NOVOTS KMS 词汇表 Glossary    联系我们 Contact Us
查询 Search  
   
按类别浏览 Browse by Category
NOVOTS KMS .: 病毒安全 .: 信息安全基础之简单攻防

信息安全基础之简单攻防

转载于51CTO论坛,原文地址:http://bbs.51cto.com/thread-825229-1.html

1、实例:数据库安全

数据库mysql默认安装后存在root空口令漏洞,如果不补上的话,任意远程主机都可以使用如下命令连接你服务器上的mysql数据库,任意编辑,修改,删除数据库。

• mysql –h218.184.196.9 -uroot
解决方法:设置root密码
• #./mysqladmin -u root password "passwd"
或者:
mysql>grant select,insert,update,delete on *.*to root@"%" identified by "passwd"
2、实例:数据库安全
• SQL Server可能存在SQL空口令漏洞。
对该漏洞的可以使用supersqlexec工具,连接成功后,在命令行中输入:
net user guest /active:yes
>The command completed successfully.
net user guest 123456
> The command completed successfully
net localgroup administrators guest /add
> The command completed successfully.这几个命令意思是将guest用户激活,密码是123456,并提升为admin
解决方法运行SQLServer管理工具,给SA帐号加上强壮密码。
另外,最好执行SQL命令行:“use mastersp_dropextendedproc 'xp_cmdshell'”这样就算攻击者获得SA帐号密码远程连接后,也不能调用CMDSHELL了。
3、实例:数据库安全很多网站使用了ASP整站程序,下载稍微修改即加以使用。
找到数据库路径,如
http//www.***.net/ADMIN/DATA/news30000.mdb
下载,用MS office acess打开,双击Admin表,很有可能看到明文形式的密码(设计良好的程序不会以明文显示)。
使用网站的管理员登录入口,进入网站的后台管理页面。
解决方法修改数据库的名称和路径,以及相应的连接。
可以手工修改或者采用修改工具。
如某论坛安装程序释放后的临时目录为c:\Temp,打开data文件夹,可以看到一个名为“Dvbbs7.mdb的数据库文件。可以将它改为“i168love97943298you324#666.asp”
c:\Temp中找到名为CONN.asp的文件,找到“Db = data/Dvbbs7.mdb”这一行,改为刚才修改后的名称。
43389漏洞输入法漏洞
• windows2000中文简体版终端服务
使用mstsc进行连接
登录界面出现后,使用全拼输入法,点击帮助->操作指南->在最上面右击->跳转到url->c:\windows\system32或者[url=file:///C:/]file:///c:\[/url]


创建net.exe的快捷方式
属性里在net.exe后添加
user guest active:yes
同样的,可运行:
net user winadin /add
net user winadin "xxxx"
net localgroup administrators winadin /add


5、防范
打补丁,sp2以上已经没有该漏洞。
删除输入法的帮助文件。
c:\windows\help
winime.chm 输入法操作指南
winsp.chm 双拼输入法
winzm.chm 郑码输入法
winpy.chm 全拼输入法

wingb.chm 内码输入法
6、防范意识1.及时给系统打补丁,防止绝大多数利用漏洞的攻击。
2.使用netstat查看与主机的连接,如果有可疑情况(如陌生的IP,端口号大于1000),断开网络连接,使用杀毒软件看是否有木马。

3.检查主机中是否多了陌生的用户,或guest用户是否被激活。net user命令查看所有用户,net user Guest
4.经常查看系统开了哪些服务,把不必要的或不认识的关掉。net start查看服务,net stop "server name"关掉服务,services.msc修改注册表。
7、防范措施• 1.禁用Guest帐号
• 2.停止共享
• 3.关闭不必要的服务
禁止建立空连接
禁用Guest帐号
Guest帐号禁用。有很多入侵都是通过这个帐号进一步获得管理员密码或者权限的。
计算机管理->本地用户和组->Guest帐号上面点击右键,选择属性,在常规页中选中账户已停用


停止共享点击开始→运行→cmd,然后在命令行方式下键入命令“net share”,可以查看目前的共享。
管理工具→计算机管理→共享文件夹→共享,在相应的共享文件夹上按右键,点停止共享


或者
net share ipc$ /delete
net share admin$ /delete
net share c$ /delete
net share d$ /delete
net share e$ /delete
关闭不必要的服务 尽量关闭不必要的服务,如Terminal ServicesIIS(如果你没有用自己的机器作Web服务器的话)、RAS(远程访问服务)等。
烦人的Messenger服务也关掉, 否则可能会收到有人发的网络广告。
管理工具→计算机管理→服务和应用程序→服务。
注意,彻底停止共享的办法是:关闭Server服务,也即lanmanserver,但如果对外提供IIS服务,则不要关闭这个服务。


禁止建立空连接禁止建立空连接的两种方法
• (1)修改注册表:
HKEY_Local_Machine\System\CurrentControlSet\Control\LSA下,将DWORDRestrictAnonymous的键值改成1
(2)修改Windows的本地安全策略:
设置本地安全策略→本地策略→选项中的RestrictAnonymous(匿名连接的额外限制)为不容许枚举SAM账号和共享


8、口令破解:ZIP密码破解


• advanced office password recovery
• advanced PDF password recovery
• ...
9Windows帐户密码
Windows采用安全账号管理器(SAM)机制。用户名和口令经过加密hash变换后存放在%systemRoot%\System32下的sam文件中。
• L0phtCrack通过破解SAM文件来获取用户名和密码。
• LC3LC5,字典结合暴力破解,速度较快。
L0phcrack的选项中的“Open Wordlist File”提供字典文件的位置,并提供了“Hybrid
Attack”(混合破解)“Brute Force Attack”(野蛮破解),混合破解会利用像“Password12345”这样的简单组合来测试SAM的密码。
• John主要是用来对UNIX“Password”进行破解的一个强大的工具,但是它同样的具有破解
“Windows NT LanManager”散列加密值的功能。
10、口令攻击演示:XP/2000密码


问题:系统运行后,无法直接打开和拷贝sam文件。
从光盘或软盘启动。
或者安装了多个操作系统,启动另一个系统,可接触目标系统所在盘。
删除目标系统的sam或改名。
重启动目标系统,空密码即可进入
11Windows的事件查看器 程序->控制面板->管理工具->事件查看器


12、启用安全日志
安全日志默认是停用的,键入mmc /a进行配置

13、对安全事件审核

14、口令安全设置

15、其它安全选项

16、日志文件系统日志,安全性日志和应用程序日志分别位于
\%systemroot%\system32\config目录下。
secevent.evtsysevent.evt,appevent.evt
应用程序有自己的日志,如IIS每天生成一个日志,如文件名ex061123表示061123号产生的日志,记录的是wwwftp的日志。
• IISWWW日志位于系统盘中
\%systemroot%\system32\logfiles\w3svc1目录下。
• IISFTP日志位于系统盘中
\%systemroot%\system32\logfiles\msftpsvc1目录下。


这篇文章对你多有用?

用户评语

添加评语
当前还没有评语.


.: .: .: .: .:
[ 登陆 ]
北京护航科技有限公司 2006

Novots Technologies Limited