欢迎来到【血梦博客】 今天是:2020年07月12日 星期日
站长联系QQ:635948183
当前位置: 网站首页> 渗透测试> 科普:黑客入侵网站究竟是怎么回事?

科普:黑客入侵网站究竟是怎么回事?

作者:血梦 日期:2020-03-21 浏览:144分类: 渗透测试 已提交百度收录

作为一个曾经入侵过美军服务器并自以为傲,但现在回想起来就各种尴尬症一齐发作的过来人,就向各位侃侃网站入侵的那些事。

先说历史

遥想10年前,有一个不喑世事的熊孩子,那是一个阳光明媚的下午,而且当天晚上还是英语晚自习,熊孩子们都懂的……

熊孩子在学校逛了一圈,没看见班主任的摩托车,低头一看,时间才14:30,顿时心跳加速!随后就步履生风的走到了校园的后墙附近……

熊孩子低着头,假装在找东西,实则眼睛在小心的四下打量着周围的情况,发现没有意外情况后,他瞄了一眼墙角的摄像头,嗯,电源灯果然还没亮,熊孩子的嘴角不由自主的露出得意的微笑。随后他小心翼翼的从学校的后墙翻了出去,只见他砰的一声落在地上,双手拍打一下沾满土的裤腿,熊孩子抬起头,顿时感觉心里一阵轻松,看着外面的蓝天,仿佛能听见他的心里在呐喊“我,安然无恙的逃出来了!”

鲁迅说过,浪费别人的时间就等于谋财害命,浪费自己的时间就等于自杀,这大好时光必须分秒必争!想到这里,他抱着急切的心情一路小跑,便到了网吧。

一进入网吧,他看着那空着的一排排机器,心里的优越感油然而生,嘴里呼吸着网吧那熟悉的味道,向老板说道“老板,会员卡,44号上机!”

老板意味深长的看了一眼还穿着校服的他,瞬间向其表达了21层含义,似乎在说“如果所有学生都像这个熊孩子一样该有多好……”。说时迟那时快,此时网吧老板已经拿着他的会员卡贴近了刷卡机,只见他屏住呼吸,此时看着老板刷卡的动作已经变成了慢动作,接近了…接近了!嘀~的一声,嘢!绿灯亮了!熊孩子的嘴角再次不由自主的露出得意的微笑,并在心中用0.1秒钟的时间跳完了一曲《嘻唰唰》以示庆祝!(那时还没有《江南style》)

他强压着兴奋的心情,若无其事的走进了44号机器,打开电源、开机、连接网吧服务器、下载会员数据库、修改自己会员卡余额、上传会员数据库并覆盖、下载“我的工具包”、断开与网吧服务器的连接,便完成了例行公事的准备工作。

他打开了工具包中的一个记事本,里面一条以mil结尾的域名引起了熊孩子的注意,一个军方网站都能出如此低级的错误,嗯,今天就拿它下手吧。

随后就是一堆工具群起而攻之,先注入、再猜目录、破解MD5、登后台上传一句话木马,然后再小马传大马,三下五除二就拿下了网站权限(也叫WebShell),然后利用Serv-U本地提权,也就拿到了cmdshell,那时网站也入侵的多了,已经没啥感觉了,主要重头戏在后面,就是翻硬盘,扫描局域网,找敏感文件,这才是最有趣的事。

可能是熊孩子运气好,竟然在这台服务器中找到了美国阿拉斯加州某兵团工程的建设图纸、部分隐蔽山体工程的CAD图、甚至还有调查中国南海的一些谍报(由此可见美国对南海是蓄谋已久),而熊孩子也因为这次撞大运有了吹嘘的资本,而且一吹就是3年……

我在入侵美国军方服务器时搞到的一些东西 - A1Pass的清风月朗居


Low Level:其实,你只是运气不好

其实各位看官通过上面熊孩子的事迹应该可以管中窥豹了,所谓的黑客入侵网站真的不是有多高技术含量的事情,绝大部分黑客其实仅仅是工具流,根本就不知道具体技术细节,甚至都不知道技术原理,而一部分所谓的大牛也就是脚本小子级别而已。

那么为什么你的网站会频频被黑呢?其实,仅仅是运气不好罢了,千万不要想有什么黑客盯上你的网站了,莫说你的网站没有什么价值,就算是你的网站非常有价值,被黑的话往往也都是人品问题。

很多黑客(包括找目标练手的初学者与各大漏洞平台排名前10的部分大牛们)采用的都是广撒网策略,新出了某个漏洞之后,就配置好工具一天24小时的不停扫描,拿下权限后就提交(或入侵练手),你问他这个漏洞的原理是啥,他八成会一脸无辜的看着你,摊开双手后摇摇头……

你也许会说,能配置扫描工具就很牛X呀,你看我就不会配置。这就是所谓的“隔行如隔山”了,你看着难,但实际上就是工具的使用,总体使用难度不会比微信大多少。

这类黑客黑你的网站不是因为他与你有任何过节,也不是因为他盯上了你网站中的什么资源,而是因为你的IP段运气不好,人家黑客随便填了个IP段,你就包含在内,而且恰好存在漏洞。或是你在搜索引擎中有些敏感关键词排名较高,例如Discuz 3.1论坛有漏洞,那么黑客首先要做的就是搜索“Powered by Discuz! X3.1”批量寻找此类网站,而你恰好排在前面。

百度搜索“Powered by Discuz! X3.1”的到的结果


Wicked Level:朋友,听说过社会工程学吗

批量盲打的看起来很机智,但都是靠天吃饭,如果需要渗透指定目标网站的话,就很难做到旱涝保收了,那有没有什么办法让黑站的技术含量更高一些呢?肯定有,那就是大名鼎鼎的社会工程学!(注:此段文字为原创,如有雷同请对号入座)

经常看咱们“黑客说”知乎专栏的朋友应该都清楚,所谓的社会工程学其实就是利用人性的弱点,说的再直白些就是欺骗。

因此,黑客们如果在入侵的过程中使用到了社会工程学,那么肯定是没形成自己成体系的入侵套路,或常用入侵套路受阻,因此必须要社会工程学助力。

那么黑客们都在什么节点上使用所谓的社会工程学呢?按照技术难度高低,具体如下:

  • 通讯工具社工:此阶段的黑客对目标系统一筹莫展。首先第一步就是通过QQ好友推荐功能、泄漏的QQ群关系数据库等社工工具、社工库得到系统管理员的朋友或公司内部相关人员的关键信息(例如Email、手机号、座机号、姓名、职位以及与系统管理的关系等)。然后就是通过这些信息进行二次、三次甚至是四次挖掘(说白了就是利用现有Email、手机号、座机号等信息获得更深一步的信息)。最后就是组合相关信息编织一个陷阱,引系统管理员入坑,如果管理员入坑了,且陷阱编织的足够完善,那么就极有可能直接获得目标系统的最高权限;
  • 跨站攻击社工:此阶段的黑客已经找到了网站中的跨站攻击漏洞(也称之为XSS漏洞,形成原因是将用户输入的部分内容当成JS代码运行),并能为其所用。黑客可以通过给管理员发消息、发留言、发申请等方式,让管理员在查看攻击信息时触发JS脚本,并将管理员的登录信息发送到指定地点,随后黑客就可以通过伪造管理员的登录信息进入系统后台,执行进一步的入侵操作(值得注意的是,目前很多应用程序的界面其本质仍是网页形式,例如QQ群就曾存在过XSS漏洞,只要受害者通过QQ在任何情况下看到这个群名,例如接受群邀请等,那么黑客就能窃取到受害者QQ的登录信息。除此之外,例如阿里旺旺、钉钉等都或多或少存在类似问题);
  • 旁注攻击社工:此阶段的黑客已经拿下了同一网域下的其他主机权限。如果想要拿下目标系统的权限,就要在局域网内嗅探到目标系统管理员的FTP、TELNET等常用管理入口的帐号与密码。因此这时大多数黑客的做法就是开着内网嗅探工具,并且想方设法让目标系统运行的不正常(例如使用DDOS洪水攻击或使你的网站出现访问问题等),引导管理员登录FTP等管理入口查看问题,而只要管理员一登陆,他就通过嗅探得到了相关用户名与密码;
  • 木马攻击社工:此阶段的黑客已经拿下了网站权限(也叫WebShell)。如果想要拿下目标系统的全部权限,就要借助于本地应用配置漏洞或本地溢出漏洞,如果没有漏洞的话就比较难办了,这时聪明且有些技术储备的黑客就会利用系统的一些特性,例如替换部分要求权限较低的系统命令,通过设置文件夹自动播放进而自动添加管理员帐号,或者是替换目标系统中的常用工具,将其捆绑上免杀木马,并且诱骗管理员运行等。这一步的关键就是木马的捆绑与免杀(也正因如此我当时为了巩固技术才写了《黑客免杀入门》),这就涉及到了底层的软件安全相关的知识,如果成功实施,基本上就能直接获得系统的最高权限了。
《黑客免杀入门》任晓珲 著,黑龙江电子音像出版社,2008年

当然了,在黑客的实际入侵过程中,社工技术的应用还是非常宽泛的,就如同骗术一样,每天都在变着花样翻新,也正因如此,给很多企业的信息安全提出了很大的挑战。


Monster Level:不怕黑客会武术,就怕黑客懂套路

如果说经常依靠社会工程学的黑客是初入门庭,那么形成自己渗透套路的黑客就已经是大牛级别了。这类黑客在多次渗透入侵的过程当中总结了各种各样的技巧(含社会工程学),并且将其有机的组合成一套趋于标准化的入侵流程,从而将入侵渗透变成了一个半自动的解题过程。

这类黑客已经基本掌握了1~3门脚本语言,有能力通过技术角度(非人品角度或测试角度)挖掘原创漏洞,并有能力通过脚本的编写将部分入侵流程自动化。

而对于套路,其实江湖上也早有传闻,其中作者不详的《渗透测试三字经》就是我认为其中比较有代表性的产物,因此对其做了简单的注解,以方便初学的朋友理解:

进谷歌 找注入:通过谷歌的“site”命令搜索网站下的符合要求的URL,进而快速找到注入点

没注入 就旁注:没有注入漏洞,就通过IP地址寻找同一服务器其它网站的漏洞,以曲线救国

没旁注 上零日:旁注如果也没有,就试试站点0Day,站点0Day没有,就试试服务器0Day

没零日 猜目录:0Day都废了之后,尝试猜网站的关键目录,猜出目录后社工管理员密码

没目录 就嗅探:如果目录也没猜到,其实嗅探也是没基础的,这个不成立

爆账户 找后台:爆管理员账号密码(通过SQL注入或特定的站点漏洞),找出管理后台登陆

传小马 放大马:通过后台过滤不严的漏洞,上传小马/一句话木马,然后用小马传大马

拿权限 挂页面:得到网站权限(也叫WebShell)后,就能挂黑页了,例如XXX到此一游等

放暗链 清数据:如果是商业化的入侵,就可以往首页挂入买主的暗链了

当然,既然有普通版的三字经,那么就一定有完全版的三字经,下面就是凌晨科技CEO姚威演进的企业版《渗透测试三字经》,大家共赏:

企业版《渗透测试三字经》


God Level:有资源、有技术,顶级黑客中的“硬茬子”

但是通过《渗透测试三字经》的细节来看,其实本质上仍然是以工具的使用为主,辅以部分脚本语言的话也就是做些自动化的活,难道这就是所谓的大牛了吗?

当然不是,正所谓一山更比一山高,大牛后面仍然有大牛,而这部分大牛身后的大牛(我们暂且将其称之为老牛),大部分从技术上来讲与Monster Level的大牛们没有本质的不同,更多的是资源上的差异。

这部分老牛有能力调动国内小半个安全圈子内的资源为其所用,遇到不同的问题就能找到专门擅长突破某些问题的老牛前来助阵,甚至还未浮出水面的各种0Day也可以搭个人情就能拿过来用用,下面这段话很好的从无产阶级角度深刻的描述了各位老牛成功的原因:

我们无产阶级不能允许资本主义的如此暴政!虽然这次作战失败了,但无产阶级的力量是无穷的,我没有了,还有千千万万个我!

除了资源以外,更有极个别的老牛更是及各种顶级武功于一身的,这种老牛不单能够倒背《渗透测试三字经》(还得是企业版的),而且上能挖二进制漏洞,中能解密通讯协议,下能免杀病毒木马。这种老牛在渗透的过程中Metasploit与IDA一起上,Wireshark与x64Dbg一起用,时而用Python写验证代码,时而用Wireshark看数据流,时而用IDA看反汇编,时而抄起x64Dbg一顿疯狂调试,没准你还能看到他皱着眉头打开WinDBG,没错,他那是在准备调试系统内核……

看着这种大牛做渗透,简直就是在展示现今人类世界中的黑客技术大观,而且是现场直播的,那种感觉就像是在看贝多芬谱曲、就像是在看达芬奇绘画、就像是在看米开朗基罗雕刻、就像是在看马爸爸与王爸爸们装X,给人带来的都是灵魂深处的洗涤。

但是这类顶级黑客中的“硬茬子”,十个老牛中也未见能找出一个,如果你发现身边有这类老牛中的老牛,啥都别说了,抓紧抱大腿吧!

关灯