黑客攻击一般过程
-
隐藏自己
-
预攻击探测
收集信息,如OS类型,提供的服务端口
-
采取攻击行为
破解口令文件,或利用缓存溢出漏洞
-
获得攻击目标的控制权
寻找网络中其它主机的信息和漏洞
-
继续渗透网络,直至获取机密数据
-
消灭踪迹
隐藏自己
-
从已经取得控制权的主机上通过telnet或 ssh 跳跃
-
从 windows 主机上通过 wingates等服务进行跳跃
-
利用配置不当的代理服务器进行跳跃
-
先通过拨号找寻并连入某台主机,然后通过这台主机
预攻击探测
相关网络命令
如:ipconfig、netstate、tracert等
手工获取Banner
网络信息收集方式
-
Ping Sweep
-
Dns Sweep
-
Snmp Sweep
-
Tracert
-
Nslookup(zone transfer)
-
浏览器
-
NETCRAFTWHOIS
-
rusers和finger
网络漏洞扫描
-
NMAP
-
NESSUS
-
NIKTO
-
X-SCAN
-
RETINA
消灭踪迹
-
删除添加的贴
-
删除/修改日志
-
删除临时使用文件
消灭踪迹
删除临时账号:msgid。
C:>net user msgid /del
消灭踪迹
删除或修改日志
删除临时上传文件
C:>del WHOAMI.EXE
清除系统事件
消灭踪迹
Windeows日志
-
应用程序日志
-
安全日志
-
计划任务日志
-
IIS等应用日志
UNIX系统日志
日志文件 |
目标 |
/etc/rc.log/etc/rc | 运行记录 用读取文本文件的方法 |
/var/adm/syslog/syslog.log | 一般系统日志 注意提示信息及对应的 |
/var/adm/sw/*.log | 软件安装日志 日期,分析发生的相关问题 |
/var/adm/wtmp | 用户登录信息 用last命令查看 |
/var/adm/btmp | 用户登录失败信息 用lastb命令查看 |
/var/sam/log/samlog | SAM日志 |
/var/spool/mqueue/syslog | sendmail日志 |
/etc/shutdownlog | 关机(shutdown)信息 |
/usr/adm/diag/LOGxxx | 用工具查看 |
/var/adm/nettl.LOG* | 网络日志 |
/var/adm/crash core | dump文件 |
文章来源:运维星火燎原,侵删
原文始发于微信公众号(网络安全资源库):黑客攻击的一般过程
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论