先是将自己的电脑放在局域网之外,通过修改本机
的IP地址实现!一般局域网的IP地址是19216801
我可以先将IP地址定为任意值。这时候电脑要求重新启动计算机,点取消,然后
将网卡禁止使用,电脑还是提示重新启动,不要管他,然后再将网卡启动就可以
轻松的改变IP地址了!然后……就看你的了!
我的阿里云服务器怎么才能安全不被攻击?
防止阿里云服务器被攻击:首先要做好系统的内部安全,做好系统漏洞补丁,防火墙策略,开放哪些端口,允许哪些IP访问,这些基础设置都要做好。
利用一些专业的安全漏洞扫描工具,阿里云有自己的安全分析工具,叫做态势感知,可以用来分析和发现潜在的入侵和高度隐蔽的攻击威胁。
可以使用一些管理工具来管理阿里云主机,可以轻松管理阿里云主机,设置管理成员的权限,防止管理混乱,减少对外端口的开放,检查安全漏洞。
遇到DDoS攻击时,需要购买第三方反DDoS服务。阿里云市场有云盾DDoS、东软、服务器安全加固优化等一些抗攻击产品。
阿里云服务器进去全黑是怎么回事?
如果说进入云服务器管理控制台是这样的话,你只需要移动一下鼠标,或者按任意键盘按键激活显示就可以的,或者是你可以重启一下云服务器(云服务器出现故障也会这样),方法是在控制台-云服务器ECS-找到你那台需要重启的ECS-更多-重启即可,这时会弹出提示框提示你是否重启,建议你选择强制重启。
还有就是LIUNX系统(例如UBUNTU也是需要用命令行操作的,你看到全黑有字符的话那就是命令行)阿里云服务器ubuntu怎么关闭防火墙?
1关闭ubuntu的防火墙ufwdisable
2卸载了iptablesapt-getremoveiptables
1用iptables-F这个命令来关闭防火墙,但是使用这个命令前,千万记得用iptables
-L查看一下你的系统中所有链的默认target,iptables
-F这个命令只是清除所有规则,只不会真正关闭iptables想象一下,如果你的链默认target是DROP,本来你有规则来允许一些特定的端口,
但一旦应用iptables-L,清除了所有规则以后,默认的target就会阻止任何访问,当然包括远程ssh管理服务器的你
所以我建议的关闭防火墙命令是
iptables-PINPUTACCEPT
iptables-PFORWARDACCEPT
iptables-POUTPUTACCEPT
iptables-F
总之,当你要在你的服务器上做任何变更时,最好有一个测试环境做过充分的测试再应用到你的服务器除此之外,要用好iptables,那就要理解
iptables的运行原理,知道对于每一个数据包iptables是怎么样来处理的这样才能准确地书写规则,避免带来不必要的麻烦
0条评论