防火墙后面的脆弱
现在的入侵好象基于系统的入侵已经越来越少了,大部分都已经转向了脚本方面的攻击。其中一个很大的原因我想是因为很多主机都配置了防火墙,其已经把脆弱的主机和危险的因特网划清了界限。攻击防火墙不是一般的人可以做到,很多的黑客教程的开篇在正式的攻击之前都会先telnet某一个端口看反映时间或者其他的方式来探测是否有防火墙,对于有防火墙的大部分人都会退却或者只能寻求脚本方面的攻击。相对于系统攻击来说,脚本攻击成功获得权限很低,并不能一下子就获得入侵者所需要的东西,他们需要耐心和长时间的等待,我就曾经为得到某个权限而等待一个月之久。
防火墙是一个多么有意思的东西,管理员装个防火墙之后就可以不必理会很多的东西,譬如一些针对445及其他的常见端口的攻击,因为他可以保证极少的东西对外敞开(注意,他并不是根本上禁止而只是屏蔽。)。对于入侵者呢,初级的入侵者对防火墙肯定会望而却步。这是不是一件好事呢?未必!他给人的假象会害死很多的人!因为他让人认为防火墙后面的主机是安全的,让人疏于防范,而一旦安全意识淡薄,主机就危险了。
这种假象给有耐心的入侵者的是什么呢,假设入侵者不能直接闯进系统,而是通过80端口也就是脚本攻击得到了所谓的webshell,权限很低。假如管理者的认为主机是安全的话,就不会对主机做很多的配置,他会认为防火墙和杀毒软件做了一切!这里来看看因为这种安全隐患带来的一般提升权限的方法吧!比较传统点的有
1.如果管理员为了管理方便在服务器上装了pcanywhere服务端,到系统盘的Documents and Settings/All Users/Application Data/Symantec/pcAnywhere/中下载*.cif本地破解就使用pcanywhere连接就ok了,一般的管理员都不会去管这个的,这就是默认配置的后果。
2.如果一些系统服务,或者随系统启动自动启动的程序和管理员经常使用的软件,处于默认可写的目录,而且你有权限写的话,还犹豫什么呢,先改掉名字然后绑定木马传上去替换吧!
3.还是配置的原因,你可以留心下conn和config ,pass这类型的文件,运气好的话还真有点好东西的。
……
还有很多其他的,好象都是在钻管理员的空子,但是这些都是谁给我们的呢?不就是可爱的管理员么?不就是因为管理员对于防火墙类软件的信任么?只是说这些好象还不能让人信服,也许你认为配置并不是系统的
首页图片:
用于在首页的图片文章处显示
直接从上传图片中选择:
内容分页方式:
注:手动分页符标记为“[NextPage]”,注意大小写
