入侵兼反入侵的实例

作者：小菜更新时间：2025-03-05 点击数：

简介：一次入侵兼反入侵的实例Alpha.st@SCUThttp://www.cshu.net=====================================

【菜科解读】

一次入侵兼反入侵的实例Alpha.st@SCUThttp://www.cshu.net===============================================一次入侵兼反入侵的实例===============================================同学给我介绍了一个电子商务网站，因为自己读的就是电子商务专业，加上对网络安全比较感兴趣，所以看了这样的好网站，当然要帮忙测试下网络安全啦，首先做下常见端口扫描，咦，有状况．．．．．．screen.width-200) {this.width=screen.width-200;this.alt='点击查看全图';}" border=0>6129端口开了，6129是上段时间在网上比较流行的一个远程控制软件的端口，想想网管自己应该不会给自己主机装个这样的玩意儿吧。

难道．．．．．．．．嗯．．继续扫扫，调出流光，扫啊扫，建立空连接失败，没有弱口令，ＩＩＳ没有漏洞，ＭＳＳＱＬ连ＳＡ都改了密码．．．．．不会啊～这个网站防御措施做的还是蛮足的啊，怎么又像被人入侵过的痕迹呢？嗯．试试最近比较流行的那个ＭＳＳＱＬ溢出漏洞，试试看．．．．．screen.width-200) {this.width=screen.width-200;this.alt='点击查看全图';}" border=0>溢出成功！进去了．．．．screen.width-200) {this.width=screen.width-200;this.alt='点击查看全图';}" border=0>嗯嗯．．如果没有估计错的话，那么那个远程控制软件就是以前的入侵者留下来的咯，作为一个电子商务网站，不能够有效地解决网络安全这个问题，难怪国人现在对网上交易还不大放心，既然如此，那就好事做到底，帮网管把这主机的漏洞补上，堵了入侵者的后门，断了入侵者的后路．首先把要用到的工具都上传到目标主机上面去，建个IPC$管道，上传一些待会分析要用到的工具，如mport.exe这个能查看进程对应端口的体积小却功能强大工具．看下这主机有多少用户属于管理员组：screen.width-200) {this.width=screen.width-200;this.alt='点击查看全图';}" border=0>根据经验，像backup$这类的用户就一定是入侵者留下来的账号，因为在命令行下，像hacker$这样的用户名你用net user是看不到的，系统默认会隐藏掉，但是有个致命的缺点，就是net localgroup则可以列出组中所有用户，无论加了$还是没有加．接着继续判断其他用户的合法度．转到C:\Documents and Settings目录下，这个目录记录了曾经在目标主机上登陆过的用户的一些信息：screen.width-200) {this.width=screen.width-200;this.alt='点击查看全图';}" border=0>每个文件夹前面的创建日期可以给我们一点提示，管理员账号administrator创建于2002-02-01，除了webmaster是2002-11-19以外，其他的用户都比较接近，所以我们把重点放在webmaster上面，这时我们需要得到更多有个这个账号的信息，net user webmaster，得到此账号上次登陆时间是＂上次登录 2002/11/29 上午 08:44＂，也就是周五早上上班时间登陆的，再转向C:\Documents and Settings\webmaster\桌面>目录下：screen.width-200) {this.width=screen.width-200;this.alt='点击查看全图';}" border=0>桌面上有几个常用的快捷方式，想想倒也蛮符合此账号webmaster的身份，再转到C:\Documents and Settings\webmaster\「开始」菜单\程序>目录下，也只是几个网管常用的工具连接，所以我们初步断定webmaster这个账号为合法账号，那么我们就除掉backup$这个用户：net user backiup$ /del．查完了用户，就轮到查查入侵者是否有在主机上留下特洛伊木马程序或是其他远程控制程序此类的后门，这时就要用到前面上传的mport.exe啦，执行下mport.exe，咦，又有情况：screen.width-200) {this.width=screen.width-200;this.alt='点击查看全图';}" border=0>主机竟然开了远程终端，而且被换在了2887端口而不是默认的3389端口，看来又是入侵者的杰作．命令行下：netstat –an看看现在都有谁连接到主机上：screen.width-200) {this.width=screen.width-200;this.alt='点击查看全图';}" border=0>哈！真是巧，有人在连接终端，原来入侵者就在身边，那么补漏的工作更加刻不容缓，那么咱们也登陆上终端看看，说不定会有新的发现．登上终端，输入刚刚自己加的账号，熟悉的桌面又展现眼前．继续咱们的补漏工作，记得刚开始扫常见端口的时候主机开了80．查一查原来是台WEB发布服务器，主机上有5０来个网站，主机已经打了ＳＰ３，不存在idq/ida溢出，Unicode和二次解码漏洞也不存在，主目录设在了Ｅ盘下，也不必担心那几个默认的WEB共享文件夹，接着看看主机运行了哪些服务，按照以往的经验，凡是服务名开头的字母没有大写的，除了pcanywhere以外，都是入侵者自己留的后门或是其他别的什么．还有一些服务名没有改的远程控制软件一眼就可以看出来，像比较流行的Radmin：screen.width-200) {this.width=screen.width-200;this.alt='点击查看全图';}" border=0>入侵者虽然把服务端改成了sqlmsvr.exe这样比较容易迷惑人的名字，可是服务名没有改，还是很容易就被识破．screen.width-200) {this.width=screen.width-200;this.alt='点击查看全图';}" border=0>入侵者把远程终端的端口和显示名称及描述都改成了，可是服务名称还是没有改到．所以并不难找出．screen.width-200) {this.width=screen.width-200;this.alt='点击查看全图';}" border=0>服务名称还是把入侵者出卖了．找到这些后门后，先停服务，再把启动类型改为禁用！！接下来我们就要把我们进来时的漏洞堵上，到google搜下，这是有关ＭＳＳＱＬ这个溢出漏洞补丁的相关信息：厂商补丁：Microsoft已经为此发布了一个安全公告（MS02-039）以及相应补丁:MS02-039：Buffer Overruns in SQL Server 2000 Resolution Service Could Enable Code Execution (Q323875)链接http://www.microsoft.com/technet/security/bulletin/MS02-039.asp补丁下载： * Microsoft SQL Server 2000: http://www.microsoft.com/Downloads/Release.asp?ReleaseID=40602下载后，展开，得到ssnetlib.dll这个文件，这时只要dir ssnetlib.dll /s找出主机中所有的老ssnetlib.dll这个文件，改名后以新的ssnetlib.dll替换掉老ssnetlib.dll就把MSSQL这个溢出漏洞补上了．命令行下：query user，用户是guest，嗯。

。

估计是被克隆过的用户查下是不是。

。

screen.width-200) {this.width=screen.width-200;this.alt='点击查看全图';}" border=0>果然！感觉补漏工作应该做得差不多了，也是时候跟入侵者say byebye了～命令行下:net user guest /active:no，把guest这个用户禁用。

命令行下：logoff 1screen.width-200) {this.width=screen.width-200;this.alt='点击查看全图';}" border=0>入侵者已经被我们踢出去了，现在是检验我们劳动成果的时候了，静静地netstat –an，看入侵者是否还能重新进来，过了好一会，发现他连接到主机1433端口，而且guest用户又被重新激活，奇怪。

。

ＭＳＳＱＬ溢出漏洞已经补上了啊。

。

难道入侵者在ＭＳＳＱＬ中留了后门？不会啊。

。

都是几个很正常的用户。

。

思考中。

。

哦！对了，入侵者可能自行改了ＳＡ的密码，然后再利用ＳＡ的xp_shell重新取得权限！好，既然我们想到了这步，就把ＳＡ的xp_shell也去掉，断入侵者的后路！！要把ＳＡ这类用户的xp_shell去掉，要得到xp_shell，就得调用到xplog70.dll这个文件（ＳＱＬ９７下是xpsql70.dll），那么我们只要把这个文件给改名了，那么就无法得到xp_shell，命令行转到C:\Program Files\Microsoft SQL Server\MSSQL\Binn，ren xplog70.dll xplog70.bak（ＳＱＬ９７下ren xpsql70.dll xpsql70.bak）screen.width-200) {this.width=screen.width-200;this.alt='点击查看全图';}" border=0>搞定，再次把入侵者踢出主机，哈哈～这次入侵者就再也没有进来过了。

。

有人会说，原来反入侵就这么容易，那可就错了，我有位好友这样说过：＂起服务名，是一门艺术．＂确实，当你对电脑系统有了一定的认识后，服务名和显示名称和描述几乎可以起得以假乱真，即使管理员起了疑心，但也决不敢轻易卸载服务．好了，反入侵告一段落，也到了我们该走的时候了，日志该改的就改，好好擦下自己的脚印，反入侵时上传的程序创建的文件夹记得别忘了删，创建的用户也得删，网管可分不清谁是谁，即使咱们帮他补洞，可咱本质上还是入侵者，呵呵～最后，在网站上找找网管的电子邮箱，写个大概经过给他，提醒他以后多多留意网络安全方面的最新消息。

入侵,兼反,的,实例,一次,入侵,兼反,的,实例,

青岛个人如何补交之前的社保费？青岛个人补交社保流程来了

自己交社保和单位交社保的区别是什么，青岛个人怎么补交之前的社保费？青岛个人补交社保流程，随新社通小编一起去看看。

社保断缴如何补？1、单位补缴可能有人会说不能一次性补缴，那就找单位给我补就行了。

提醒大家，单位补缴社保也不是想补就能补的！2、个人补缴根据推出2022年关于社保补缴的法规，只有以下两类人才能够一次性补缴。

在2011年7月1日前办理社保的人员可以进行补缴；在达到退休年龄的时候，你已经缴纳了五年的养老保险。

补缴材料：1、《青岛社会保险费补缴申请表》2、属原固定工及合同制职工的，提供职工本人的档案、录用（招工）审批表、历年《青岛职工劳动手册》3、属其他用工形式的，提供合同书、录用（招工）审批表（或招工表）、历年《青岛职工劳动手册》（外地户口职工可不提供）4、未办理招用工手续，但存在事实劳动关系的，提供存在事实劳动关系的有效证明材料（如原始工资发放表、考勤表等）补缴流程：1、单位提交资料后，由社保经办人员对补缴资料进行审核，符合条件的出具《受理回执》，不符合条件的不予受理2、补缴申请受理后，将在20个工作日内完成补缴手续，用人单位可在手续完成后，凭《受理回执》到保险关系部资料发放窗口领取退回资料以天津为例，天津社保补缴步骤：1、在个人缴费窗口接续缴费人员需携带身份证、户口本、《职工养老保险手册》，与用人单位终止、解除劳动合同或领取失业保险金期满两个月内人员还需携带《天津市城镇劳动者就·失业证》，到社保分中心个人缴费窗口办理核定缴费手续，打印《社会保险缴费单》（一式两联）;2、凭社保分中心打印的《社会保险缴费单》（一式两联），到指定银行现金缴费，或在分中心POS机刷银联卡缴费。

青岛2025年社保缴费个人和公司各承担多少？下表是2025年青岛社保费用明细参考，新社通app-社保缴费查询工具提供的最新数据如下：青岛的社保缴费情况，依据2025年最新的缴费标准，我们可以详细地进行如下说明。

这些标准是根据新社通app-社保缴费查询工具提供的数据整理得出的：缴费比例（2025年）养老保险公司缴纳比例：16%个人缴纳比例：8%医疗保险公司缴纳比例：6.5%（注意：此比例可能因法规调整而有所变化，具体以当地法规为准）个人缴纳比例：2%失业保险公司缴纳比例：0.5%个人缴纳比例：0.5%生育保险公司缴纳比例：0.7%个人无需缴纳，由单位全额承担工伤保险公司缴纳比例：根据行业风险等级确定，由用人单位全额承担个人无需缴纳缴费基数与缴费金额社保的缴费基数是根据个人的实际工资收入来确定的，但通常会有一个上下限。

在青岛，这个上下限是根据当地的社会平均工资来设定的。

假设某员工的月工资为X元（且X在缴费基数上下限之间），那么他的社保缴费金额将按照上述比例进行计算。

以养老保险为例，公司需为该员工缴纳X*16%的养老保险费，而员工个人则需缴纳X*8%的养老保险费。

（注：本文数据仅供参考，具体以当地缴费标准为准）