大中型網路入侵要案直擊與防禦

肖遙，網名“冰河洗劍”，國內著名網路安全技術獨立研究人士。

曾從事國防軍工設計，參與過J10A、J11B等戰鬥機配套武器研製，獨立開發出HF25火箭發射器，參與DF8GA及飛彈發射架等武器設計。

潛心鑽研網路安全技術10餘年，長期擔任國內多家著名網站的安全顧問，專業從事網路滲透測試與網路風險評估。

長年在《黑客X檔案》、《黑客防線》等國內安全專業媒體上與同行分享最新研究成果。出版有《網路滲透攻擊與安防修煉》、《網站入侵與腳本安全攻防修煉》、《黑客大曝光》、《黑客攻防大揭秘》等多部安全類暢銷技術專著。其中，《網站入侵與腳本安全攻防修煉》一書已輸出至中國台灣等地。

每一章節的內容按照如下脈絡展開：典型攻防案例再現→案例的簡單分析→黑客攻擊技術的系統講解→網管安全防護解決方案→入侵手法與防護難點深度分析。全書真實呈現完整的攻擊與防護事件，可讓讀者了解到攻擊者如何選擇攻擊目標，如何制訂攻擊方案，如何繞過攻擊中碰到的問題，網管通常採用哪些防護手法，安全漏洞在何處，網管又如何追蹤攻擊者，等等，因此對學習者和工作者來說都很有吸引力和參考價值。

本書是網路管理員、信息安全管理員、對網路安全感興趣的人員必備的參考書，也可供大中院校或培訓學校教師和學生閱讀和參考。

目前網際網路套用越來越廣泛，黑客與病毒無孔不入，這極大地影響了Internet的可靠性和安全性，保護Internet、加強網路安全建設已經迫在眉睫。相對於普通個人用戶或小型網路來說，各種企業公司的大中型複雜網路的信息安全工作尤其困難。許多實際經驗不足的網路管理員和信息安全工作者，在面對大中型網路安全管理與維護時，常常無從下手，或者步入誤區和歧途。

大中型網路安全防禦中的誤區

在各種企業公司的大中型網路中，網路信息安全尤其重要，一旦網路系統安全受到嚴重威脅，甚至處於癱瘓狀態，企業將遭受巨大的經濟損失。然而在眾多大中型網路信息安全管理員和工作者中，卻存在著一個很普遍的意識誤區。

許多網路信息安全管理員和工作者，在工作中往往過於依賴硬體防火牆、入侵檢測系統等安全設備，對各種安全理論也有比較深的認識，然而卻無法應付現實工作中的一些“腳本小子”的攻擊行為。

尤其是在各種大中型網路管理中，由於網路結構複雜，安全工作常常無法做到位。藉助於各種硬體安全設備和現成的防禦方案，建立起一道看似堅固的安全防線，可是由於對黑客入侵攻擊的方法與途徑並不是很了解，導致表面堅固的安全防線之下，其實卻隱藏著許多遺漏的安全死角。許多結構複雜的大中型企業、公司、政府、網站等網路中，貌似堅固安全，實際不堪一擊，黑客可以輕易入侵攻擊整個網路。

在本書開篇中，對國內網際網路上的四大入口網站進行了入侵檢測。事實證明即使是如此知名的網路公司，擁有眾多的信息安全管理員和工作者，依然會被黑客輕易地入侵攻擊。這在很大程度上反映了一個很嚴重的問題，國內大中型網路安全防禦面臨著極大的危機和威脅，大中型網路安全防禦工作中有著許多不足，必須加以實質性地改進。

“雙手互搏”，安全之道

如何才能更好地完善各種大中型網路安全防禦工作呢？

國內一位資深網路安全專家曾說過，從事計算機網路管理與信息安全的人員，應該學會“左手畫方，右手畫圓”的雙手互搏之術，讓自己的左腦成為網路安全方面的頂尖高手，讓自己的右腦成為頂尖的黑客高手，這樣才能真正理解和保障網路信息安全。

一個合格的網路信息安全管理員，首先應該是一個技術很好的黑客。

作為經過系統的網路信息安全理論學習的管理員或工作者，往往有一種天生的優越感，看不起一些所謂的黑客，視黑客技術為旁門左道。正是這樣的認識，阻礙了許多網路信息安全管理員和工作者前進的腳步。正所謂知己知彼，方能百戰不殆，學習並且精通黑客技術，才能了解黑客從何處入侵進入，利用哪種方法或漏洞進行攻擊，從而更有針對性地進行安全防禦，提高安全工作的效率。

特別是在各種環境複雜的大中型網路中，如果對黑客入侵攻擊的途徑與方法不熟悉，安全工作常常掛一漏萬，又或者失之毫釐，謬以千里。網路信息安全管理員和工作者，是非常有必要了解和學習黑客入侵技術的。

因此，本書對各種常見的大中型網路攻擊類型，對黑客入侵攻擊大中型網路的途徑、方法、利用的工具與防範方法等進行了詳細的介紹，以彌補網路信息安全管理員和工作者經驗的不足和技術上的欠缺，以期更好地完善安全防禦工作。

關於本書的內容安排

本書主要針對大中型網路中最常碰到的木馬攻擊、網站入侵、內部滲透等進行了介紹，以各種最典型的大中型網路攻擊案例解析的形式，來安排講解各種網路攻擊與防護技術。各篇章的內容按照以下形式進行安排：

1．典型攻防案例再現；2．案例的簡單分析；3．黑客攻擊技術的系統講解；4．網管安全防護解決方案；5．入侵手法與防護難點深度分析。

其中，第1部分的典型案例再現真實的黑客攻擊大中型網路事件，作為整章內容的引子與線索。在案例介紹中，讀者將會看到黑客入侵攻擊的真實過程，從中對黑客入侵的目標、途徑與方法有一個直觀感性的認識。

在第2部分中，簡單分析案例中所涉及的攻擊技術與安全防護手段，以對整篇內容提綱攜領。

第3部分與第4部分是重點內容。其中第3部分從黑客攻擊者的角度，系統詳細全面地講解相應網路環境下的黑客攻擊技術，第4部分則從網路信息安全管理員與工作者的角度介紹詳細專業的安全防護方案。

第5部分是各種安全攻擊技術及相應理論知識的深度分析，從攻擊與防守的角度結合，深入分析一些新技術和有價值的技術難點。

此外，除了每一篇中的典型案例，又加入了許多輔助和參考案例，使所介紹的知識與實際結合更為緊密。

致謝

本書最終能夠出版面世，要感謝電子工業出版社的編輯張春雨先生和高洪霞女士，在本書的編輯出版過程中給予的大力幫助。感謝黑客基地、華夏黑客聯盟、黑客組織H.S.T中多位好友給予的幫助與支持。

另外，感謝我的父母肖吉雲、呂進英，以及我的妻子張黎，你們的愛讓我獲得克服困難的力量！

最後，衷心感謝一直給以我人生教導和指引的李老師！是您的指引給予我信仰的力量，面對行業陰暗面中的物慾與金錢誘惑，誠守本心，恪守一個網路安全技術研究者的職業道德。感謝您！

本書主要由肖遙編寫，其他參與編寫的還有張黎、艾進修、韓雨、鄧若鵬、高巧枚、雷東、舒儀、高倉麥、嚴可梅、丁京、尹偌顏、宇文郁慶、錢儀儀、杜弄願。

鄭重聲明：本書的目的絕不是為那些懷有不良動機的人提供支持，也不承擔因為技術被濫用所產生的連帶責任；本書的目的在於最大限度地喚起大家的網路安全意識，正視我們的網路世界所面臨的一場危機，並採取行動。

開篇 國區域網路絡安全的現狀與危機

Chapter 01 對四大入口網站的網路安全性檢測與分析 2

1.1 入侵測試目標——新浪網站 2

1.2 從注入新浪分站到新浪主站的滲透測試 3

1.2.1 城市聯盟網站存在注入漏洞 3

1.2.2 SQL注入獲取管理員信息 3

1.2.3 登錄後台上傳WebShell 4

1.2.4 滲透新浪青島分站內部網路 5

1.2.5 關於新浪主站的進一步滲透與掛馬測試 6

1.3 對其他一些入口網站的入侵測試 6

1.3.1 對搜狐入口網站的注入攻擊檢測 6

1.3.2 對TOM入口網站的注入攻擊檢測 6

Chapter 02 網路安全行業中的誤區與糾正 8

2.1 網路安全的木桶理論與整體觀 8

2.2 90%攻擊來源於10%安全防護的偏失 9

2.3 “學”與“術”之辨——不可輕視黑客入侵技術 10

2.4 堵住已知的漏洞，網路安全就成功了一大半 11

上篇 大中型網路中的特洛伊木馬入侵攻擊

Chapter 03 案例——木馬篡改數據，福彩3305萬元驚天詐欺案 14

3.1 案例類型及背景介紹 15

3.2 3305萬元福彩詐欺案事件還原 16

3.2.1 起貪念，並不高明的福彩詐欺計畫 16

3.2.2 詐欺計畫開始，製作免殺木馬 16

3.2.3 製作自動運行木馬 17

3.2.4 拇指隨身碟藏玄機，木馬悄悄植入 18

3.2.5 福彩中心網路許可權劃分很嚴格 18

3.2.6 病毒感染傳播，打開入侵通道 19

3.2.7 鍵盤記錄獲取口令，在資料庫主機中植入木馬 20

Chapter 04 案例分析——各種網路環境中的木馬攻擊 14

4.1 福彩詐欺案中的木馬入侵攻擊流程分析 21

4.2 “木馬”之名的來源及其危害 22

Chapter 05 遠控千里之外——遠程木馬後門攻擊 23

5.1 從灰鴿子看木馬遠程控制危害 23

5.1.1 準備誘餌，配置生成木馬服務端 24

5.1.2 監聽反彈，肉雞上線 27

5.1.3 竊密——木馬如何操作遠程電腦檔案 28

5.1.4 偷窺——監控遠程桌面與攝像頭 29

5.1.5 搶奪——控制遠程電腦滑鼠與鍵盤 31

5.1.6 徹底淪陷——操作遠程電腦系統設定 32

5.1.7 木馬控制肉雞，成為再次入侵的跳板 36

5.2 四款遠程控制木馬的配置與使用 37

5.2.1 強力穿透區域網路的PcShare木馬 37

5.2.2 集成域名反彈的上興遠程控制 42

5.2.3 甲殼蟲Gh0st上線字串，隱藏入侵來源 48

5.2.4 黑暗使者——DRAT遠程控制木馬 50

Chapter 06 打通網路阻礙，各種木馬上線方式 53

6.1 木馬難識途，動態IP、區域網路與木馬控制連線的關係 53

6.1.1 動態IP位址，無法確定連線目標 53

6.1.2 區域網路IP位址，無法穿透網關阻礙 54

6.2 鎖定變化IP，動態域名木馬連線 54

6.2.1 DDNS動態域名服務 55

6.2.2 使用希網動態域名反彈木馬 55

6.3 動態IP使用FTP更新上線 57

6.3.1 申請FTP空間 58

6.3.2 配置FTP更新木馬服務端 59

6.3.3 FTP更新反彈IP位址 59

6.4 連線埠映射突破區域網路IP限制 60

6.4.1 NAT連線埠映射開闢區域網路木馬連線通道 60

6.4.2 同維DSL699E2連線埠映射設定 61

6.4.3 TP-Link 541G路由器連線埠映射控制木馬 62

6.5 參考案例：區域網路動態域名完全解決Bifrost木馬區域網路上線問題 64

6.5.1 反彈木馬Bifrost的配置 64

6.5.2 區域網路動態域名設定詳解 65

6.6 不讓肉雞丟失，永久免費區域網路域名服務 69

6.6.1 區域網路域名服務失效導致肉雞丟失 70

6.6.2 信使網路通的5天免費期限 70

6.6.3 域名轉發讓區域網路域名服務永久免費 71

6.7 完全免費的區域網路域名解析服務 72

6.7.1 開啟“蘋果茶”區域網路域名服務 73

6.7.2 配置木馬DNS域名上線 73

6.7.3 TCP隧道方式的“蘋果茶” 74

6.7.4 TCP隧道方式木馬上線 74

Chapter 07 馬行天下，特洛伊之計 75

7.1 李代桃僵，正常程式中捆綁木馬 76

7.1.1 最簡單的木馬捆綁機ExeBinder 76

7.1.2 功能強大的Crucified捆綁器 77

7.1.3 永不查殺木馬捆綁機 78

7.1.4 WinRAR打造不被查殺的完美木馬捆綁 79

7.2 注入式木馬捆綁，將木馬分解隱藏至多個檔案 86

7.2.1 準備木馬宿主 86

7.2.2 木馬植入前須計算空間 86

7.2.3 化整為零，分體植入法 87

7.2.4 添加區塊，整體植入 88

7.2.5 修改檔案時間，完美偽裝 88

7.3 克隆檔案信息，木馬捆綁終極形態 89

7.3.1 偽裝圖示 89

7.3.2 偽裝版本信息 90

7.3.3 偽裝檔案體積和時間 91

7.4 利用圖示偽裝與溢出，製作圖片文本木馬 92

7.4.1 將木馬偽裝成圖片附屬檔案 92

7.4.2 文本附屬檔案木馬 92

7.4.3 使用雙後綴名偽裝木馬 93

7.4.4 系統漏洞溢出型圖片木馬 94

7.4.5 圖片木馬的傳播 97

7.5 共享資源藏玄機，偽裝成電子書與軟體的木馬 99

7.5.1 看書也會中木馬？電子書木馬的製作 99

7.5.2 盜版Windows系統中的變態木馬 101

7.6 聲色誘惑，Flash動畫木馬陰謀 105

7.6.1 Flash動畫木馬攻擊的原理 106

7.6.2 Falsh動畫手工製作過程 106

7.6.3 Flash插馬器快速生成動畫木馬 108

7.6.4 Flash木馬的傳播利用 109

7.7 WMV/RM/MOV視頻短片難逃木馬陷阱 110

7.7.1 誘惑眼球的視頻木馬 110

7.7.2 無處不在的WMV視頻木馬 111

7.7.3 免費電影有貓膩——RM視頻木馬 112

7.7.4 MOV短片中的視頻木馬 116

7.7.5 視頻木馬的特洛伊之計 119

7.8 絲竹亂耳，音樂之中藏木馬 120

7.8.1 WMA音樂與DRM加密木馬 120

7.8.2 DRM加密打包製作WMA木馬 120

7.8.3 用插馬器簡單製作WMA音樂木馬 121

7.8.4 MP3/MP4音樂也會被放馬 122

7.9 針對辦公型計算機的木馬傳播與攻擊 126

7.9.1 通過IM工具傳播木馬 126

7.9.2 夾帶在辦公文檔中的木馬 127

7.10 木馬後門變蠕蟲，自我感染傳播 131

7.10.1 下載者自動更新木馬服務端 131

7.10.2 將木馬後門煉成蠕蟲病毒 132

Chapter 08 躲過查殺，木馬的免殺伎倆 135

8.1 免殺的原理與常見手段 135

8.1.1 防毒軟體查殺病毒的原理 135

8.1.2 常見的木馬免殺手段 136

8.2 檔案與記憶體特徵碼定位，找到木馬被殺之源 137

8.2.1 “替換法”和“二叉數法”在特徵碼定位中的套用 137

8.2.2 MyCCL定位Gh0st木馬檔案特徵碼的例子 138

8.2.3 MyCCL結合TK.Loader定位記憶體特徵碼 142

8.2.4 CCL定位記憶體特徵碼 144

8.3 從黑名單中除名，修改特徵碼的6種方法 146

8.3.1 修改特徵碼免殺的一般操作步驟 146

8.3.2 VMProtect加密特徵碼 147

8.3.3 00填充法 149

8.3.4 通用跳轉法修改特徵碼 150

8.3.5 ADD與SUB互換 153

8.3.6 指令順序調換法 153

8.3.7 修改字元串特徵碼 153

8.4 壓縮整容，加殼免殺 154

8.4.1 殼的分類與木馬免殺 155

8.4.2 加殼免殺前的準備 156

8.4.3 加殼免殺與殼的偽裝 156

8.4.4 加殼免殺的核心——加密殼 157

8.5 層層加殼免殺，給木馬披上多層彩衣 159

8.5.1 多重加殼免殺工具——木馬彩衣 159

8.5.2 可多次加殼的“北斗壓縮” 160

8.5.3 BT手術，打造多重加殼木馬 161

8.6 修改加殼的特徵碼，免殺成功率100% 165

8.6.1 選定目標，mPack加密工具 165

8.6.2 定位加殼後的特徵碼 166

8.6.3 修改特徵碼 167

8.6.4 製作檔案補丁，一勞永逸 167

8.7 修改入口點和加入花指令免殺 168

8.7.1 Gh0st入口點加1過瑞星記憶體查殺 169

8.7.2 修改入口點免殺 169

8.7.3 使用工具加花指令 170

8.7.4 手動加花指令免殺 171

8.7.5 彙編花指令的5種修改方法 171

8.8 參考案例：Gh0st遠程控制木馬服務端程式加花指令免殺 180

8.8.1 準備花指令 180

8.8.2 定位入口點地址 181

8.8.3 寫入花指令 181

8.8.4 跳回真實入口點 181

8.8.5 修改入口點 182

8.9 打亂結構，PE檔案頭免殺法 183

8.9.1 PE檔案結構的知識 183

8.9.2 MaskPE自動修改木馬PE 185

8.9.3 手工修改PE檔案頭免殺 185

8.9.4 參考案例：使用PE檔案頭移位法對Gh0st木馬免殺 185

8.10 輸入表免殺法 188

8.10.1 PE檔案結構中的輸入表 188

8.10.2 輸入表函式名移位免殺 189

8.10.3 不移動輸入表函式的幾種修改方法 191

8.10.4 重建輸入表免殺法 193

8.10.5 輸入表函式加密隱藏免殺法 195

8.11 將免殺進行到底，導出資源的免殺 197

8.11.1 參考案例：ByShell木馬導出資源免殺 197

8.11.2 木馬服務端資源分析 198

8.11.3 查殼脫殼 198

8.11.4 瀏覽導出資源 198

8.11.5 修改免殺導出資源 199

8.11.6 導入免殺資源 201

8.12 如何徹底免殺木馬——關於木馬免殺操作方法的總結 202

8.12.1 綜合免殺的順序 202

8.12.2 免殺時需要注意的一些事項 202

8.12.3 深入學習彙編知識 204

Chapter 09 正常遠控軟體淪為木馬後門 205

9.1 曾經的4899漏洞，Radmin淪為免殺木馬 205

9.1.1 Remote Administrator的特點 205

9.1.2 使用Remote遠程控制 205

9.1.3 墮落，Radmin變免殺木馬 207

9.2 變臉——TeamViewer打造完全免殺的區域網路木馬 210

9.2.1 超強遠控TeamViewer 210

9.2.2 正常狀態下的TeamViewer 210

9.2.3 TeamViewer的木馬改造計畫 211

9.2.4 TeamViewer在肉雞上的使用 213

9.2.5 TeamViewer木馬的強大控制功能 213

Chapter 10 木馬與主動防禦的較量 216

10.1 攻防之間，主動防禦技術與木馬的突破 216

10.1.1 主動防禦成為防毒軟體的主流 216

10.1.2 木馬突破主動防禦的幾種方式 217

10.2 自動恢復SSDT表——最古老的過主動防禦木馬ByShell 220

10.2.1 SSDT表與ByShell木馬過主動原理 221

10.2.2 ByShell木馬服務端配置 222

10.2.3 木馬無聲無息運行 223

10.2.4 ByShell木馬的遠程控制功能 224

10.2.5 關於ByShell的防範 224

10.3 防毒軟體智慧型主動防禦的軟肋——無驅恢復系統SSDT表 225

10.4 完全過主動防禦的木馬——Poison Ivy 226

10.4.1 生成木馬服務端程式 226

10.4.2 監聽上線遠程控制 228

10.4.3 關於Poison Ivy的免殺 229

10.5 強悍的過主動防禦木馬ZXShell 230

10.5.1 生成服務端程式 231

10.5.2 ZXShell悄悄過主動防禦 231

10.6 尋找防毒軟體主動防禦的套用層漏洞 232

10.6.1 尋找漏洞的原理 232

10.6.2 參考案例：灰鴿子批處理過防毒軟體主動防禦與360安全衛士 232

Chapter 11 捉迷藏的安全遊戲——木馬後門的隱藏與追蹤 235

11.1 木馬後門隱藏技術的發展 235

11.1.1 Windows 9x時代，最原始的隱藏型木馬 235

11.1.2 無進程、無視窗，採用執行緒注射技術的DLL木馬 236

11.1.3 以服務方式啟動的DLL木馬 236

11.1.4 Rootkit木馬將隱藏進行到底 237

11.2 深入執行緒，揭密DLL注入木馬 237

11.2.1 DLL注入木馬揭密 238

11.2.2 多重注入的DLL木馬Nuclear RAT 239

11.2.3 DLL木馬病毒的防範 241

11.2.4 DLL木馬清除方案 243

11.3 系統X光，揪出Rootkit木馬後門 246

11.3.1 Rootkit木馬的原理 246

11.3.2 Windows環境下的Rootkit後門 246

11.3.3 魔高一尺，道高一丈——Rootkit的清除 247

11.4 無所遁形——清除木馬後門的通用方案 249

11.4.1 木馬後門的常見劫持手段 249

11.4.2 全面診斷，清除未知木馬後門 250

Chapter 12 電子取證，木馬後門的追蹤分析 255

12.1 網關嗅探，定位攻擊者蹤跡 255

12.2 分析木馬服務端程式進行取證 257

12.3 典型案例：遠控木馬SRAT的電子取證 257

12.3.1 查找定位未知的DLL木馬 258

12.3.2 木馬後門分析取證 258

Chapter 13 “一夫當關”不可取，多管齊下保全全——大型網路的網關防毒方案 261

13.1 網關防毒技術在企業網路中的套用 261

13.1.1 客戶端、伺服器防毒方案的缺點 261

13.1.2 網關防病毒技術的發展與套用 261

13.2 網關防毒牆在企業防毒整體解決方案中的套用 263

13.2.1 防毒網關產品的選擇 263

13.2.2 防毒網關的部署與套用 264

13.3 參考案例：天津石化網路安全體系中的網關防毒牆套用案例 265

13.3.1 客戶背景 265

13.3.2 天津石化網路安全分析 265

13.3.3 方案設計 266

13.3.4 建設目標 266

中篇 大中型網路中的Web入侵掛馬攻擊

Chapter 14 開篇案例——多家網站被掛“溫柔馬”，涉案3000餘萬元的全國

Chapter 14 特大制售木馬案 268

14.1 案例類型及背景信息 268

14.2 “溫柔”木馬案還原 269

14.2.1 “溫柔”盜號木馬的誕生 269

14.2.2 盯上徐州購物網 271

14.2.3 尋找上傳地址 272

14.2.4 製作網頁木馬 273

14.2.5 植入網頁，實施掛馬攻擊 274

14.2.6 收取盜取的遊戲賬號 274

Chapter 15 案例分析——“溫柔”木馬案與“一夜暴富”的木馬黑市 275

15.1 集團化木馬攻擊網路及暴利的地下信息黑市 275

15.1.1 網頁掛馬攻擊流程 275

15.1.2 罪惡的掛馬攻擊賺錢術曝光 276

15.2 不只被嫁禍陷害，網站面臨更大的危機 277

Chapter 16 嫁禍網站，網頁掛馬藏危機 278

16.1 緣何暗藏危機——網頁木馬揭秘 278

16.1.1 系統漏洞型網頁木馬 278

16.1.2 軟體漏洞型網頁木馬 279

16.2 瀏覽器之罪——IE與FireFox等瀏覽器網馬攻擊 279

16.2.1 IE7 CFunctionPointer函式記憶體破壞製作網馬 280

16.2.2 製作IE7 XML溢出網馬 281

16.2.3 IE記憶體破壞大累積，MS09-014網馬攻擊 282

16.2.4 FireFox並非很安全，FireFox網馬攻擊 283

16.2.5 參考案例——“極光”掛馬案，Google及多家企業網路入侵事件 284

16.2.6 最典型的系統組件溢出網馬——MS09-032 MPEG-2視頻0DAY漏洞網馬 286

16.3 影音媒體，多災多難——影音軟體漏洞型網馬 287

16.3.1 Adobe Flash Player外掛程式與Flash網馬 287

16.3.2 RealPlay ActiveX控制項播放列表名稱溢出網馬 288

16.3.3 PPStream與PPLive溢出漏洞與網馬製作 289

16.4 藉助IE，外掛程式與下載網馬 292

16.4.1 搜霸變“惡霸”，搜尋掛馬攻擊 292

16.4.2 迅雷下載藏威脅 294

16.5 漏洞大戶，Office系列軟體 295

16.6 無處不在——其他常見軟體網馬溢出攻擊 296

16.6.1 雅虎Yahoo Messenger聊天軟體，來自攝像頭的威脅 298

16.6.2 壓得再緊也有漏洞——WinRAR壓縮軟體溢出網馬 298

16.6.3 綜合性的網馬生成器 299

Chapter 17 網馬與防毒軟體的較量——網頁木馬免殺技術 301

17.1 定位修改網頁木馬特徵碼 301

17.1.1 定位特徵碼 302

17.1.2 修改特徵碼，免殺網頁木馬 303

17.2 工具加密網頁，殺軟看不見 305

17.3 escape與進制轉換加密綜合網馬 306

17.3.1 最簡單的escape加密法 306

17.3.2 進制轉換加密網馬 308

17.4 Encode加密免殺網馬 309

17.5 加空字元與亂碼混淆加密法 310

Chapter 18 不留痕跡的入侵掛馬方式——跨站腳本攻擊原理及分析 312

18.1 被遠程寫入的跨站攻擊代碼 312

18.2 尋隙而入，常見跨站腳本攻擊手段 313

18.2.1 標準的XSS漏洞測試代碼 313

18.2.2 IMG圖片標記屬性跨站攻擊法 314

18.2.3 利用DIV標籤屬性跨站 314

18.2.4 無須“<>”，利用HTML標記事件屬性跨站 314

18.2.5 外接樣式表漏洞跨站 316

18.2.6 利用insertAdjacentHTML方法跨站 316

18.2.7 用javascript換行與空格突破過濾 317

18.2.8 轉代碼，繞過濾 317

18.2.9 JS還原函式法 319

18.2.10 最常用的幾條跨站測試語句 319

18.3 幾種跨站掛馬代碼 320

18.4 參考案例：誰泄露了考卷？杭州某中學跨站掛馬攻擊案例 320

18.4.1 網站源碼分析 321

18.4.2 留言本過濾函式錯誤與過濾不嚴漏洞 321

18.4.3 代碼轉換跨站測試 322

18.4.4 突破“&”符號過濾 323

18.4.5 十六進制編碼轉換跨站成功 324

18.4.6 掛馬攻擊控制教務處電腦 324

Chapter 19 尋隙而入，網頁木馬的傳播 325

19.1 暴力與外鏈，入侵網站直接掛馬 325

19.1.1 內嵌外鏈，大型網站遭受掛馬攻擊 325

19.1.2 利用WebShell批量掛馬很方便 327

19.2 利用知名站點欺騙掛馬 327

19.2.1 利用Google圖片搜尋掛馬 328

19.2.2 利用Google的URL跳轉掛馬 330

19.3 常用軟體漏洞跨站掛馬——WinRAR與MP3掛馬新招 331

19.3.1 WinRAR壓縮檔掛馬攻擊 331

19.3.2 欣賞音樂要小心，MP3掛馬攻擊 335

19.4 利用第三方瀏覽器漏洞掛馬 335

19.4.1 “繼承”的危險——第三方瀏覽器漏洞原因 335

19.4.2 魚是這樣釣的——第三方瀏覽器掛馬 336

19.5 網頁木馬製作與傳播的技巧 337

19.5.1 掛馬與木馬程式的選擇 337

19.5.2 一個都不能少——網頁木馬合併 337

19.6 掛馬語句大全 340

Chapter 20 所有網路均需規避網馬威脅 343

20.1 防止網頁木馬，構築網站安全後盾 343

20.1.1 網站被掛馬的危害及防範 343

20.1.2 設定檔案許可權，防範嵌入式修改掛馬 344

20.2 動手稽查，清除網站僵蟲 344

20.2.1 使用掛馬防火牆，實時智慧型清除掛馬代碼 344

20.2.2 清除掛馬代碼與WebShell的安全工具 348

20.3 解密網馬與掛馬語句，分析攻擊來源 350

20.3.1 另外儲存法解密亂碼網頁 350

20.3.2 eval與document.write轉換法 350

20.3.3 <xmp>標籤與document.getElementById解密長代碼 353

20.3.4 逆序代碼的解密 354

20.3.5 參考案例：解密分析暗黑網馬 356

20.3.6 突破防源碼查看技術進行網頁解密 357

20.3.7 ShellCode的解密 357

20.4 從源頭防範網頁腳本攻擊 358

20.4.1 惠普與微軟提供的漏洞檢查器 358

20.4.2 深入檢測審計，阻止XSS跨站掛馬漏洞 360

20.5 修改網頁代碼，讓掛馬代碼失效 362

20.5.1 利用CSS屬性expression阻止IFRAME掛馬 363

20.5.2 拒絕一切外鏈JS，阻止JS腳本掛馬 364

下篇 大中型網路中的網站伺服器群組入侵與防護

Chapter 21 開篇案例——四川某市房管局網站伺服器內部網路入侵紀實 386

21.1 案例類型及背景信息 368

21.2 四川省某市房管局網路入侵案例還原 369

21.2.1 目標分析與方案確定 369

21.2.2 Oracle注入utl_http存儲攻擊嘗試 369

21.2.3 連結網站的注入突破 370

21.2.4 資料庫截獲FTP賬號，上傳WebShell後門 372

21.2.5 可望不可及的MySQL伺服器 374

21.2.6 反彈Shell，Linux溢出提權 375

21.2.7 旁註檢測C段網站伺服器 376

21.2.8 注入與Serv-U提權打開突破口 378

21.2.9 滲透入侵內部網路伺服器群組 380

Chapter 22 案例分析——網站伺服器群組的淪陷 389

22.1 某市房管局網站伺服器群組遭受攻擊的流程 386

22.1.1 攻擊者的入侵流程分析 386

22.1.2 常見的伺服器控制手法分析 388

Chapter 23 Web入侵先遣——SQL注入攻擊技術初探 389

23.1 注入前的準備及注入漏洞的檢測 389

23.1.1 取消友好HTTP錯誤信息 389

23.1.2 手工檢測SQL注入點 390

23.2 Access資料庫注入攻擊基本技術 390

23.2.1 爆出資料庫類型 390

23.2.2 猜資料庫名 392

23.2.3 猜欄位名及欄位長度 392

23.2.4 猜欄位值 392

23.3 參考案例：Access注入攻擊武漢某大學網站 392

23.3.1 猜解資料庫表名及欄位 393

23.3.2 猜解欄位長度 394

23.3.3 猜解欄位內容 394

23.4 SQL注入中的高效查詢——order by與union select 396

23.4.1 order by猜欄位數目 396

23.4.2 union select爆欄位內容 396

23.5 參考案例：union select查詢攻擊武漢某大學 396

Chapter 24 MsSQL資料庫高級查詢所帶來的注入 威脅 398

24.1 MsSQL注入點的基本檢測 398

24.1.1 注入點類型的判斷 398

24.1.2 注入點許可權判斷 398

24.1.3 MsSQL返回信息判斷 399

24.2 利用MsSQL擴展存儲注入攻擊 399

24.2.1 檢測與恢復擴展存儲 399

24.2.2 攻擊中最常利用的擴展存儲 400

24.2.3 sa許可權下擴展存儲攻擊利用方法 400

24.2.4 dbowner許可權下的擴展攻擊利用 402

24.3 參考案例：MsSQL注入攻擊華易網 403

24.3.1 MsSQL注入點信息檢測 403

24.3.2 檢測擴展存儲 404

24.3.3 利用擴展存儲開啟遠程終端 404

24.3.4 查看命令執行結果 405

24.3.5 獲取當前Web目錄 406

24.3.6 寫入一句話木馬 406

24.3.7 上傳木馬SQL注入執行 407

24.4 MsSQL注入猜解資料庫技術 407

24.4.1 having與group by查詢爆表名與欄位名 407

24.4.2 參考案例：MsSQL注入某政府網爆表與欄位名 408

24.4.3 order by與數據類型轉換爆錯法 409

24.4.4 參考案例：MsSQL高效注入某政府網站 411

24.4.5 查詢爆庫的另一種方法 416

24.4.6 參考案例：換一種方法注入某政府網 417

24.4.7 union select查詢注入技術 419

24.5 參考案例：聯合查詢注入**網 420

24.5.1 判斷資料庫類型 420

24.5.2 查詢欄位數 421

24.5.3 確認數據類型 422

24.5.4 查詢資料庫名 422

24.5.5 查詢當前資料庫中的所有表 423

24.5.6 查詢欄位名 423

24.5.7 查詢欄位值內容 424

24.5.8 同時返回用戶名與密碼 425

24.6 MsSQL 2005注入 425

24.6.1 判斷MsSQL 2005資料庫 426

24.6.2 MsSQL 2005顯錯模式下爆數據 426

24.6.3 MsSQL 2005利用擴展存儲的注入攻擊技術 427

24.6.4 MsSQL 2005的盲注入攻擊技術 427

24.7 參考案例：MsSQL 2005注入攻擊“**商旅網” 428

24.7.1 檢測注入點信息 429

24.7.2 爆出資料庫名 431

24.7.3 爆出管理員數據表 431

24.7.4 爆賬號、密碼欄位 432

24.7.5 爆出管理員賬號密碼 433

24.7.6 登錄後台管理頁面 433

Chapter 25 系統表向攻擊者泄密——MySQL注入技術 435

25.1 MySQL資料庫常見注入攻擊技術 435

25.1.1 MySQL 4注入攻擊技術 435

25.1.2 MySQL 5版本的注入攻擊技術 435

25.1.3 利用load_file()函式進行MySQL注入攻擊 436

25.2 參考案例：MySQL注入攻擊檢測成都市某縣公眾信息網 436

25.2.1 注入點信息檢測 436

25.2.2 load_file()獲取敏感信息 437

25.2.3 獲取Web路徑 437

25.2.4 load_file()讀取敏感檔案 438

25.3 MySQL注入中Web路徑的獲取 439

25.3.1 直接在出錯信息中顯示Web路徑 439

25.3.2 load_file(char(47))列出freebsd目錄 439

25.3.3 “/etc/passwd”檔案中的工作目錄 440

25.3.4 讀取apache的配置檔案“httpd.conf”獲取Web路徑 440

25.4 利用load_file()讀取各種配置檔案 441

25.4.1 load_file()讀取伺服器配置檔案 441

25.4.2 load_file()讀取二進制檔案 441

25.4.3 load_file()函式讀取檔案時不可忽略的問題 442

25.5 參考案例：load_file()讀取SAM密碼檔案入侵江蘇某技術學院 443

25.5.1 判斷目標主機系統版本 443

25.5.2 讀取SAM密碼檔案 444

25.5.3 導出SAM檔案內容 444

25.5.4 LC5導入破解SAM檔案 445

25.6 LIMIT查詢在MySQL 5注入中的利用 445

25.6.1 information_schema結構包含資料庫關鍵信息 446

25.6.2 LIMIT子句查詢指定數據 446

25.6.3 LIMIT爆庫、爆表與爆欄位 447

25.7 參考案例：LIMIT注入攻擊江門市某家具公司網站 447

25.7.1 注入點信息檢測 447

25.7.2 爆資料庫名 448

25.7.3 查詢資料庫中的表名 448

25.7.4 查詢表中的列名及內容 449

25.8 group_concat()快速實施MySQL注入攻擊 450

25.8.1 爆所有數據名 450

25.8.2 爆當前庫的所有表 450

25.8.3 爆表中的欄位名 450

25.8.4 爆指定欄位值 451

25.9 參考案例：group_concat()查詢新浪親子中心注入點 451

25.9.1 一步完成注入點信息檢測 451

25.9.2 爆當前庫所有表名及欄位內容 451

25.10 章未案例：MySQL注入滲透四大入口網站 453

25.10.1 從注入到滲透測試新浪分站的經過 453

25.10.2 對其他一些入口網站的入侵測試 468

Chapter 26 JSP+Oracle平台注入攻擊技術 472

26.1 Oracle注入點信息基本檢測 472

26.1.1 Oracle注入點判斷 472

26.1.2 注入點信息判斷 473

26.2 利用Oracle系統表爆資料庫內容 473

26.2.1 爆出庫名 473

26.2.2 獲取表名 473

26.2.3 獲取欄位名 474

26.2.4 獲取欄位內容 474

26.3 參考案例：手工Oracle注入某足彩線上網站 474

26.3.1 判斷注入點 474

26.3.2 欄位數目與欄位類型檢測 475

26.3.3 檢測注入點信息 476

26.3.4 查詢獲取表名 476

26.3.5 查詢獲取欄位名及內容 477

26.3.6 登錄後台上傳WebShell 477

26.4 UTL_HTTP存儲過程反彈注入攻擊 478

26.4.1 判斷UTL_HTTP存儲過程是否可用 479

26.4.2 監聽本地連線埠 479

26.4.3 UTL_HTTP反彈注入 479

26.4.4 UTL_HTTP反彈注入實例 479

26.5 SYS.DBMS_EXPORT_EXTENSION.GET_DOMAIN_ INDEX_TABLES()

26.5 函式直接獲得系統許可權 480

26.5.1 SYS.DBMS_EXPORT_EXTENSION.GET_DOMAIN_ INDEX_TABLES()

26.5.1 函式利用方式 480

26.5.2 Oracle注入點創建runCMD，執行任意系統命令 480

26.5.3 創建readFile()函式讀取檔案 482

26.5.4 創建賬號遠程連線Oracle資料庫 484

26.5.5 利用Oracle賬號遠程執行CMD命令 485

26.5.6 反彈注入攻擊中的常見問題 486

Chapter 27 滲透的核心與目標——提權分類與常見手法 488

27.1 提權分類——縱向提權與橫向提權 488

27.2 常見的WebShell提權方法 489

Chapter 28 先天不足與後天缺陷——系統設定與第三方軟體缺陷提權 490

28.1 利用許可權設定不嚴提權 490

28.1.1 迅雷下載提權 490

28.1.2 PCAnywhere連線提權 491

28.1.3 erveryone完全控制執行程式 491

28.1.4 adsutil.vbs提權 492

28.1.5 VNC遠程控制提權 492

28.1.6 FlashFXP提權 492

28.1.7 系統啟動提權利用 493

28.2 最流行的Serv-U提權 493

28.2.1 Serv-U密碼覆蓋提權 493

28.2.2 暴力破解Serv-U密碼提權 494

28.3 Serv-U 7/8提權新技術——管理控制台提權 496

28.3.1 管理控制台密碼驗證不嚴——Serv-U 7/8提權原理 497

28.3.2 Serv-U 7/8提權的兩種方式 498

28.3.3 Serv-U 7/8自動提權網馬後門 499

28.4 Serv-U目錄遍歷漏洞結合弱口令提權 500

28.4.1 Serv-U目錄遍歷漏洞介紹 500

28.4.2 Serv-U目錄遍歷漏洞提權操作 500

28.5 特殊的繼續，服務特權提權 502

28.5.1 Magic Winmail許可權繼承提權 502

28.5.2 PandaGuard防毒軟體服務替換提權 503

28.5.3 Windows下的Apache服務繼承提權 504

Chapter 29 最犀利的遠程溢出縱/橫向提權 507

29.1 利用最簡單的MS08-066 Windows AFD驅動溢出提權 507

29.1.1 MS08-066 Windows AFD驅動溢出漏洞介紹 507

29.1.2 Windows AFD驅動溢出提權利用 508

29.2 遲遲未補的漏洞，Windows Token Kidnapping溢出網站提權 509

29.2.1 Windows Token Kidnapping溢出漏洞介紹 509

29.2.2 Windows Token Kidnapping溢出提權利用 509

29.3 Microsoft IIS FTP溢出，縱向與橫向提許可權 510

29.3.1 Microsoft IIS FTP溢出漏洞介紹 510

29.3.2 IIS在溢出提權中的使用 511

29.4 SMB NT Trans緩衝區遠程溢出提權 513

29.4.1 SMB NT Trans緩衝區遠程溢出漏洞簡介 513

29.4.2 SMB協定遠程溢出提權方法 513

29.5 成功率極高的MS08-025溢出提權 514

29.5.1 MS08-025溢出漏洞簡介 514

29.5.2 MS08-025本地溢出提權 514

29.6 溢出DDOS，重啟提權 515

29.6.1 win32k.sys溢出重啟攻擊 515

29.6.2 Online Armor主機防禦系統引發提權 516

29.6.3 防毒軟體ArcaVir 2009溢出提權 517

29.7 溢出型木馬，特殊提權之法 518

29.7.1 IE 7.0 DirectShow Heap Spray溢出提權 518

29.7.2 MS Office網馬溢出提權 520

Chapter 30 資料庫提權之MsSQL提權 524

30.1 極度危險的xp_cmdshell——利用MsSQL資料庫存儲擴展提權 524

30.1.1 獲取當前用戶許可權 524

30.1.2 存儲擴展檢測與恢復 525

30.1.3 存儲擴展提權利用 525

30.1.4 利用MsSQL開啟3389遠程終端 527

30.2 xp_cmdshell及其他存儲擴展的恢復與提權 527

30.2.1 利用工具簡單恢復xp_cmdshell 527

30.2.2 恢復執行xp_cmdshell存儲擴展時遇到的常見情況 528

30.2.3 sp_addextendedproc存儲過程的恢復 529

30.2.4 恢復其他危險的存儲擴展 530

30.2.5 SQL Server 2005開啟存儲過程的方法 531

30.3 繞過xp_cmdshell執行系統命令 531

30.3.1 用sp_oacreate與sp_oamethod存儲擴展創建ActiveX腳本提權 531

30.3.2 代理惹禍——利用SQL Server Agent提權 533

30.3.3 借Access之名，沙盒模式提權 534

30.3.4 利用VBS腳本的WinNT對象，繞過CMD命令限制提權 537

30.4 sa弱口令與Shift後門巧妙提權 538

Chapter 31 資料庫提權之MySQL提權 541

31.1 利用MySQL讀取檔案的幾種方式及提權套用 541

31.1.1 在MySQL 3.x中讀取檔案 541

31.1.2 在MySQL 4.x中讀取檔案 541

31.1.3 在MySQL 5.x中讀取檔案 541

31.1.4 MySQL讀取檔案在入侵中的利用 542

31.2 MySQL只需一句SQL，導出一句話木馬拿WebShell 542

31.3 MySQL資料庫Root弱口令導出VBS啟動提權 543

31.3.1 連線MySQL資料庫 543

31.3.2 導出VBS腳本 544

31.3.3 重啟運行VBS提權 544

31.4 經典的MySQL UDF提權 545

31.4.1 關於MySQL Func漏洞 545

31.4.2 MySQL Func漏洞與函式創建提權 547

31.4.3 Mix.dll與My_udf.dll後門提權操作實戰 548

31.4.4 MySQL UDF提權專用網馬 552

31.4.5 全能的UDF提權DLL後門檔案 554

Chapter 32 資料庫提權之Oracle提權 558

32.1 DBSNMP賬戶默認口令帶來攻擊威脅 558

32.1.1 Oracle 9i的默認DBSNMP賬戶 558

32.1.2 Oracle 10/11g中DBSNMP賬戶的“假象” 559

32.1.3 DBSNMP賬戶許可權存在安全威脅 559

32.2 Oracle 10/11g中危險的“低許可權”賬戶黑名單 560

32.3 參考案例：低許可權Oracle賬戶提權的滲透測試 562

32.3.1 攻擊目標及滲透環境 562

32.3.2 關閉Samba服務 562

32.3.3 搭建Samba欺騙伺服器 563

32.3.4 Oracle資料庫連線提權 563

Chapter 33 開闢提權通道——WebShell反彈Shell命令視窗 565

33.1 低許可權WebShell反彈CMDShell 565

33.2 在Linux下通過WebShell反彈Shell的技巧 566

33.2.1 使用PHP WebShell木馬反彈Shell 566

33.2.2 使用nc反彈Shell 567

33.2.3 遠程主機無nc工具時的解決辦法 567

33.3 命令行下查看遠程終端信息 569

33.4 一種奇特的在命令行下添加賬號的技巧 570

Chapter 34 遠程ARP欺騙與嗅探，區域網路橫向提權 571

34.1 假冒“中間人” ——ARP欺騙截獲數據 571

34.1.1 ARP協定的簡單介紹 571

34.1.2 雙面欺騙——ARP欺騙嗅探原理 571

34.2 Cain&Abel嗅探3389密碼提權實例 572

34.2.1 配置嗅探項目與欺騙目標 573

34.2.2 嗅探終端數據信息 574

34.2.3 還原與破解嗅探數據 575

Chapter 35 Linux系統環境下的入侵提權與遠程控制 576

35.1 Linux下的UDEV本地溢出漏洞提升許可權 576

35.1.1 UDEV與NETLINK訊息溢出 576

35.1.2 判斷目標是否有UDEV溢出漏洞 579

35.1.3 編譯與溢出提權 579

35.1.4 連線控制Linux主機 581

35.2 參考案例：FreeBSD環境下的MySQL與PHPMyAdmin入侵提權 581

35.2.1 WebShell抓取密碼檔 582

35.2.2 MySQL讀取密碼檔 583

35.2.3 PhpMyAdmin運算元據庫 583

35.2.4 JOHN破解密碼檔 584

35.3 多平台口令密碼破解器John the Ripper使用參考 585

35.3.1 John the Ripper的命令格式 585

35.3.2 John the Ripper的破解模式 587

35.3.3 “JOHN.INI”破解配置檔案的格式 587

35.4 Linux肉雞掃描控制在滲透中的利用 589

35.4.1 掃描弱口令Linux主機 589

35.4.2 連線弱口令主機 590

35.4.3 遠程溢出控制Linux主機 591

35.5 完全操控，Windows遠程桌面控制Linux 592

35.5.1 VNC——跨平台的Linux遠程桌面控制 592

35.5.2 VNC的安裝與使用實例 593