Hack Roads

黑客黑的是什麼

黑客攻擊的經常使用手段

　　口令猜解攻擊，惡意代碼攻擊，緩衝區溢出攻擊，網絡欺騙攻擊

網站攻防

　　阻塞攻擊，文件上傳漏洞攻擊，跨站腳步攻擊，弱密碼攻擊，網絡旁註攻擊

後門分類

　　帳號後門，漏洞後門，系統服務後門，木馬後門

---

DOS常見命令整理

目錄操做類命令

• MD：創建子目錄（C:\>MD Con 在當前驅動器C盤下建立子目錄Con，C:\MD Con\USER 在Con子目錄下再建立USER子目錄）
• CD：改變當前目錄（CD \退回到根目錄，CD .. 退回到上一級目錄）
• RD：刪除子目錄命令（不能刪除根目錄和當前目錄，且子目錄在刪除前必須爲空，也就是說要先進入該子目錄，使用DEL將其子目錄下的文件刪空，而後退回到上一級目錄，用RD命名刪除該目錄自己，如刪除C盤Con子目錄下的USER子目錄，操做以下：首先，先將USER子目錄下的文件刪空，C:\>DEL C:\Con\USER\*.*；而後，刪除USER子目錄，C:\RD C:\Con\USER）
• DIR：顯示磁盤目錄命令（如欲查看的目錄太多，沒法在一屏顯示完屏幕會一直往上卷，不容易看清，此時可使用/P參數，屏幕上會分頁一次顯示23行的文件信息，而後暫停，並提示：Press any key to continue；若是使用/W參數，則只顯示文件名，文件大小及創建的時間和日期則都被忽略）
• PATH：路徑設置命令（當運行一個可執行文件時，DOS會先在當前目錄中搜索該文件，若找到則運行之；若找不到該文件，則根據PATH命令所設置的路徑，順序逐條地到目錄中搜索該文件。PATH命令中的路徑，如有兩條以上，各路徑之間以一個分號";"隔開。PATH有三種使用方法：PATH [盤符1:][路徑1][;盤符2:][路徑2] 用於設置可執行文件的搜索路徑；PATH: 取消全部路徑；PATH 顯示目前所設的路徑。注意：改命令重設PATH路徑只對當前DOS窗口有效，而且不會修改系統path路徑，所以再打開一個新的DOS窗口，輸入PATH顯示系統path路徑）
• TREE：顯示磁盤目錄結構命令（使用/F參數顯示全部目錄和目錄下全部文件，省略時，只顯示目錄，不顯示目錄下的文件）

磁盤操做類命令

• FORMAT：磁盤格式化命令（對磁盤進行格式化，劃分磁道和扇區；同時檢查出整個磁盤上有無帶缺陷的磁道，對壞道加註標記；創建目錄區和文件分配表，使磁盤作好接收DOS的準備）
• CHKDSK：檢查磁盤當前狀態命令（顯示磁盤狀態、內存狀態和指定路徑下指定文件的不連續數目）
• LABEL：創建磁盤卷標命令
• VOL：顯示磁盤卷標命令
• DEFRAG：重整磁盤命令（整理磁盤，消除磁盤碎塊）

文件操做類命令

• COPY：拷貝一個文件或多個文件到指定盤上。
• XCOPY：複製指定的目錄和目錄下的全部文件連同目錄結構（XCOPY是COPY的擴展，能夠把指定目錄連文件和目錄結構一併拷貝，但不能拷貝隱藏文件和系統文件；選用/S參數對源目錄及其子目錄下的全部文件進行COPY，若不指定/S參數，則XCOPY只拷貝源目錄文件自己，而不涉及其下的子目錄。除非指定/E參數，不然/S不會拷貝空目錄）
• TYPE：顯示文件內容命令（若文件較長，一屏顯示不下時，可使用管道符|MORE，使用該參數後當滿屏時會暫停，按任意鍵）
• REN：文件更名命令（格式：REN [盤符:][路徑] <舊文件名> <新文件名>。使用說明：新文件名前不能夠加上盤符和路徑，由於該命令只能對同一盤上的文件更換文件名；容許使用通配符更改一組文件名或擴展名）
• FC：文件比較命令（選用/A參數，爲ASCII碼比較模式；選用/B參數，爲二進制比較模式；選用/C參數，將大小寫字符當作是相同的字符；選用/N參數，在ASCII碼比較方式下，顯示相異處的行號）
• DEL：刪除文件命令

其它命令

• CLS：清屏命令
• VER：顯示當前系統版本號
• DATE：設置或顯示系統日期
• TIME：設置或顯示系統時間

---

黑客術語

肉雞：所謂"肉雞"是一種很形象的比喻，比喻那些能夠隨意被咱們控制的電腦，對方能夠是WINDOWS系統，也能夠是UNIX/LINUX系統，能夠是普通的我的電腦，也能夠是大型的服務器，咱們能夠象操做本身的電腦那樣來操縱它們，而不被對方所發覺。

木馬：就是那些表面上假裝成了正常的程序，可是當這些程序運行時，就會獲取系統的整個控制權限。有不少黑客就是熱衷於使用木馬程序來控制別人的電腦，好比灰鴿子、黑洞、PcShare等。

網頁木馬：表面上假裝成普通的網頁文件或是將木馬代碼直接插入到正常的網頁文件中，當有人訪問時，網頁木馬就會利用對方系統或者瀏覽器的漏洞自動將配置好的木馬的服務器端下載到訪問者的電腦上來自動執行。

掛馬：就是在別人的網站文件裏面放入網頁木馬或者是將代碼嵌入到對方正常的網頁文件裏，以使瀏覽者中馬。

後門：這是一種形象的比喻，入侵者在利用某種方法成功的控制了目標主機後，能夠在對方的系統中植入特定的程序，或者修改某些設置。這些改動表面上是很難被察覺的，可是入侵者卻可使用相應的程序或者方法來輕易的與這臺電腦創建鏈接，從新控制這臺電腦，就好像是入侵者偷偷的配了一把主人房間的鑰匙，能夠隨時進出而不被主人發現同樣。一般大多數特洛伊木馬（Trojan Horse）程序均可以被入侵者用於製做後門（BackDoor）。

rootkit：rootkit是攻擊者用來隱藏本身的行蹤和保留root（根權限，能夠理解成WINDOWS下的system或者系統管理員權限）訪問權限的工具。一般，攻擊者經過遠程攻擊的方式得到root訪問權限，或者是先使用密碼猜解（破解）的方式得到會系統的普通訪問權限，進入系統後，再經過對方系統內存在的安全漏洞得到系統的root權限。而後，攻擊者就會在對方的系統中安裝rootkit，以達到本身長久控制對方的目的，rootkit與咱們前邊提到的木馬和後門很相似，但遠比它們要隱蔽，黑客守衛者就是很典型的rootkit，還有國內的ntroorkit等都是不錯的rootkit工具。

IPC$：是共享"命名管道"的資源，它是爲了讓進程間通訊而開放的命名管道，能夠經過驗證用戶名和密碼得到相應的權限，在遠程管理計算機和查看計算機的共享資源時使用。

弱口令：指那些強度不夠，容易被猜解的，相似123，abc這樣的口令（密碼）。

默認共享：默認共享是WINDOWS2000/XP/2003系統開啓共享服務時自動開啓全部硬盤的共享，由於加了"$"符號，因此看不到共享的圖標，也稱爲隱藏共享。

shell：指的是一種總命令執行環境，好比咱們按下鍵盤上的"開始鍵+R"時出現"運行"對話框，在裏面輸入"cmd"會出現一個用於執行命令的黑窗口，這個就是WINDOWS的Shell執行環境。一般咱們使用遠程溢出程序成功溢出遠程電腦後獲得的那個用於執行系統命令的環境就是對方的shell。

WebShell：WebShell就是以asp、php、jsp或者cgi等網頁文件形式存在的一種命令執行環境，也能夠將其稱做是一種網頁後門。黑客在入侵了一個網站後，一般會將這些asp或php後門文件與網站服務器WEB目錄下正常網頁文件混在一塊兒，而後就可使用瀏覽器來訪問這些asp或者php後門，獲得一個命令執行環境，以達到控制網站服務器的目的。能夠上傳下載文件，查看數據庫，執行任意程序命令等。國內經常使用的WebShell有海陽ASP木馬，Phpspy，c99shell等。

溢出：確切的講，應該是"緩衝區溢出"。簡單的解釋就是程序對接受的輸入數據沒有執行有效的檢測而致使錯誤，後果多是形成程序崩潰或者是執行攻擊者的命令。大體能夠分爲兩類：堆溢出、棧溢出。

注入：隨着B/S模式應用開發的發展，使用這種模式編寫程序的程序員愈來愈多，可是因爲程序員的水平良莠不齊，至關大一部分應用程序存在安全隱患。用戶能夠提交一段數據庫查詢代碼，根據程序返回的結果，得到某些他想知道的數據，這個就是所謂的SQLinjection，即：SQL注入。

注入點：是能夠實行注入的地方，一般是一個訪問數據可的鏈接。根據注入點數據庫的運行帳號的權限的不一樣，你所獲得的權限也不一樣。

內網：通俗的講就是局域網，好比網吧、校園網、公司內部網等都屬於此類。查看IP地址若是是在如下三個範圍以內的話，就說明咱們是處於內網之中的：10.0.0.0——10.255.255.255，172.16.0.0——172.31.255.255,192.168.0.0——192.168.255.255。

外網：直接連入INTERNET（互聯網），能夠與互聯網上的任意一臺電腦互相訪問，IP地址不是保留IP（內網）IP地址。

端口：（Port）至關於一種數據傳輸通道。用於接受某些數據，而後傳輸給相應的服務，而電腦將這些數據處理後，再將相應的數據經過開啓的端口傳給對方。通常每個端口的開啓對應了相應的服務，要關閉這些端口只須要將對應的服務關閉就能夠了。

338九、4899肉雞：3389是Windows終端服務（Terminal Services）所默認使用的端口號，該服務是微軟爲了方便網絡管理員遠程管理及維護服務器而推出的，網絡管理員可使用遠程桌面鏈接到網絡上任意一臺開啓了終端服務的計算機上，成功登陸後就會象操做本身的電腦同樣來操做主機了。這和遠程控制軟件甚至是木馬程序實現的功能很類似，終端服務的鏈接很是穩定，並且任何殺毒軟件都不會查殺，因此也深受黑客喜好。黑客在入侵了一臺主機後，一般會想辦法先添加一個屬於本身的後門帳號，而後再開啓對方的終端服務，這樣，本身就隨時可使用終端服務來控制對方了，這樣的主機，一般會被叫作3389肉雞。Radmin是一款很是優秀的遠程控制軟件，4899就是Radmin默認使用的端口，Radmin也常常被黑客看成木馬來使用（正是這個緣由，目前的殺毒軟件也對Radmin查殺了）。由於Radmin的控制功能很是強大，傳輸速度也比大多數木馬快，並且又不被殺毒軟件所查殺，因此Radmin管理遠程電腦時使用的是空口令或者是弱口令，黑客就可使用一些軟件掃描網絡上存在Radmin空口令或者弱口令的主機，而後就能夠登陸上去遠程控制，這樣被控制的主機一般就被稱做4899肉雞。

免殺：就是經過加殼、加密、修改特徵碼、加花指令等等技術來修改程序，使其逃過殺毒軟件的查殺。

加殼：就是利用特殊的算法，將EXE可執行程序或者DLL動態連接庫文件的編碼進行改變（好比實現壓縮、加密），以達到縮小文件體積或者加密程序編碼，甚至是躲過殺毒軟件查殺的目的。目前較經常使用的殼有UPX、ASPack、PePack、PECompact、UPack、免疫00七、木馬綵衣等等。

花指令：就是幾句彙編指令，讓彙編語句進行一些跳轉，使得殺毒軟件不能正常的判讀病毒文件的構造。說通俗點就是"殺毒軟件時從頭到腳按順序來查找病毒"。若是咱們把病毒的頭和腳顛倒位置，殺毒軟件就找不到病毒了。

TCP/IP：是一種網絡通訊協議，它規範了網絡上全部的通訊設備，尤爲是一個主機與另外一個主機之間的數據往來格式以及傳送方式。TCP/IP是INTERNET的基礎協議，也是一種電腦數據打包和尋址的標準方法。在數據傳送中，能夠形象地理解爲兩個信封，TCP和IP就像是信封，要傳遞的信息被劃分爲若干段，每一段塞入一個TCP信封，並在該信封上記錄有分段號的信息，再將TCP信封塞入IP大信封，發送上網。

路由器：路由器應該是在網絡上使用最高的設備之一了，它的主要做用就是路由選路，將IP數據包正確的送到目的地，所以也叫IP路由器。

蜜罐：比如是情報收集系統。蜜罐是故意讓人攻擊的目標，引誘黑客來攻擊，攻擊者攻擊後，你就能夠知道他是如何得逞的，隨時瞭解針對你的服務器發動的最新的攻擊和漏洞。還能夠經過竊聽黑客之間的聯繫，收集黑客所用的種種工具，並掌握他們的社交網絡。

拒接服務攻擊：DoS是Denial of Service的簡稱，即拒絕服務，形成DoS的攻擊行爲被稱爲DoS攻擊，其目的是使計算機或網絡沒法正常服務，最多見的DoS攻擊有計算機網絡帶寬攻擊和連通性攻擊，連通性攻擊指用大量的鏈接請求衝擊計算機，使得全部可用的操做系統資源被消耗，最終計算機沒法再處理合法用戶的請求。

腳本注入攻擊：所謂腳本注入攻擊是把SQL命令插入到WEB表單的輸入域或頁面請求的查找字符串，欺騙服務器執行惡意的SQL命令，在某些表單中，用戶輸入的內用用來構造動態的SQL命令，或做爲存儲過程的輸入參數，這類表單特別容易受到SQL注入式攻擊。

防火牆：使用防火牆（Firewall）是一種確保網絡安全的方法。防火牆是指設置在不一樣網絡（如可信任的企業內部網和不可信的公共網）或網絡安全域之間的一系列部件的組合。它是不一樣網絡或網絡安全域之間信息的惟一出入口，能根據企業的安全政策控制（容許、拒絕、監測）出入網絡的信息流，且自己具備較強的抗攻擊能力。它是提供信息安全服務，實現網絡和信息安全的基礎設施。

後門：後門（BackDoor）是指一種繞過安全性控制而獲取對程序或系統訪問權的方法。在軟件的開發階段，程序員常會在軟件內建立後門以即可以修改程序中的缺陷。若是後門被其餘人知道，或是在軟件發佈以前沒有刪除，那麼它就成了安全隱患。

入侵檢測：入侵檢測是防火牆的合理補充，幫助系統對付網絡攻擊，擴展系統管理員的安全管理能力（包括安全審計、監視、進攻識別和響應），提升信息安全基礎結構的完整性。它從計算機網絡系統中的若干關鍵點收集信息，並分析這些信息，檢查網絡中是否有違反安全策略的行爲和遭到襲擊的跡象。

數據包監測：數據包檢測能夠被認爲是一根竊聽電話線在計算機網絡中的等價物。當某人在"監聽"網絡時，他們其實是在閱讀和解釋網絡上傳送的數據包。若是你須要在互聯網上經過計算機發送一封電子郵件或請求下載一個網頁，這些操做都會使數據經過你和數據目的地之間的許多計算機。這些信息傳輸時通過的計算機都可以看到你發送的數據，而數據包監測工具就容許某人截獲數據而且查看它。

NIDS：NIDS是Network Intrusion Detection System的縮寫，即網絡入侵檢測系統，主要用於檢測Hacker或Cracker經過網絡進行的入侵行爲。NIDS的運行方式有兩種，一種是在目標主機上運行以監測其自己的通訊信息，另外一種是在一臺單獨的機器上運行以檢測全部網絡設備的通訊信息，好比Hub、路由器。

SYN包：TCP鏈接的第一個包，很是小的一種數據包。SYN攻擊包括大量此類的包，因爲這些包看上去來自實際不存在的站點，所以沒法有效進行處理。

暴庫：這個漏洞如今不多見了，可是還有許多站點有這個漏洞能夠利用，暴庫就是提交字符獲得數據庫文件，獲得了數據庫文件咱們就直接有了站點的前臺或者後臺的權限了。

注入漏洞：這個漏洞是如今應用最普遍，殺傷力也很大的漏洞，能夠說微軟的官方網站也存在着注入漏洞。注入漏洞是由於字符過濾不嚴謹所形成的，能夠獲得管理員的帳號密碼等相關資料。

旁註：咱們入侵某站時可能這個站堅固的無懈可擊，咱們能夠找下和這個站同一服務器的站點，而後再利用這個站點用提權，嗅探等方法來入侵咱們要入侵的站點。打個形象的比喻，好比你和我一個樓，我家很安全，而你家呢，卻漏洞百出，如今有個賊想入侵我家，他對我家作了監視（也就是掃描），發現沒有什麼能夠利用的東西，那麼這個賊發現你家和我家一個樓，你家很容易就進去了，他能夠先進入你家，而後經過你家獲得整個樓的鑰匙（系統權限），這樣就天然獲得個人鑰匙了，就能夠進入個人家（網站）。

COOKIE詐騙：許多人不知道什麼是COOKIE，COOKIE是你上網時網站所爲你發送的值，記錄了你的一些資料，好比IP，姓名什麼的。怎樣詐騙呢？若是咱們如今已經知道了XX站管理員的站號和MD5密碼了，可是破解不出來密碼（MD5是加密後的一個16位的密碼）。咱們就能夠用COOKIE詐騙來實現，把本身的ID修改爲管理員的，MD5密碼也修改爲其它的，有工具能夠修改COOKIE，這樣就達到了COOKIE詐騙的目的，系統覺得你就是管理員了。

時間戳："時間戳"是個聽起來有些玄乎但實際上至關通俗易懂的名詞，咱們查看系統中的文件屬性，其中顯示的建立、修改、訪問時間就是該文件的時間戳。對於大多數通常用戶而言，一般修改"時間戳"也許只是爲了方便管理文件等緣由而掩飾文件操做記錄。但對於應用數字時間戳技術的用戶就並不是這麼"簡單"了，這裏的時間戳（time-stamp）是一個經加密後造成的憑證文檔，是數字簽名技術的一種變種應用。在電子商務交易文件中，利用數字時間戳服務（DTS：digital times stamp service）可以提供對電子文件的日期和時間信息進行安全保護，以防止被商業對手等有不良企圖的人僞造和串改文件的關鍵性內容。

MySQL數據庫：咱們在黑客文章中常會看到針對MySQL數據庫的攻擊，但不少朋友卻對其不大瞭解。MySQL數據庫之因此應用範圍如此普遍，是因爲它是一款免費開放源代碼的多用戶、多線程的跨平臺關係型數據庫系統，也可稱得上是目前運行速度最快的SQL語言數據庫。MySQL數據庫提供了面向C、C++、Java等編程語言的編程接口，尤爲是它與PHP的組合更是黃金搭檔。MySQL數據庫採用的是客戶機/服務器結構的形式，它由一個服務器守護程序Mysqld和不少不一樣的客戶程序和庫組成。但若配置不當，MySQL數據庫就可能會受到攻擊，例如如果設置本地用戶擁有對庫文件讀權限，那麼入侵者只要得到MySQL數據庫的目錄，將其複製到本機數據目錄下就能訪問進而竊取數據庫內容。

MD5驗證：MD5（全稱message-digest algorithm5）的做用是讓大容量信息在用數字簽名軟件簽署前被"壓縮"爲一種保密的格式。它的典型應用是對一段信息（message）產生信息摘要（message-digest），以防止被篡改。通俗的說MD5碼就是個驗證碼，就像咱們的我的身份證同樣，每一個人的都是不同的。MD5碼是每一個文件的惟一校驗碼（MD5不區分大小寫，但因爲MD5碼有128位之多，因此任意信息之間具備相同MD5碼的可能性很是之低，一般被認爲是不可能的），憑藉此特性常被用於密碼的加密存儲、數字簽名及文件完整性驗證。經過MD5驗證便可檢查文件的正確性，例如能夠校驗出下載文件中是否別捆綁有其餘第三方軟件或木馬、後門，如果校驗結果不正確就說明原文件已被人擅自串改）。

ICMP協議：ICMP（全稱是Inter Control Message Protocol，即Inter控制消息協議）用於在IP主機、路由器之間傳遞控制消息，包括網絡通不通、主機是否可達、路由是否可用等網絡自己的消息。例如，咱們在檢測網絡通不通時常會使用Ping命令，Ping執行操做的過程就是ICMP協議工做的過程。"ICMP協議"對於網絡安全有着極其重要的意義，其自己的特性決定了它很是容易被用於攻擊網絡上的路由器和主機。例如，曾經轟動一時的海信主頁被黑事件就是以ICMP攻擊爲主的。因爲操做系統規定ICMP數據包最大尺寸不超過64KB，於是若是向目標主機發送超過64KB上限的數據包，該主機就會出現內存分配錯誤，進而致使系統耗費大量的資源處理，疲於奔命，最終癱瘓、死機。

WAP攻擊：黑客們在網絡上瘋狂肆虐以後，又將"觸角"伸向了WAP（無線用用協議的英文簡寫），繼而WAP成爲了他們的又一個攻擊目標。WAP攻擊主要是指攻擊WAP服務器，使啓用了WAP服務的手機沒法接收正常信息。因爲目前WAP無線網絡的安全機制並不是至關嚴密，於是這一領域將受到愈來愈多黑客的"染指"。如今，咱們使用的手機絕大部分都已支持WAP上網，而手機的WAP功能則須要專門的WAP服務器來支持，如果黑客們發現了WAP服務器的安全漏洞，就能夠編制出針對該WAP服務器的病毒，並對其進行攻擊，從而影響到WAP服務器的正常工做，時WAP手機沒法接收到正常的網絡信息。