肉雞:所謂“肉雞”是一種很形象的比喻,比喻那些可以隨意被我們控制的電腦,對方可以是windows系統(tǒng),也可以是UNIX/linux系統(tǒng),可以是普通的個人電腦,也可以是大型的服務器,我們可以象操作自己的電腦那樣來操作它們,而不被對方所發(fā)覺。
木馬:就是那些表面上偽裝成了正常的程序,但是當這些被程序運行時,就會獲取系統(tǒng)的整個控制權(quán)限。有很多黑客就是 熱中與使用木馬程序來控制別人的電腦,比如灰鴿子,黑洞,PcShare等等。
網(wǎng)頁木馬:表面上偽裝成普通的網(wǎng)頁文件或是將而已的代碼直接插入到正常的網(wǎng)頁文件中,當有人訪問時,網(wǎng)頁木馬就會利用對方系統(tǒng)或者瀏覽器的漏洞自動將配置好的木馬的服務端下載到訪問者的電腦上來自動執(zhí)行。
掛馬:就是在別人的網(wǎng)站文件里面放入網(wǎng)頁木馬或者是將代碼潛入到對方正常的網(wǎng)頁文件里,以使瀏覽者中馬。
后門:這是一種形象的比喻,**者在利用某些方法成功的控制了目標主機后,可以在對方的系統(tǒng)中植入特定的程序,或者是修改某些設置。這些改動表面上是很難被察覺的,但是**者卻可以使用相應的程序或者方法來輕易的與這臺電腦建立連接,重新控制這臺電腦,就好象是**者偷偷的配了一把主人房間的要是,可以隨時進出而不被主人發(fā)現(xiàn)一樣。
通常大多數(shù)的特洛伊木馬(Trojan Horse)程序都可以被**者用語制作后門(BackDoor)
rootkit:rootkit是攻擊者用來隱藏自己的行蹤和保留root(根權(quán)限,可以理解成WINDOWS下的system或者管理員權(quán)限)訪問權(quán)限的工具。通常,攻擊者通過遠程攻擊的方式獲得root訪問權(quán)限,或者是先使用密碼猜解(破解)的方式獲得對系統(tǒng)的普通訪問權(quán)限,進入系統(tǒng)后,再通過,對方系統(tǒng)內(nèi)存在的安全漏洞獲得系統(tǒng)的root權(quán)限。然后,攻擊者就會在對方的系統(tǒng)中安裝rootkit,以達到自己長久控制對方的目的,rootkit與我們前邊提到的木馬和后門很類似,但遠比它們要隱蔽,黑客守衛(wèi)者就是很典型的rootkit,還有國內(nèi)的ntroorkit等都是不錯的rootkit工具。
計算機鍵盤上的登錄
IPC$:是共享“命名管道”的資源,它是為了讓進程間通信而開放的餓命名管道,可以通過驗證用戶名和密碼獲得相應的權(quán)限,在遠程管理計算機和查看計算機的共享資源時使用。
弱口令:指那些強度不夠,容易被猜解的,類似123,abc這樣的口令(密碼)
默認共享:默認共享是WINDOWS2000/XP/2003系統(tǒng)開啟共享服務時自動開啟所有硬盤的共享,因為加了"$"符號,所以看不到共享的托手圖表,也成為隱藏共享。
shell:指的是一種命令指行環(huán)境,比如我們按下鍵盤上的“開始鍵+R”時出現(xiàn)“運行”對話框,在里面輸入“cmd”會出現(xiàn)一個用于執(zhí)行命令的黑窗口,這個就是WINDOWS的Shell執(zhí)行環(huán)境。通常我們使用遠程溢出程序成功溢出遠程電腦后得到的那個用于執(zhí)行系統(tǒng)命令的環(huán)境就是對方的shell
WebShell:WebShell就是以asp、php、jsp或者cgi等網(wǎng)頁文件形式存在的一種命令執(zhí)行環(huán)境,也可以將其稱做是一種網(wǎng)頁后門。黑客在**了一個網(wǎng)站后,通常會將這些asp或php后門文件與網(wǎng)站服務器WEB目錄下正常的網(wǎng)頁文件混在一起,好后就可以使用瀏覽器來訪問這些asp 或者php后門,得到一個命令執(zhí)行環(huán)境,以達到控制網(wǎng)站服務器的目的。可以上傳下載文件,查看數(shù)據(jù)庫,執(zhí)行任意程序命令等。國內(nèi)常用的WebShell有海陽ASP木馬,Phpspy,c99shell等
溢出:確切的講,應該是“緩沖區(qū)溢出”。簡單的解釋就是程序?qū)邮艿妮斎霐?shù)據(jù)沒有執(zhí)行有效的檢測而導致錯誤,后果可能是造成程序崩潰或者是執(zhí)行攻擊者的命令。大致可以分為兩類:(1)堆溢出;(2)棧溢出。
注入:隨著B/S模式應用開發(fā)的發(fā)展,使用這種模式編寫程序的程序員越來越來越多,但是由于程序員的水平參差不齊相當大一部分應用程序存在安全隱患。用戶可以提交一段數(shù)據(jù)庫查詢代碼,根據(jù)程序返回的結(jié)果,獲得某些他想要知的數(shù)據(jù),這個就是所謂的SQLinjection,即:SQL注意入。
注入點:是可以實行注入的地方,通常是一個訪問數(shù)據(jù)庫的連接。根據(jù)注入點數(shù)據(jù)庫的運行帳號的權(quán)限的不同,你所得到的權(quán)限也不同。
內(nèi)網(wǎng):通俗的講就是局域網(wǎng),比如網(wǎng)吧,校園網(wǎng),公司內(nèi)部網(wǎng)等都屬于此類。查看IP地址如果是在以下三個范圍之內(nèi)的話,就說明我們是處于內(nèi)網(wǎng)之中的:10.0.0.0—10.255.255.255,172.16.0.0—172.31.255.255,192.168.0.0—192.168.255.255
旁注:顧名思義就是從旁注入,也就是利用主機上面的一個虛擬站點進行滲透,得到我們所要得到一個重要關節(jié)webshell之后,再利用主機的開放的程序以及一些非安全設置進行的跨站式入侵方法。
旁注的過程:請參考 http://zhidao.baidu.com/question/19553855.html
外網(wǎng):直接連入INTERNET(互連網(wǎng)),可以與互連網(wǎng)上的任意一臺電腦互相訪問,IP地址不是保留IP(內(nèi)網(wǎng))IP地址。
端口:(Port)相當于一種數(shù)據(jù)的傳輸通道。用于接受某些數(shù)據(jù),然后傳輸給相應的服務,而電腦將這些數(shù)據(jù)處理后,再將相應的恢復通過開啟的端口傳給對方。一般每一個端口的開放的偶對應了相應的服務,要關閉這些端口只需要將對應的服務關閉就可以了。
3389、4899肉雞:3389是Windows終端服務(Terminal Services)所默認使用的端口號,該服務是微軟為了方便網(wǎng)絡管理員遠程管理及維護服務器而推出的,網(wǎng)絡管理員可以使用遠程桌面連接到網(wǎng)絡上任意一臺開啟了終端服務的計算機上,成功登陸后就會象操作自己的電腦一樣來操作主機了。這和遠程控制軟件甚至是木馬程序?qū)崿F(xiàn)的功能很相似,終端服務的連接非常穩(wěn)定,而且任何殺毒軟件都不會查殺,所以也深受黑客喜愛。黑客在**了一臺主機后,通常都會想辦法先添加一個屬于自己的后門帳號,然后再開啟對方的終端服務,這樣,自己就隨時可以使用終端服務來控制對方了,這樣的主機,通常就會被叫做3389肉雞。Radmin是一款非常優(yōu)秀的遠程控制軟件,4899就是Radmin默認使用也經(jīng)常被黑客當作木馬來使用(正是這個原因,目前的殺毒軟件也對Radmin查殺了)。有的人在使用的服務端口號。因為Radmin的控制功能非常強大,傳輸速度也比大多數(shù)木馬快,而且又不被殺毒軟件所查殺,所用Radmin管理遠程電腦時使用的是空口令或者是弱口令,黑客就可以使用一些軟件掃描網(wǎng)絡上存在Radmin空口令或者弱口令的主機,然后就可以登陸上去遠程控制對惡劣,這樣被控制的主機通常就被成做4899肉雞。
免殺:就是通過加殼、加密、修改特征碼、加花指令等等技術(shù)來修改程序,使其逃過殺毒軟件的查殺。
加殼:就是利用特殊的算法,將EXE可執(zhí)行程序或者DLL動態(tài)連接庫文件的編碼進行改變(比如實現(xiàn)壓縮、加密),以達到縮小文件體積或者加密程序編碼,甚至是躲過殺毒軟件查殺的目的。目前較常用的殼有UPX,ASPack、PePack、PECompact、UPack、免疫007、木馬彩衣等等。
花指令:就是幾句匯編指令,讓匯編語句進行一些跳轉(zhuǎn),使得殺毒軟件不能正常的判斷病毒文件的構(gòu)造。說通俗點就是”殺毒軟件是從頭到腳按順序來查找病毒。如果我們把病毒的頭和腳顛倒位置,殺毒軟件就找不到病毒了。
掛馬:就是在別人的網(wǎng)站文件里面放入網(wǎng)頁木馬或者是將代碼潛入到對方正常的網(wǎng)頁文件里,以使瀏覽者中馬。
什么是TCP/IP
是一種網(wǎng)絡通信協(xié)議,他規(guī)范了網(wǎng)絡上所有的通信設備,尤其是一個主機與另一個主機之間的數(shù)據(jù)往來格式以及傳送方式.,TCP/IP是INTERNET的基礎協(xié)議,也是一種電腦數(shù)據(jù)打包和尋址的標準方法.在數(shù)據(jù)傳誦中,可以形象地理解為兩個信封,TCP和IP就像是信封,要傳遞的信息被劃為若干段,每一段塞入一個TCP信封,并在該信封面上記錄有分段號的信息,再將TCP信封塞入IP大信封,發(fā)送上網(wǎng).
什么是路由器
路由器應該是在網(wǎng)絡上使用最高的設備之一了,它的主要作用就是路由選路,將IP數(shù)據(jù)包正確的送到目的地,因此也叫IP路由器.
什么是蜜罐
好比是情報收集系統(tǒng).蜜罐好象是故意讓人攻擊的目標,引誘黑客來攻擊,所有攻擊者**后,你就可以知道他是如何得逞的,隨時了解針對你的服務器發(fā)動的最新的攻擊和漏洞.還可以通過竊聽黑客之間的聯(lián)系,收集黑客所用的種種工具,并且掌握他們的社交網(wǎng)絡.
什么是拒絕服務攻擊
DOS是DENIALOFSERVICE的簡稱,即拒絕服務,造成DOS的攻擊行為被稱為DOS攻擊,其目的是使計算機或網(wǎng)絡無法正常服務,最常見的DOS攻擊有計算機網(wǎng)絡寬帶攻擊和連通性攻擊,連通性攻擊指用大量的連接請求沖擊計算機,使得所有可用的操作系統(tǒng)資源被消耗,最終計算機無法再處理合法用戶的請求.
什么是腳本注入攻擊(SQLINJECTION)
所謂腳本注入攻擊者把SQL命令插入到WEB表單的輸入域或也面請求的查學字符串,欺騙服務器執(zhí)行惡意的SQL命令,在某些表單中,用戶輸入的內(nèi)容直接用來構(gòu)造動態(tài)的SQL命令,或作為存儲過程的輸入?yún)?shù),這類表單特別容易受到SQL注入式攻擊.
什么是防火墻?它是如何確保網(wǎng)絡安全的
使用防火墻(Firewall)是一種確保網(wǎng)絡安全的方法。防火墻是指設置在不同網(wǎng)絡(如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng))或網(wǎng)絡安全域之間的一系列部件的組合。它是不同網(wǎng)絡或網(wǎng)絡安全域之間信息的惟一出入口,能根據(jù)企業(yè)的安全政策控制(允許、拒絕、監(jiān)測)出入網(wǎng)絡的信息流,且本身具有較強的抗攻擊能力。它是提供信息安全服務,實現(xiàn)網(wǎng)絡和信息安全的基礎設施。
什么是后門?為什么會存在后門?
后門(BackDoor)是指一種繞過安全性控制而獲取對程序或系統(tǒng)訪問權(quán)的方法。在軟件的開發(fā)階段,程序員常會在軟件內(nèi)創(chuàng)建后門以便可以修改程序中的缺陷。如果后門被其他人知道,或是在軟件之前沒有刪除,那么它就成了安全隱患。
什么叫**檢測
**檢測是防火墻的合理補充,幫助系統(tǒng)對付網(wǎng)絡攻擊,擴展系統(tǒng)管理員的安全管理能力(包括安全審計、監(jiān)視、進攻識別和響應),提高信息安全基礎結(jié)構(gòu)的完整性。它從計算機網(wǎng)絡系統(tǒng)中的若干關鍵點收集信息,并分析這些信息,檢查網(wǎng)絡中是否有違反安全策略的行為和遭到襲擊的跡象
什么叫數(shù)據(jù)包監(jiān)測,它有什么作用
數(shù)據(jù)包監(jiān)測可以被認為是一根竊聽電話線在計算機網(wǎng)絡中的等價物。當某人在“監(jiān)聽”網(wǎng)絡時,他們實際上是在閱讀和解釋網(wǎng)絡上傳送的數(shù)據(jù)包。如果你需要在互聯(lián)網(wǎng)上通過計算機發(fā)送一封電子郵件或請求下載一個網(wǎng)頁,這些操作都會使數(shù)據(jù)通過你和數(shù)據(jù)目的地之間的許多計算機。這些傳輸信息時經(jīng)過的計算機都能夠看到你發(fā)送的數(shù)據(jù),而數(shù)據(jù)包監(jiān)測工具就允許某人截獲數(shù)據(jù)并且查看它。
在這里值得一題的是,美國的落山基級駭動力潛艇就有幾艘專們用于海底電纜的數(shù)據(jù)監(jiān)聽。特別是太平洋。
什么是NIDS
NIDS是NetworkIntrusionDetectionSystem的縮寫,即網(wǎng)絡**檢測系統(tǒng),主要用于檢測Hacker或Cracker
通過網(wǎng)絡進行的**行為。NIDS的運行方式有兩種,一種是在目標主機上運行以監(jiān)測其本身的通信信息,另一
種是在一臺單獨的機器上運行以監(jiān)測所有網(wǎng)絡設備的通信信息,比如Hub、路由器。
什么叫SYN包
TCP連接的第一個包,非常小的一種數(shù)據(jù)包。SYN攻擊包括大量此類的包,由于這些包看上去實際不存在的
站點,因此無法有效進行處理。
暴庫
這個漏洞現(xiàn)在很少見了,但是還有許多站點有這個漏洞可以利用,暴庫就是提交字符得到數(shù)據(jù)庫文件,得到了數(shù)據(jù)庫文件我們就直接有了站點的前臺或者后臺的權(quán)限了。
注入漏洞
這個漏洞是現(xiàn)在應用最廣泛,殺傷力也很大的漏洞,可以說微軟的官方網(wǎng)站也存在著注入漏洞。注入漏洞是因為字符過濾不嚴禁所造成的,可以得到管理員的帳號密碼等相關資料。
怎樣利用:我先介紹下怎樣找漏洞比如這個網(wǎng)址xxx.com/dispbbs.asp?boardID=7&ID=161后面是以ID=數(shù)字形式結(jié)尾的站我們可以手動在后面加上個and1=1看看
如果顯示正常頁面再加上個and1=2來看看如果返回正常頁面說明沒有漏洞如果返回錯誤頁面說明存在注入漏洞。如果加and1=1返回錯誤頁面說明也沒有漏洞,知道了站點
有沒有漏洞我門就可以利用了可以手工來猜解也可以用工具現(xiàn)在工具比較多(NBSI、NDSI、啊D、DOMAIN等),都可以用來猜解帳號密碼,因為是菜鳥接觸,我還是建議大家用工具,手工比較煩瑣。
旁注
我們**某站時可能這個站堅固的無懈可擊,我們可以找下和這個站同一服務器的站點,然后在利用這個站點用提權(quán),嗅探等方法來**我們要**的站點。打個形象的比喻,比
如你和我一個樓,我家很安全,而你家呢,卻漏洞百出,現(xiàn)在有個賊想**我家,他對我家做了監(jiān)視(也就是掃描),發(fā)現(xiàn)沒有什么可以利用的東西,那么這個賊發(fā)現(xiàn)你家和我家
一個樓,你家很容易就進去了,他可以先進入你家,然后通過你家得到整個樓的鑰匙(系統(tǒng)權(quán)限),這樣就自然得到我的鑰匙了,就可以進入我的家(網(wǎng)站)。
工具介紹:還是名小子的DOMIAN3.5不錯的東西,可以檢測注入,可以旁注,還可以上傳!
COOKIE詐騙
許多人不知道什么是COOKIE,COOKIE是你上網(wǎng)時由網(wǎng)站所為你發(fā)送的值記錄了你的一些資料,比如IP,姓名什么的。
怎樣詐騙呢?如果我們現(xiàn)在已經(jīng)知道了XX站管理員的站號和MD5密碼了,但是破解不出來密碼(MD5是加密后的一個16位的密碼)。我們就可以用COOKIE詐騙來實現(xiàn),把自己的ID修
改成管理員的,MD5密碼也修改成他的,有工具可以修改COOKIE這樣就答到了COOKIE詐騙的目的,系統(tǒng)以為你就是管理員了。
防火墻系統(tǒng)。
IDS**檢測——現(xiàn)在一般有成品軟件賣
時間戳
“時間戳”是個聽起來有些玄乎但實際上相當通俗易懂的名詞,我們查看系統(tǒng)中的文件屬性,其中顯示的創(chuàng)建、修改、訪問時間就是該文件的時間戳。對于大多數(shù)一般用戶而言,通過修改“時間戳”也許只是為了方便管理文件等原因而掩飾文件操作記錄。但對于應用數(shù)字時間戳技術(shù)的用戶就并非這么“簡單”了,這里的“時間戳”(time-stamp)是一個經(jīng)加密后形成的憑證文檔,是數(shù)字簽名技術(shù)的一種變種應用。在電子商務交易文件中,利用數(shù)字時間戳服務(DTS:digita1timestampservice)能夠?qū)μ峁╇娮游募娜掌诤蜁r間信息進行安全保護,以防止被商業(yè)對手等有不良企圖的人偽造和串改的關鍵性內(nèi)容。
MySQL數(shù)據(jù)庫
我們在黑客文章中常會看到針對“MySQL數(shù)據(jù)庫”的攻擊,但很多朋友卻對其不大了解。“MySQL數(shù)據(jù)庫”之所以應用范圍如此廣泛,是由于它是一款免費的開放源代碼的多用戶、多線程的跨平臺關系型數(shù)據(jù)庫系統(tǒng),也可稱得上是目前運行速度最快的SQL語言數(shù)據(jù)庫。“MySQL數(shù)據(jù)庫”提供了面向C、C++、JAVA等編程語言的編程接口,尤其是它與PHP的組合更是黃金搭檔。“MySQL數(shù)據(jù)庫”采用的是客戶機/服務器結(jié)構(gòu)的形式,它由一個服務器守護程序Mysqld和很多不同的客戶程序和庫組成。但若是配置不當,“MySQL數(shù)據(jù)庫”就可能會受到攻擊,例如若是設置本地用戶擁有對庫文件讀權(quán)限,那么**者只要獲取“MySQL數(shù)據(jù)庫”的目錄,將其復制本機數(shù)據(jù)目錄下就能訪問進而竊取數(shù)據(jù)庫內(nèi)容。
MD5驗證
MD5(全稱是message-digestalgorithm5)的作用是讓大容量信息在用數(shù)字簽名軟件簽署私人密匙前被“壓縮”為一種保密的格式。它的典型應用是對一段信息(message)產(chǎn)生信息摘要(message-digest),以防止被篡改。通俗地說MD5碼就是個驗證碼,就像我們的個人身份證一樣,每個人的都是不一樣的。MD5碼是每個文件的唯一校驗碼(MD5不區(qū)分大小寫,但由于MD5碼有128位之多,所以任意信息之間具有相同MD5碼的可能性非常之低,通常被認為是不可能的),憑借此特性常被用于密碼的加密存儲、數(shù)字簽名及文件完整性驗證等功能。通過MD5驗證即可檢查文件的正確性,例如可以校驗出下載文件中是否被捆綁有其它第三方軟件或木馬、后門(若是校驗結(jié)果不正確就說明原文件已被人擅自串改)。
ICMP協(xié)議
ICMP(全稱是InterControlMessageProtocol,即Inter控制消息協(xié)議)用于在IP主機、路由器之間傳遞控制消息,包括網(wǎng)絡通不通、主機是否可達、路由是否可用等網(wǎng)絡本身的消息。例如,我們在檢測網(wǎng)絡通不通時常會使用Ping命令,Ping執(zhí)行操作的過程就是ICMP協(xié)議工作的過程。“ICMP協(xié)議”對于網(wǎng)絡安全有著極其重要的意義,其本身的特性決定了它非常容易被用于攻擊網(wǎng)絡上的路由器和主機。例如,曾經(jīng)轟動一時的海信主頁被黑事件就是以ICMP攻擊為主的。由于操作系統(tǒng)規(guī)定ICMP數(shù)據(jù)包最大尺寸不超過64KB,因而如果向目標主機發(fā)送超過64KB上限的數(shù)據(jù)包,該主機就會出現(xiàn)內(nèi)存分配錯誤,進而導致系統(tǒng)耗費大量的資源處理,疲于奔命,最終癱瘓、死機。
WAP攻擊
黑客們在網(wǎng)絡上瘋狂肆虐之后,又將“觸角”伸向了WAP(無線應用協(xié)議的英文簡寫),繼而WAP成為了他們的又一個攻擊目標。“WAP攻擊”主要是指攻擊WAP服務器,使啟用了WAP服務的手機無法接收正常信息。由于目前WAP無線網(wǎng)絡的安全機制并非相當嚴密,因而這一領域?qū)⑹艿皆絹碓蕉嗪诳偷?ldquo;染指”。現(xiàn)在,我們使用的手機絕大部分都已支持WAP上網(wǎng),而手機的WAP功能則需要專門的WAP服務器來支持,若是黑客們發(fā)現(xiàn)了WAP服務器的安全漏洞,就可以編制出針對該WAP服務器的病毒,并對其進行攻擊,從而影響到WAP服務器的正常工作,使WAP手機無法接收到正常的網(wǎng)絡信息。
什么是rootshell?
通過一個溢出程序,在主機溢出一個具有root權(quán)限的shell。
什么是root?
Unix里最高權(quán)限的用戶,也就是超級管理員。
什么是admin?
windows NT,2K,XP里最高權(quán)限的用戶,也就是超級管理員。
