友情提示:如果本网页打开太慢或显示不完整,请尝试鼠标右键“刷新”本网页!阅读过程发现任何错误请告诉我们,谢谢!! 报告错误
3K电子书 返回本书目录 我的书架 我的书签 TXT全本下载 进入书吧 加入书签

反黑风暴-第章

按键盘上方向键 ← 或 → 可快速上下翻页,按键盘上的 Enter 键可回到本书目录页,按键盘上方向键 ↑ 可回到本页顶部!
————未阅读完?加入书签已便下次继续阅读!




SQL=〃SELECTmem_Name;mem_Password;mem_Status;mem_LastIPFROMblog_MemberWHEREmem_Name='〃&memName&〃'ANDmem_Password='〃&memPassword&〃'ANDmem_Status='〃&memStatus&〃'〃

CheckCookie。OpenSQL;Conn;1;1

SQLQueryNums=SQLQueryNums+1

IfCheckCookie。EOFANDCheckCookie。BOFThen

Response。Cookies(CookieName)(〃memName〃)=〃〃

memName=Empty

Response。Cookies(CookieName)(〃memPassword〃)=〃〃

memPassword=Empty

Response。Cookies(CookieName)(〃memStatus〃)=〃〃

memStatus=Empty

Else

IfCheckCookie(〃mem_LastIP〃)Guest_IPOrisNull(CheckCookie(〃mem_LastIP〃))Then

Response。Cookies(CookieName)(〃memName〃)=〃〃

memName=Empty

Response。Cookies(CookieName)(〃memPassword〃)=〃〃

memPassword=Empty

Response。Cookies(CookieName)(〃memStatus〃)=〃〃

memStatus=Empty

EndIf

EndIF

CheckCookie。Close

SetCheckCookie=Nothing

Else

Response。Cookies(CookieName)(〃memName〃)=〃〃

memName=Empty

Response。Cookies(CookieName)(〃memPassword〃)=〃〃

memPassword=Empty

Response。Cookies(CookieName)(〃memStatus〃)=〃〃

memStatus=Empty

EndIF

对用户和密码判断流程是:如果用户Cookie信息中的memName值不为空,就从数据库验证用户名和密码,如果验证出错,则清空Cookie信息。上述验证程序并没有考虑MemName为空的情况,如果MemName为空,则Cookie信息是不被清空的。

由于文件上传页面只对memStatus进行验证,黑客手工将menStatus的值修改为“SupAdmin”或“Admin”就可以拥有上传权限了。

(2)利用Cookie欺骗获得上传权限

在网上搜索“PoweredbyL…BlogV1。08”程序,可搜索到很多使用“L…Blogv1。08(SE)Build0214”程序的博客网站。由于这些网站存上一个上传漏洞,因此,可以利用Cookie欺骗来获得这些网站的上传权限。下面以网络上搜索到的任意一个使用“L…Blogv1。08(SE)Build0214”程序的博客网站为例,介绍实现Cookie欺骗攻击的具体操作方法。

步骤01打开搜索到的博客网站,进入其首页中,单击“用户登陆”区域中的【注册】按钮,注册一个新用户。

步骤02进入“用户注册”页面,在其中输入用户名“shuangyuzuo7”,密码“123456”及电子邮箱。单击【提交】按钮,即可成功注册该用户并登录到博客网站中。

步骤03从网上下载并运行“老兵Cookies欺骗工具”,在其地址栏中输入该博客网站登录界面的地址,并单击【连接】按钮,即可显示“登陆成功”界面。在“老兵Cookies欺骗工具”主窗口中的“Cookie”文本框中看到当前页面的Cookie信息:

loveyuki%5Fzzwb=memPassword=E10ADC3949BA59ABBE56E057F20F883E&memStatus=Member&memName=shuangyuzuo7;ASPSESSIONIDSCQCDRRB=NOJMGPADFOCHCOFAABOJJMOM,其中包含了登录的用户名和密码等信息。黑客可以对Cookie信息进行修改,欺骗Blog程序,使其认为登录用户的身份是管理员。

步骤04单击工具栏中的【设置自定义的Cookies】按钮,即可对Cookie信息进行修改。将Cookie信息中的“memStatus=Member&”修改为“memStatus=SupAdmin”或“memStatus=Admin”。

步骤05继续保持【设置自定义的Cookies】按钮处于按下状态,退出当前的用户登录,重新打开Blog首页,虽然此时没有登录,但已具有管理员的权限。

获得管理员权限后,黑客即可利用专门的漏洞上传工具将ASP木马上传到Blog服务器上,进而对网站进行攻击。

第二章 局域网中的ARP欺骗与防范

在局域网中,通过ARP协议可以完成IP地址转换为第二层物理地址(即MAC地址)。通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞。为了防止计算机遭受ARP欺骗,用户还应该掌握一些防范软件的使用方法,利用它们来截获ARP攻击。

10。2。1认识ARP

ARP是“AddressResolutionProtocol”的缩写,即地址解析协议,它是一种将IP地址转化成物理地址的协议。在TCP/IP网络环境下,每个主机都分配了一个32位的IP地址,这种互联网地址是在网际范围标识主机的一种逻辑地址。

为了让报文在物理网路上传送,必须知道对方目的主机的物理地址。这样就存在把IP地址变换成物理地址的地址转换问题。具体说来,ARP就是将网络层(IP层,相当于OSI的第三层)地址解析为数据连接层(MAC层,相当于OSI的第二层)的MAC地址。

在局域网中,网络中实际传输的是“帧”,帧里面有目标主机的MAC地址。在以太网中,一个主机要和另一个主机进行直接通信,除要知道目标主机的网络层逻辑地址(如IP地址)外,还必须要知道目标主机的MAC地址。

而这个目标MAC地址就是通过地址解析协议获得的。关于“地址解析”的含义,可以这样来解释,就是主机在发送帧之前,将目标IP地址转换成目标MAC地址的过程。

10。2。2ARP协议工作原理

在能够正常上网的计算机中,都安装有TCP/IP协议,这些电脑里都有一个ARP缓存表,表里的IP地址与MAC地址是一一对应的。

ARP协议的工作原理:假如IP地址为192。168。1。3的某主机A要向IP地址为192。168。0。7的主机B发送数据,这时主机A就会先来查询本地的ARP缓存表,如果找到主机B的IP地址对应的MAC地址00…73…44…60…db…69,就会进行数据传输。但如果在ARP缓存表里面没有目标的IP地址,主机A就会在网络上发送一个广播,A主机MAC地址是“00…aa…01…75…c3…06”,这表示向同一网段内的所有主机发出这样的询问:“我是192。168。1。3,我的物理地址是“00…aa…01…75…c3…06”,请问IP地址为192。168。0。7的MAC地址是什么?”网络上的所有主机包括主机B都收到这个ARP请求,但只有主机B识别自己的IP地址,于是向A主机发回一个ARP响应报文,告诉主机A它的MCA地址是00…73…44…60…db…69。

主机A知道了主机B的MAC地址后,就可以进行数据传输了,同时,还会更新本地的ARP缓存表。当主机A再次向B发送数据时,就可以直接在ARP缓存表中找到主机B的MAC地址,使用它发送数据。

因此,本地高速缓存的这个ARP表是本地网络流通的基础,而且这个缓存是动态的。ARP表使用老化机制,会自动删除在一段时间内没有使用过的IP与MAC地址的映射关系,这样可以大大减少ARP缓存表的长度,加快查询速度。

10。2。3如何查看和清除ARP表

在Windows下查看ARP缓存信息最简单的方法就是通过CMD命令行来完成。

在命令提示符窗口的命令提示符下输入命令“asp…a”,就可以查看ARP缓存表中的内容。

不仅可以查看ARP缓存表,还可以根据需要修改或清除ARP表中的内容。在命令提示符下,在其中输入命令“arp…d+空格+”,即可删除指定IP所在行的内容;在其中输入命令“arp–d”,即可删除ARP缓存表里的所有内容;在其中输入命令“arp…s”,即可手动在ARP表中指定IP地址与MAC地址的对应,类型为static(静态)。

该项并没有存储在ARP缓存表中,而是存储在硬盘中,计算机重新启动后仍然存在,且遵循静态优于动态的原则,因此,这个设置非常重要。如果设置不正确,可能会导致用户无法上网。

10。2。4遭遇ARP攻击后的现象

遭遇ARP欺骗攻击的后果非常严重,大多数情况下会造成大面积掉线。当局域网内某台主机运行ARP欺骗的木马程序时,会欺骗局域网内所有主机和安全网关,让所有上网的流量必须经过病毒主机。这就可能导致局域网内的用户突然掉线,过一段时间后又会恢复正常。

在此期间,用户的主机还可能会出现频繁断网、IE浏览器频繁出错以及一些常用软件出现故障等情况。如果局域网中是通过身份认证上网的,会突然出现可认证,但不能上网的现象(无法ping通网关),重启计算机或在命令提示符窗口中输入命令“arp–d”后,又可恢复上网。一般来说,遭遇ARP欺骗攻击后,就会出现上面介绍的几种情况,但如果情况严重的话,还可能导致整个网络的瘫痪。

使用局域网的一些用户遇到上面的情况时,常常认为PC没有问题,交换机也没有掉线的“本事”。而且如果用户遭遇ARP欺骗攻击的类型是对路由器ARP表的欺骗,那么,只要用户重新启动路由器,就能使网络恢复正常。

这样,用户就会认为造成断网的罪魁祸首就是路由器。其实不然,通过上面的分析,知道造成这种现象的原因其实就是受到ARP欺骗攻击。

另外,一旦计算机中的ARP欺骗木马发作时,除了会使局域网内的计算机出现以上现象外,攻击者还会利用该木马窃取用户的密码,如盗取QQ密码、各种网络游戏密码和账号去做金钱交易,盗窃网上银行账号来做非法交易活动等,这是木马的惯用伎俩,会给用户造成了很大的不便和巨大的经济损失。

10。2。5ARP欺骗攻击原理

由于局域网的网络流通不是根据IP地址进行,而是按照MAC地址进行传输。所以,那个伪造出来的MAC地址在A上被改变成一个不存在的MAC地址,这样就会造成网络不通,导致A不能Ping通C,这就是ARP欺骗。

ARP欺骗容易造成客户端断网,进行数据嗅探。从影响网络连接通畅的方式来看,ARP欺骗可以分为两种:一种是对路由器ARP表的欺骗,另一种是对内网PC的网关欺骗。

下面分别介绍这两种ARP欺骗的原理。

1。对路由器ARP表的欺骗

对路由器ARP表的欺骗的原理是截获网关数据。它通知路由器一系列错误的内网MAC地址,并按照一定的频率不断进行,使真实的地址信息无法通过更新保存在路由器中,结果路由器的所有数据只能发送给错误的MAC地址。由于网关MAC地址错误,所以从网络中计算机发来的数据无法正常发到网关,自然也就无法正常上网。

2。对内网PC的网关欺骗

对内网PC的网关欺骗的原理是伪造网关。也就是说,这种ARP欺骗会先建立假网关,让被它欺骗的PC向这个假网关发送数据,而不是通过正常的路由器途径上网。这样,内网的PC就会认为上不了网。

10。2。6ARP欺骗的过程

下面以某网络中的ARP欺骗攻击为例,介绍ARP欺骗的过程。

假设某局域网内的交换机连接了3台计算机,分别为计算机A、B、C。其中A的IP地址为192。168。0。6,MAC地址为00…1E…8C…17…BO…8B,B的IP地址为192。168。0。9,MAC地址为00…e0…4c…00…53…e8,C的IP地址为192。168。0。12,MAC地址为00…15…58…89…f7…b1。

在未受到ARP欺骗攻击之前,在计算机A中打开命令提示符窗口,运行命令“arp…a”查询ARP缓存表,应该出现如下信息:

Interface:192。168。0。7——020002

InterAddressPhysicalAddressType

192。168。0。1200…15…58…89…f7
返回目录 上一页 下一页 回到顶部 0 0
未阅读完?加入书签已便下次继续阅读!
温馨提示: 温看小说的同时发表评论,说出自己的看法和其它小伙伴们分享也不错哦!发表书评还可以获得积分和经验奖励,认真写原创书评 被采纳为精评可以获得大量金币、积分和经验奖励哦!