黑客入侵前的信息收集

日期: 2009年6月28日 | 标签:入侵, 黑客 | 阅读:849

一、信息收集的重要性
一次入侵的成功与前期的信息收集关系很大，信息收集分为两种：
1.使用各种扫描工具对入侵目标进行大规模扫描，得到系统信息和运行的服务信息。这涉及到一些扫描工具的使用。

2.利用各种查询手段得到与被入侵目标相关的一些信息，通常通过这种方式得到的信息，会被社会工程学这种入侵手法用到，而且社会工程学入侵手法也是最难察觉和防范的。

社会工程学（Social Engineering）：通常是利用大众的疏于防范的诡计，让受害者掉入陷阱。该技巧通常以交谈、欺骗、假冒或口语用字等方式，从合法用户中套取敏感的信息，例如：用户名单、用户密码及网络结构，即使很警惕很小心的人，一样也有可能被高明的社会工程学手段损害利益，可以说是防不胜防。网络安全是一个整体，对于某个目标在久攻不下的情况下，黑客会把矛头指向目标的系统管理员，因为人在这个整体中往往是最不安全的因素，黑客通过搜索引擎对系统管理员的一些个人信息进行搜索，比如电子邮件地址、MSN、QQ等关键词，分析出这些系统管理员的个人爱好，常去的网站、论坛，甚至个人的真实信息。然后利用掌握的信息与系统管理员拉关系套近乎，骗取对方的信任，使其一步步落入黑客设计好的圈套，最终造成系统被入侵。这也就是我们常说的“没有绝对的安全，只有相对的安全，只有时刻保持警惕，才能换来网络的安宁”。

本文着重介绍第二种信息收集的方法，介绍了几种常见的信息收集方法，掌握了这几种方法对于学习黑客入侵会起到事半功倍的效果，只经过一些简单的操作就可以得到一些服务器的Webshell，甚至于系统管理权限。

二、 Google Hacking
Google Hacking在国外已经流行很久了，在国内得到广泛应用是最近1，2年的事，不少入侵者利用Google强大的搜索功能来搜索某些关键词，找到有系统漏洞和Web漏洞的服务器，打造成自己的肉鸡，下面我们来看一下如何找到可能有漏洞的服务器。

1. 常用语法
intitle：搜索网页标题中是否有我们所要找的字符。
cache：搜索Google里关于某些内容的缓存。
filetype：搜索指定类型的文件，例如：filetype:mdb。
site：搜索域名为指定的某关键词，比如：site：com.cn，是搜索域名为com.cn的网站

利用上面提到的语法和关键词我们就可以对有漏洞的服务器进行搜索了，还有一些搜索方法，大家可以到http://www.google.com/intl/zh-CN/help.html看一下。

2. 综合利用
upload site:jp
upfile site:jp
filetype:mdb inurl:dvbbs
filetype:inc site:jp
intitle:admin site:jp

上面的搜索关键词我想不用解释大家也会明白。还有很多种组合，大家可以发挥想象，套用一句广告词：没有做不到，只有想不到。这个网站列出了Google Hacking Database（http://johnny.ihackstuff.com/index.php?module=prodreviews），感兴趣的朋友可以去看一下。

3.Google的另一个用法
通过搜索下面的关键词，可以找到不少不同类型的分布在世界各地的网络摄像头：

inurl:viewerframe?mode=
inurl:indexFrame.shtml Axis
intext:”MOBOTIX M1″ intext:”Open Menu”
intitle:”WJ-NT104 Main Page

图1.1，图1.2，图1.3，图1.4所示就是打开搜索结果连接后所看到的网络摄像头拍摄的画面。

图1.1

图1.1 搜索inurl:viewerframe?mode=得到一个结果

图1.2

图1.2 搜索inurl:indexFrame.shtml Axis得到一个结果

图1.3

图1.3 搜索intext:”MOBOTIX M1″ intext:”Open Menu”得到一个结果

图1.4

图1.4 搜索intitle:”WJ-NT104 Main Page得到一个结果

三、 Whois查询
Whois协议，是一种信息服务，通过向服务器的TCP端口43建立一个连接后，对输入的关键词进行查询，能够提供有关所有DNS域和负责各个域的系统管理员数据，其中记录着每个互连网站点的详细信息，其中包括域名、服务器地址、联络人、电话号码和地址。我们可以以Web方式查询，比如到http://panda.www.net.cn或者http://whois.webhosting.info查询，假设我们要查询www.google.com的域名信息，我们到http://panda.www.net.cn查询的结果如图1.5；也可以使用一些相关的软件进行查询，比如Winwhois.exe，如图1.6。

图1.5

图1.5 在http://panda.www.net.cn查询google.com的结果

图1.6

图1.6 在Winwhois查询google.com的结果

四、 Snmp协议
简单网络管理协议（Simple Network Management Protocol）是目前在计算机网络中使用最广泛的网络管理协议，它可以用来集中管理网络上的设备，使网络设备彼此之间可以交换管理信息，网络管理员可以利用它管理网络的性能，定位和解决网络故障，进行网络规划。许多不同的管理软件和管理系统都使用这个协议。Snmp的安全问题是别人可能控制并重新配置你的网络设备以达到危险的目的：取消数据包过滤功能、改变路径、废弃网络设备的配置文件等。

我们在使用一些扫描器对网络扫描时常会发现一些Snmp口令为 “public”的计算机，通过这个黑客就有可能对SNMP中MIB（Management Information Base，管理信息库，常应用与Snmp和通用网络接口协议的数据库）进行访问，从而收集该计算机的一些信息。使用Resource Kit里面的工具snmputil就可以达到这个目的，常用的命令格式有下面一些：

snmputil walk 对方ip public .1.3.6.1.4.1.77.1.2.25.1.1 尝试获得对方机器系统用户列表
snmputil walk 对方ip public .1.3.6.1.2.1.25.4.2.1.2 列出系统进程
snmputil walk 对方ip public .1.3.6.1.4.1.77.1.2.25.1.1 列系统用户列表
snmputil get 对方ip public .1.3.6.1.4.1.77.1.4.1.0 列出域名
snmputil walk 对方ip public .1.3.6.1.2.1.25.6.3.1.2 列出安装的软件
snmputil walk 对方ip public .1.3.6.1.2.1.1 列出系统信息

更详细的资料大家可以访问http://www.telecomm.uh.edu/stats/rfc/HOST-RESOURCES-MIB_.html和http://www.intermapper.com/contrib/mibs/Host-Resources-MIB获得。

五、认识网站的“邻居”
现在不少网站被黑并不是因为自身的Web程序存在漏洞，而是黑客通过入侵了与其在同一个虚拟主机的网站，而后黑掉这些网站的，这种攻击手法叫做旁注法。如果大家还不明白，我给大家打个比喻：一个虚拟主机相当于一座大楼，其中有一些房间，每个房间代表一个网站空间，每个房间从大楼外面看都有一个窗口(表示Web浏览服务)，假设入侵者想通过A房间的窗口进入到A房间，可是A网站的窗口关的很严(没有漏洞)，无法入侵进去，所以只能靠别的窗口没有关严（存在漏洞）进入大楼内部，再想办法进入A房间。这种入侵方法自去年起开始被国内的黑客广泛使用。关于虚拟主机站点查询的工具有很多，由明小子开发的旁注WEB综合检测程序（如图1.7）和桂林老兵开发的虚拟主机站点查询工具（如图1.8）是其中比较不错的两款。