黑客經驗談：跳板攻擊入侵技術實例解析

【賽迪網-IT技術報道】網絡入侵，安全第一。一個狡猾、高明的入侵者，不會冒然實行動。他們在入侵時前會做足功課，入侵時會通過各種技術手段保護自己，以防被對方發現，引火燒身。其中，跳板技術是攻擊者通常採用的技術。下面筆者結合實例，解析攻擊入侵中的跳板技術。

1、確定目標

攻擊者在通過掃瞄工具進行定點(IP)掃瞄或者對某IP段掃瞄的過程中發現了該系統(伺服器)的某個漏洞，然後準備實施攻擊。

比如，筆者通過對某IP段的掃瞄，發現該IP段IP地址為211.52.*.84的主機存在MYSQL漏洞，可以通過提權獲取系統權限進而控制該伺服器。

2、設計跳板

跳板通俗講就是一條通往目標主機的主機鏈，理論上講當然是鏈越長就越安全，但是鏈太長的話連接的速度太慢，因為其中的中轉太多。攻擊者往往會評估入侵風險，從而制定或者設計跳板。一般的原則是，如果是政府、軍隊等敏感部門往往跳板會比較多，甚至這些跳板主機會縱橫七大洲四大洋。另外，入侵國內伺服器往往也會需要國外的跳板主機。

另外跳板主機的選擇，入侵者往往是一些安全性一般速度較快，很少有人光顧的主機。因為如果是跳板出了安全問題，安全人員從中間入手，進行反向追蹤，定位入侵者的相對比較容易。

筆者演示進行入侵檢測的目標主機是一家韓國的伺服器(通過[url]www.ip138.com[/url]查詢)，綜合考慮，設計了三級跳板，即通過三個主機中轉在第三級跳板上進行目標主機的入侵就愛你從。設計的路線為：遠程登陸(3389)到一IP地址為203.176.*.237的馬來西亞伺服器;然後在該伺服器上通過CMD命令登陸到一IP地址為203.115.*.85的印度Cisco路由器;最後該路由器上telnet到一某韓國主機。最後以該韓國伺服器為工作平台實施MYSQL提權操作。

特別說明：攻擊者往往在跳板中加入路由器或者交換機(比如Cisco的產品)，雖然路由器的日誌文件會記錄登陸IP，但是可以通過相關的命令清除該日誌。並且這些日誌清除後將永遠消失，因為路由器的日誌保存在flash中，一旦刪除將無法恢復。如果跳板全部用主機的話，雖然也可以清除日誌，但是現在的恢復軟體往往可以恢復這些日誌，就會留下痕跡，網絡安全人員可以通過這些蛛絲馬跡可能找到自己。

3、跳板入侵

(1).第一跳，遠程桌面

開始→運行→mstsc，打開遠程桌面連接，輸入馬來西亞伺服器的IP地址203.176.*.237，隨後輸入用戶名、密碼即可遠程連接到該伺服器。

一個非常狡猾高明的的入侵者一般不會用自己平時使用的主機進行遠程桌面連接入侵，他們往往通過一些人員流動比較大的公共電腦進行入侵。如果找不到的話，他們一般不會用物理主機，會採用虛擬機系統進行入侵。因為物理主機的入侵會留下痕跡，就算刪除格式化也會被恢復。而虛擬機，入侵完成後可以刪除，呼之即來，棄之毫不可惜。

(2).第二跳，telnet路由器

打開伺服器命令行工具(cmd)，輸入telnet 203.115.*.85進行連接。該路由器是一Cisco設置了虛擬終端的密碼，輸入密碼進入路由器一般模式。此時即可以通過路由器telnet到下一個跳板。當然最好有該cisco路由器的特權密碼，敲入en，然後輸入特權密碼進入特權模式。因為就算沒有進入路由器的特權模式，但路由器還是記錄了此次登陸，因此一定要進入特權模式，通過路由器命令清除登陸記錄和歷史命令。筆者為了安全用SecureCRT(類似telnet)進行登陸。

作為一個狡猾的入侵者，在進入路由器特權模式後，不是馬上進入下一跳板。往往通過show user命令查看有沒有其他人(特別是管理員)登陸到路由器。如果存在其他登陸，一個謹慎的入侵者往往會放棄該跳板轉而用其他的跳板。

(3).第三跳，telnet主機

在路由器特權模式下，輸入telnet 203.115.*.85，隨後輸入用戶名及其密碼後就telnet到遠程主機系統給我們一個shell。

4.提權

至此，我們經過三級跳到達工作平台，然後就在該shell上進行目標主機的MYSQL提權操作。操作平台上筆者已經準備好了進行MYSQL提權的工具。輸入命令進行操作，筆者把相關的命令列舉出來：

cd msysqlcd binmysql -h 211.52.118.84 -uroot/. c:/mysql/bin/2003.txt

在工作平台上再打開一個cmd，輸入命令

nc 211.52.118.84 3306

即監聽該ip的3306端口，返回一個目標主機的shell，獲取該主機的控制權。

在該shell上輸入命令建立管理員用戶

net user test test /addnet localgour administrators test /add

下面看看對方是否開了遠程桌面連接，在命令行下敲入命令

netstat -ano

對方開3389端口，即可以進行遠程桌面的連接。

由於對方是XP系統，不能多用戶遠程連接，筆者的入侵檢測到此為止。

5、全身而退

入侵完成獲得目標主機的管理權限，入侵者就得擦除痕跡，準備撤退了。

(1).由於從目標主機獲得的shell反向連接獲得的，不會有日誌記錄，所以不用管直接斷開連接。

(2).上傳clearlog工具，清除telnet主機上的登陸日誌。

(3).輸入exit，退出路由器到主機的的telnet連接。在路由器上輸入

clear logging

分別用來清除登陸日誌。

(4).退出路由器登陸，通過工具清除遠程桌面主機上的登陸日誌，然後刪除登錄用帳戶和用戶目錄，註銷用戶。

總結：上面筆者結合實例演示了入侵者如何通過跳板進行入侵以及入侵善後的全過程，本文只是從技術的角度對跳板技術進行解析，目的是讓有興趣的讀者直觀地瞭解跳板技術的相關細節。當然，跳板技術是博大精深，遠非本文所能囊括，但其基本原來都類似，希望文本對大家瞭解這種技術有所幫助。

(