《天擎》第416章

WEBSHELL是什么：其实WEBSHELL并不什么深奥的东西，是个WEB的权限，可以管理WEB，修改主页内容等权限，但是并没有什么特别高的权限，（这个看管理员的设置了）一般修改别人主页大多都需要这个权限，接触过WEB木马的朋友可能知道（比如老兵的站长助手就是WEB木马，海阳2006也是WEB木马）。我们上传漏洞最终传的就是这个东西，有时碰到权限设置不好的服务器可以通过WEBSHELL得到最高权限。
暴库
这个漏洞现在很少见了，但是还有许多站点有这个漏洞可以利用，暴库就是提交字符得到数据库文件，得到了数据库文件我们就直接有了站点的前台或者后台的权限了。
暴库方法：比如一个站的地址为。xxx/dispbbs。asp？boardID=7&；ID=161，我门就可以把com/dispbbs中间的/换成％5c，如果有漏洞直接得到数据库的绝对路径，用寻雷什么的下载下来就可以了。还有种方法就是利用默认的数据库路径。xxx/后面加上conn。asp。如果没有修改默认的数据库路径也可以得到数据库的路径（注意：这里的/也要换成％5c）。
为什么换成％5c：因为在ASCII码里/等于％5c，有时碰到数据库名字为/#abc。mdb的为什么下不了？这里需要把#号换成％23就可以下载了，为什么我暴出的数据库文件是以。ASP结尾
的？我该怎么办？这里可以在下载时把。ASP换成。MDB这样就可以下载了如果还下载不了可能作了防下载。
注入漏洞
这个漏洞是现在应用最广泛，杀伤力也很大的漏洞，可以说微软的官方网站也存在着注入漏洞。注入漏洞是因为字符过滤不严禁所造成的，可以得到管理员的帐号密码等相关资料。
怎样利用：我先介绍下怎样找漏洞比如这个网址。xxx/dispbbs。asp？boardID=7&；ID=161后面是以ID=数字形式结尾的站我们可以手动在后面加上个and1=1看看
如果显示正常页面再加上个and1=2来看看如果返回正常页面说明没有漏洞如果返回错误页面说明存在注入漏洞。如果加and1=1返回错误页面说明也没有漏洞，知道了站点
有没有漏洞我门就可以利用了可以手工来猜解也可以用工具现在工具比较多（NBSI、NDSI、啊D、DOMAIN等），都可以用来猜解帐号密码，因为是菜鸟接触，我还是建议大家用工具，手工比较烦琐。
旁注
我们入侵某站时可能这个站坚固的无懈可击，我们可以找下和这个站同一服务器的站点，然后在利用这个站点用提权，嗅探等方法来入侵我们要入侵的站点。打个形象的比喻，比
如你和我一个楼，我家很安全，而你家呢，却漏洞百出，现在有个贼想入侵我家，他对我家做了监视（也就是扫描），发现没有什么可以利用的东西，那么这个贼发现你家和我家
一个楼，你家很容易就进去了，他可以先进入你家，然后通过你家得到整个楼的钥匙（系统权限），这样就自然得到我的钥匙了，就可以进入我的家（网站）。
工具介绍：还是名小子的DOMIAN3。5不错的东西，可以检测注入，可以旁注，还可以上传！
COOKIE诈骗
许多人不知道什么是COOKIE，COOKIE是你上网时由网站所为你发送的值记录了你的一些资料，比如IP，姓名什么的。
怎样诈骗呢？如果我们现在已经知道了XX站管理员的站号和MD5密码了，但是破解不出来密码（MD5是加密后的一个16位的密码）。我们就可以用COOKIE诈骗来实现，把自己的ID修
改成管理员的，MD5密码也修改成他的，有工具可以修改COOKIE这样就答到了COOKIE诈骗的目的，系统以为你就是管理员了。
防火墙系统。
IDS入侵检测——现在一般有成品软件卖
黑客作者必读资料2
1．异常检测
在异常检测中，观察到的不是已知的入侵行为，而是所研究的通信过程中的异常现象，它通过检测系统的行为或使用情况的变化来完成。在建立该模型之前，首先必须建立统计概率模型，明确所观察对象的正常情况，然后决定在何种程度上将一个行为标为“异常”，并如何做出具体决策。
异常检测只能识别出那些与正常过程有较大偏差的行为，而无法知道具体的入侵情况。由于对各种网络环境的适应性不强，且缺乏精确的判定准则，异常检测经常会出现虚警情况。
异常检测可以通过以下系统实现。
（1）自学习系统
自学习系统通过学习事例构建正常行为模型，又可分为时序和非时序两种。
（2）编程系统
该类系统需要通过编程学习如何检测确定的异常事件，从而让用户知道什么样的异常行为足以破坏系统的安全。编程系统可以再细分为描述统计和缺省否认两种。
异常检测IDS分类如表1所示。
2．滥用检测
在滥用检测中，入侵过程模型及它在被观察系统中留下的踪迹是决策的基础。所以，可事先定义某些特征的行为是非法的，然后将观察对象与之进行比较以做出判别。
滥用检测基于已知的系统缺陷和入侵模式，故又称特征检测。它能够准确地检测到某些特征的攻击，但却过度依赖事先定义好的安全策略，所以无法检测系统未知的攻击行为，从
而产生漏警。
滥用检测通过对确知决策规则编程实现，可以分为以下四种：
（1）状态建模：它将入侵行为表示成许多个不同的状态。如果在观察某个可疑行为期间，所有状态都存在，则判定为恶意入侵。状态建模从本质上来讲是时间序列模型，可以再
细分为状态转换和Petri网，前者将入侵行为的所有状态形成一个简单的遍历链，后者将所有状态构成一个更广义的树形结构的Petri网。
（2）专家系统：它可以在给定入侵行为描述规则的情况下，对系统的安全状态进行推理。一般情况下，专家系统的检测能力强大，灵活性也很高，但计算成本较高，通常以降低
执行速度为代价。
（3）串匹配：它通过对系统之间传输的或系统自身产生的文本进行子串匹配实现。该方法灵活性欠差，但易于理解，目前有很多高效的算法，其执行速度很快。
（4）基于简单规则：类似于专家系统，但相对简单一些，故执行速度快。
滥用检测IDS分类如表2所示。
3．混合检测
近几年来，混合检测日益受到人们的重视。这类检测在做出决策之前，既分析系统的正常行为，同时还观察可疑的入侵行为，所以判断更全面、准确、可靠。它通常根据系统的正
常数据流背景来检测入侵行为，故而也有人称其为“启发式特征检测”。
WenkeLee从数据挖掘得到启示，开发出了一个混合检测器RIPPER。它并不为不同的入侵行为分别建立模型，而是首先通过大量的事例学习什么是入侵行为以及什么是系统的正常
行为，发现描述系统特征的一致使用模式，然后再形成对异常和滥用都适用的检测模型。
根据系统特征分类
作为一个完整的系统，IDS显然不应该只包括检测器，它的很多系统特征同样值得认真研究。为此，将以下一些重要特征作为分类的考虑因素。
1．检测时间：有些系统以实时或近乎实时的方式检测入侵活动，而另一些系统在处理审计数据时则存在一定的延时。一般的实时系统可以对历史审计数据进行离线操作，系统就能
够根据以前保存的数据重建过去发生的重要安全事件。
2．数据处理的粒度：有些系统采用了连续处理的方式，而另一些系统则在特定的时间间隔内对数据进行批处理操作，这就涉及到处理粒度的问题。它跟检测时间有一定关系，但二
者并不完全一样，一个系统可能在相当长的时延内进行连续数据处理，也可以实时地处理少量的批处理数据。
3．审计数据来源：主要有两种来源：网络数据和基于主机的安全日志文件。后者包括操作系统的内核日志、应用程序日志、网络设备（如路由器和防火墙）日志等。
4．入侵检测响应方式：分为主动响应和被动响应。被动响应型系统只会发出告警通知，将发生的不正常情况报告给管理员，本身并不试图降低所造成的破坏，更不会主动地对攻击
者采取反击行动。主动响应系统可以分为两类：
（1）对被攻击系统实施控制。它通过调整被攻击系统的状态，阻止或减轻攻击影响，例如断开网络连接、增加安全日志、杀死可疑进程等。
（2）对攻击系统实施控制的系统。这种系统多被军方所重视和采用。
目前，主动响应系统还比较少，即使做出主动响应，一般也都是断开可疑攻击的网络连接，或是阻塞可疑的系统?