反黑风暴-第32部分

按键盘上方向键 ← 或 → 可快速上下翻页，按键盘上的 Enter 键可回到本书目录页，按键盘上方向键 ↑ 可回到本页顶部！
————未阅读完？加入书签已便下次继续阅读！



SQL=〃SELECTmem_Name；mem_Password；mem_Status；mem_LastIPFROMblog_MemberWHEREmem_Name='〃&memName&〃'ANDmem_Password='〃&memPassword&〃'ANDmem_Status='〃&memStatus&〃'〃

CheckCookie。OpenSQL；Conn；1；1

SQLQueryNums=SQLQueryNums＋1

IfCheckCookie。EOFANDCheckCookie。BOFThen

Response。Cookies（CookieName）（〃memName〃）=〃〃

memName=Empty

Response。Cookies（CookieName）（〃memPassword〃）=〃〃

memPassword=Empty

Response。Cookies（CookieName）（〃memStatus〃）=〃〃

memStatus=Empty

Else

IfCheckCookie（〃mem_LastIP〃）Guest_IPOrisNull（CheckCookie（〃mem_LastIP〃））Then

Response。Cookies（CookieName）（〃memName〃）=〃〃

memName=Empty

Response。Cookies（CookieName）（〃memPassword〃）=〃〃

memPassword=Empty

Response。Cookies（CookieName）（〃memStatus〃）=〃〃

memStatus=Empty

EndIf

EndIF

CheckCookie。Close

SetCheckCookie=Nothing

Else

Response。Cookies（CookieName）（〃memName〃）=〃〃

memName=Empty

Response。Cookies（CookieName）（〃memPassword〃）=〃〃

memPassword=Empty

Response。Cookies（CookieName）（〃memStatus〃）=〃〃

memStatus=Empty

EndIF

对用户和密码判断流程是：如果用户Cookie信息中的memName值不为空，就从数据库验证用户名和密码，如果验证出错，则清空Cookie信息。上述验证程序并没有考虑MemName为空的情况，如果MemName为空，则Cookie信息是不被清空的。

由于文件上传页面只对memStatus进行验证，黑客手工将menStatus的值修改为“SupAdmin”或“Admin”就可以拥有上传权限了。

（2）利用Cookie欺骗获得上传权限

在网上搜索“PoweredbyL…BlogV1。08”程序，可搜索到很多使用“L…Blogv1。08（SE）Build0214”程序的博客网站。由于这些网站存上一个上传漏洞，因此，可以利用Cookie欺骗来获得这些网站的上传权限。下面以网络上搜索到的任意一个使用“L…Blogv1。08（SE）Build0214”程序的博客网站为例，介绍实现Cookie欺骗攻击的具体操作方法。

步骤01打开搜索到的博客网站，进入其首页中，单击“用户登陆”区域中的【注册】按钮，注册一个新用户。

步骤02进入“用户注册”页面，在其中输入用户名“shuangyuzuo7”，密码“123456”及电子邮箱。单击【提交】按钮，即可成功注册该用户并登录到博客网站中。

步骤03从网上下载并运行“老兵Cookies欺骗工具”，在其地址栏中输入该博客网站登录界面的地址，并单击【连接】按钮，即可显示“登陆成功”界面。在“老兵Cookies欺骗工具”主窗口中的“Cookie”文本框中看到当前页面的Cookie信息：

loveyuki％5Fzzwb=memPassword=E10ADC3949BA59ABBE56E057F20F883E&memStatus=Member&memName=shuangyuzuo7；ASPSESSIONIDSCQCDRRB=NOJMGPADFOCHCOFAABOJJMOM，其中包含了登录的用户名和密码等信息。黑客可以对Cookie信息进行修改，欺骗Blog程序，使其认为登录用户的身份是管理员。

步骤04单击工具栏中的【设置自定义的Cookies】按钮，即可对Cookie信息进行修改。将Cookie信息中的“memStatus=Member&”修改为“memStatus=SupAdmin”或“memStatus=Admin”。

步骤05继续保持【设置自定义的Cookies】按钮处于按下状态，退出当前的用户登录，重新打开Blog首页，虽然此时没有登录，但已具有管理员的权限。

获得管理员权限后，黑客即可利用专门的漏洞上传工具将ASP木马上传到Blog服务器上，进而对网站进行攻击。

第二章　局域网中的ARP欺骗与防范

在局域网中，通过ARP协议可以完成IP地址转换为第二层物理地址（即MAC地址）。通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞。为了防止计算机遭受ARP欺骗，用户还应该掌握一些防范软件的使用方法，利用它们来截获ARP攻击。

10。2。1认识ARP

ARP是“AddressResolutionProtocol”的缩写，即地址解析协议，它是一种将IP地址转化成物理地址的协议。在TCP/IP网络环境下，每个主机都分配了一个32位的IP地址，这种互联网地址是在网际范围标识主机的一种逻辑地址。

为了让报文在物理网路上传送，必须知道对方目的主机的物理地址。这样就存在把IP地址变换成物理地址的地址转换问题。具体说来，ARP就是将网络层（IP层，相当于OSI的第三层）地址解析为数据连接层（MAC层，相当于OSI的第二层）的MAC地址。

在局域网中，网络中实际传输的是“帧”，帧里面有目标主机的MAC地址。在以太网中，一个主机要和另一个主机进行直接通信，除要知道目标主机的网络层逻辑地址（如IP地址）外，还必须要知道目标主机的MAC地址。

而这个目标MAC地址就是通过地址解析协议获得的。关于“地址解析”的含义，可以这样来解释，就是主机在发送帧之前，将目标IP地址转换成目标MAC地址的过程。

10。2。2ARP协议工作原理

在能够正常上网的计算机中，都安装有TCP/IP协议，这些电脑里都有一个ARP缓存表，表里的IP地址与MAC地址是一一对应的。

ARP协议的工作原理：假如IP地址为192。168。1。3的某主机A要向IP地址为192。168。0。7的主机B发送数据，这时主机A就会先来查询本地的ARP缓存表，如果找到主机B的IP地址对应的MAC地址00…73…44…60…db…69，就会进行数据传输。但如果在ARP缓存表里面没有目标的IP地址，主机A就会在网络上发送一个广播，A主机MAC地址是“00…aa…01…75…c3…06”，这表示向同一网段内的所有主机发出这样的询问：“我是192。168。1。3，我的物理地址是“00…aa…01…75…c3…06”，请问IP地址为192。168。0。7的MAC地址是什么？”网络上的所有主机包括主机B都收到这个ARP请求，但只有主机B识别自己的IP地址，于是向A主机发回一个ARP响应报文，告诉主机A它的MCA地址是00…73…44…60…db…69。

主机A知道了主机B的MAC地址后，就可以进行数据传输了，同时，还会更新本地的ARP缓存表。当主机A再次向B发送数据时，就可以直接在ARP缓存表中找到主机B的MAC地址，使用它发送数据。

因此，本地高速缓存的这个ARP表是本地网络流通的基础，而且这个缓存是动态的。ARP表使用老化机制，会自动删除在一段时间内没有使用过的IP与MAC地址的映射关系，这样可以大大减少ARP缓存表的长度，加快查询速度。

10。2。3如何查看和清除ARP表

在Windows下查看ARP缓存信息最简单的方法就是通过CMD命令行来完成。

在命令提示符窗口的命令提示符下输入命令“asp…a”，就可以查看ARP缓存表中的内容。

不仅可以查看ARP缓存表，还可以根据需要修改或清除ARP表中的内容。在命令提示符下，在其中输入命令“arp…d＋空格＋”，即可删除指定IP所在行的内容；在其中输入命令“arp–d”，即可删除ARP缓存表里的所有内容；在其中输入命令“arp…s”，即可手动在ARP表中指定IP地址与MAC地址的对应，类型为static（静态）。

该项并没有存储在ARP缓存表中，而是存储在硬盘中，计算机重新启动后仍然存在，且遵循静态优于动态的原则，因此，这个设置非常重要。如果设置不正确，可能会导致用户无法上网。

10。2。4遭遇ARP攻击后的现象

遭遇ARP欺骗攻击的后果非常严重，大多数情况下会造成大面积掉线。当局域网内某台主机运行ARP欺骗的木马程序时，会欺骗局域网内所有主机和安全网关，让所有上网的流量必须经过病毒主机。这就可能导致局域网内的用户突然掉线，过一段时间后又会恢复正常。

在此期间，用户的主机还可能会出现频繁断网、IE浏览器频繁出错以及一些常用软件出现故障等情况。如果局域网中是通过身份认证上网的，会突然出现可认证，但不能上网的现象（无法ping通网关），重启计算机或在命令提示符窗口中输入命令“arp–d”后，又可恢复上网。一般来说，遭遇ARP欺骗攻击后，就会出现上面介绍的几种情况，但如果情况严重的话，还可能导致整个网络的瘫痪。

使用局域网的一些用户遇到上面的情况时，常常认为PC没有问题，交换机也没有掉线的“本事”。而且如果用户遭遇ARP欺骗攻击的类型是对路由器ARP表的欺骗，那么，只要用户重新启动路由器，就能使网络恢复正常。

这样，用户就会认为造成断网的罪魁祸首就是路由器。其实不然，通过上面的分析，知道造成这种现象的原因其实就是受到ARP欺骗攻击。

另外，一旦计算机中的ARP欺骗木马发作时，除了会使局域网内的计算机出现以上现象外，攻击者还会利用该木马窃取用户的密码，如盗取QQ密码、各种网络游戏密码和账号去做金钱交易，盗窃网上银行账号来做非法交易活动等，这是木马的惯用伎俩，会给用户造成了很大的不便和巨大的经济损失。

10。2。5ARP欺骗攻击原理

由于局域网的网络流通不是根据IP地址进行，而是按照MAC地址进行传输。所以，那个伪造出来的MAC地址在A上被改变成一个不存在的MAC地址，这样就会造成网络不通，导致A不能Ping通C，这就是ARP欺骗。

ARP欺骗容易造成客户端断网，进行数据嗅探。从影响网络连接通畅的方式来看，ARP欺骗可以分为两种：一种是对路由器ARP表的欺骗，另一种是对内网PC的网关欺骗。

下面分别介绍这两种ARP欺骗的原理。

1。对路由器ARP表的欺骗

对路由器ARP表的欺骗的原理是截获网关数据。它通知路由器一系列错误的内网MAC地址，并按照一定的频率不断进行，使真实的地址信息无法通过更新保存在路由器中，结果路由器的所有数据只能发送给错误的MAC地址。由于网关MAC地址错误，所以从网络中计算机发来的数据无法正常发到网关，自然也就无法正常上网。

2。对内网PC的网关欺骗

对内网PC的网关欺骗的原理是伪造网关。也就是说，这种ARP欺骗会先建立假网关，让被它欺骗的PC向这个假网关发送数据，而不是通过正常的路由器途径上网。这样，内网的PC就会认为上不了网。

10。2。6ARP欺骗的过程

下面以某网络中的ARP欺骗攻击为例，介绍ARP欺骗的过程。

假设某局域网内的交换机连接了3台计算机，分别为计算机A、B、C。其中A的IP地址为192。168。0。6，MAC地址为00…1E…8C…17…BO…8B，B的IP地址为192。168。0。9，MAC地址为00…e0…4c…00…53…e8，C的IP地址为192。168。0。12，MAC地址为00…15…58…89…f7…b1。

在未受到ARP欺骗攻击之前，在计算机A中打开命令提示符窗口，运行命令“arp…a”查询ARP缓存表，应该出现如下信息：

Interface：192。168。0。7——020002

InterAddressPhysicalAddressType

192。168。0。1200…15…58…89…f7