Terminología básica de hackers
1. Broiler: El llamado "broiler" es una metáfora muy vívida de las computadoras que podemos controlar a voluntad. La otra parte puede ser un sistema WINDOWS, un UNIX. /LINUX, o una computadora común. Las computadoras personales también pueden ser servidores grandes. Podemos operarlas como nuestras propias computadoras sin que la otra parte lo note.
2. Caballos de Troya: Son aquellos programas que parecen programas normales, pero que cuando son ejecutados por el programa obtendrán toda la autoridad de control del sistema. Hay muchos piratas informáticos interesados en utilizar programas troyanos para controlar los ordenadores de otras personas, como Grey Pigeon, Black Hole, PcShare, etc.
3. Troyano web: en la superficie, se disfraza como un archivo de página web normal o inserta el código directamente en un archivo de página web normal. Cuando alguien lo visita, el troyano de página web se aprovechará de ello. el sistema o navegador de otra parte. La vulnerabilidad descarga automáticamente el servidor troyano configurado en la computadora del visitante para su ejecución automática.
4. Caballo de Troya: consiste en colocar un caballo de Troya web en los archivos del sitio web de otras personas o introducir el código en el archivo de la página web normal de la otra parte para que el espectador pueda ser golpeado por un caballo.
5. Puerta trasera: esta es una metáfora vívida. Después de que el intruso controla con éxito el host objetivo utilizando ciertos métodos, puede implantar un programa específico en el sistema de la otra parte o modificar cierta configuración. Estos cambios son difíciles de detectar en la superficie, pero el intruso puede usar los programas o métodos correspondientes para establecer fácilmente una conexión con la computadora y recuperar el control de la computadora, como si el intruso estuviera equipado en secreto. Si es la habitación del maestro, puedes entrar. y salir en cualquier momento sin ser descubierto por el maestro.
Por lo general, los intrusos pueden utilizar la mayoría de los programas troyanos para crear puertas traseras (BackDoor)
6. Rootkit: los atacantes utilizan Rootkit para ocultar su paradero y las herramientas que retienen la raíz (root). permisos, que pueden entenderse como permisos del sistema o de administrador en WINDOWS) derechos de acceso. Por lo general, los atacantes obtienen acceso de root a través de ataques remotos, o primero utilizan la adivinación de contraseñas (craqueo) para obtener acceso normal al sistema. Después de ingresar al sistema, obtienen acceso al sistema a través de vulnerabilidades de seguridad en los permisos de root del sistema de la otra parte. Luego, el atacante instalará un rootkit en el sistema de la otra parte para lograr el control a largo plazo de la otra parte. Los rootkits son muy similares a los troyanos y puertas traseras que mencionamos anteriormente, pero están mucho más ocultos que ellos. Los guardianes son muy típicos, así como los ntroorkit domésticos, etc., son buenas herramientas de rootkit.
9. IPC$: es un recurso para compartir "canalizaciones con nombre". Es una canalización con nombre abierta para la comunicación entre procesos. Puede obtener los permisos correspondientes verificando el nombre de usuario y la contraseña. administrar de forma remota una computadora y ver los recursos compartidos de la computadora.
10. Contraseñas débiles: se refiere a contraseñas (contraseñas) que no son lo suficientemente seguras y se pueden adivinar fácilmente, como 123 y abc.
11. Compartir de forma predeterminada: Predeterminado. * **Compartir se habilita automáticamente para todos los discos duros cuando el sistema Windows 2000/XP/2003 abre el servicio **compartir. Debido a que se agrega el símbolo "$", la tabla de soporte para **compartir no se puede ver y se convierte en. Ocultar ***disfrute.
12. Shell: se refiere a un entorno de ejecución de comandos. Por ejemplo, cuando presionamos la "tecla Inicio + R" en el teclado, aparece el cuadro de diálogo "Ejecutar", y si ingresamos "cmd". en él, aparecerá el cuadro de diálogo "Ejecutar". Una ventana negra utilizada para ejecutar comandos, este es el entorno de ejecución de Shell de WINDOWS. Por lo general, después de usar un programa de desbordamiento remoto para desbordar con éxito la computadora remota, el entorno utilizado para ejecutar los comandos del sistema es el shell web de la otra parte
13: webshell está en forma de archivos web como asp. , php, jsp o cgi Existe un entorno de ejecución de comandos que también se puede llamar puerta trasera web.
Después de que los piratas informáticos invaden un sitio web, generalmente mezclan estos archivos de puerta trasera ASP o PHP con archivos de páginas web normales en el directorio WEB del servidor del sitio web. Después de eso, pueden usar un navegador para acceder a estas puertas traseras ASP o PHP y obtener un entorno de ejecución de comandos. , con el fin de lograr la finalidad de controlar el servidor del sitio web. Puede cargar y descargar archivos, ver bases de datos, ejecutar comandos de programas arbitrarios, etc. Los webshells más utilizados en China incluyen el troyano Haiyang ASP, Phpspy, c99shell, etc.
14. Desbordamiento: para ser precisos, debería ser "desbordamiento de búfer". La explicación simple es que el programa no realizó una detección efectiva de los datos de entrada que recibió, lo que provocó un error. Las consecuencias pueden ser provocar que el programa falle o que se ejecuten los comandos del atacante. Se puede dividir aproximadamente en dos categorías: (1) Desbordamiento de pila (2) Desbordamiento de pila.
15. Inyección: con el desarrollo de aplicaciones en modo B/S, cada vez más programadores utilizan este modo para escribir programas, pero debido al nivel desigual de los programadores, una gran parte de ellos La aplicación tiene riesgos de seguridad. El usuario puede enviar un código de consulta a la base de datos y obtener algunos datos que desea conocer en función de los resultados devueltos por el programa. Esta es la llamada inyección SQL, es decir, inyección SQL.
16. Punto de inyección: Es un lugar donde se puede realizar la inyección, normalmente una conexión para acceder a la base de datos. Dependiendo de los permisos de la cuenta en ejecución de la base de datos del punto de inyección, los permisos que obtiene también son diferentes.
17. Intranet: en términos sencillos, es una red de área local, como cibercafés, redes de campus, intranets de empresas, etc., todos entran en esta categoría. Si la dirección IP está dentro de los siguientes tres rangos significa que estamos en la intranet: 10.0.0.0—10.255.255.255, 172.16.0.0—172.31.255.255, 192.168.0.0—192.168.255.255
18 Red externa: conectada directamente a INTERNET (Internet), pueden acceder entre sí con cualquier computadora en Internet. La dirección IP no es una dirección IP reservada (red interna).
19. Puerto: (Puerto) equivale a un canal de transmisión de datos. Se utiliza para recibir ciertos datos y luego transmitirlos al servicio correspondiente. Después de que la computadora procesa los datos, transmite la recuperación correspondiente a la otra parte a través del puerto abierto. Generalmente cada puerto abierto corresponde al servicio correspondiente. Para cerrar estos puertos solo es necesario cerrar el servicio correspondiente.
20.3389, 4899 Broiler: 3389 es el número de puerto predeterminado utilizado por WINDWS Terminal Services (Terminal Services). Este servicio lo lanza Microsoft para facilitar que los administradores de red administren y mantengan servidores de forma remota. Escritorio para conectarse a cualquier computadora en la red que tenga los Servicios de Terminal activados. Después de iniciar sesión exitosamente, podrá operar el host como si estuviera operando su propia computadora. Esto es muy similar a la función implementada por el software de control remoto o incluso los programas troyanos. La conexión al servicio de terminal es muy estable y no será comprobada por ningún software antivirus, por lo que también es muy popular entre los piratas informáticos. Después de que los piratas informáticos invaden un host, generalmente encuentran una manera de agregar su propia cuenta de puerta trasera y luego abren el servicio de terminal de la otra parte, de esta manera pueden usar el servicio de terminal para controlar a la otra parte en cualquier momento. anfitrión generalmente se llamará 3389 pollo de engorde. Radmin es un excelente software de control remoto. 4899 es la versión predeterminada de Radmin y los piratas informáticos lo utilizan a menudo como troyano (por esta razón, el software antivirus actual también comprueba y elimina Radmin). El número de puerto de servicio que utilizan algunas personas. Debido a que la función de control de Radmin es muy poderosa, su velocidad de transmisión es más rápida que la de la mayoría de los troyanos y no es detectada por el software antivirus. Cuando se usa Radmin para administrar computadoras remotas, se usan contraseñas vacías o contraseñas débiles, y los piratas informáticos pueden usar algunas. software para escanearlos. Hay un host con una contraseña vacía de Radmin o una contraseña débil en la red, y luego puede iniciar sesión para controlar el host de forma remota. De esta manera, el host controlado generalmente se usa como un asador 4899.
21. Software antivirus: modifique el programa mediante técnicas como empaquetado, cifrado, modificación de códigos de características, adición de instrucciones, etc., para que pueda escapar a la detección del software antivirus.
22. Embalaje: consiste en utilizar un método ácido especial para cambiar la codificación de programas ejecutables EXE o archivos de biblioteca de enlaces dinámicos DLL (como compresión y cifrado) para reducir el tamaño del archivo o cifrar el programa. La codificación puede incluso evadir la detección del software antivirus. Actualmente, los shells más utilizados incluyen UPX, ASPack, PePack, PECompact, UPack, Immunity 007, Trojan Caiyi, etc.
23. Instrucciones florales: Son sólo unas pocas instrucciones de ensamblaje que permiten que las declaraciones de ensamblaje den algunos saltos, de modo que el software antivirus no pueda determinar correctamente la estructura del archivo de virus. En pocas palabras, "el software antivirus busca virus en orden de pies a cabeza. Si invertimos la cabeza y los pies del virus, el software antivirus no podrá encontrarlo".
Escribamos esto primero, espero que sea útil para mis amigos
Principio del "puerto de rebote":
El servidor (extremo controlado) activamente conecta Para el cliente (extremo de control), para ocultarlo, el puerto de escucha generalmente se abre en 80 (el puerto que proporciona el servicio HTTP). De esta manera, incluso si el usuario usa un software de escaneo de puertos para verificar su propio puerto. será difícil encontrarlo. Los datos enviados desde el extremo de control al servidor se implementan en un espacio de terceros. Generalmente, se utiliza un espacio de página de inicio. El extremo de control escribe un archivo en el espacio de la página de inicio a través de FTP y el servidor lee periódicamente este archivo a través de TTP. contenido del protocolo, cuando descubre que el cliente se permite comenzar a conectarse, se conectará activamente. De esta forma, la consola puede atravesar el firewall e incluso acceder a ordenadores dentro de la LAN.
Embalaje de software:
Un "packing" es un programa específicamente responsable de proteger el software contra modificaciones ilegales o descompilaciones. Generalmente se ejecutan antes que el programa, obtienen el control y luego completan su tarea de proteger el software. El software empaquetado ha visto su verdadero código hexadecimal durante el seguimiento, por lo que puede proteger el software.
Descompresión del software:
Como sugiere el nombre, consiste en utilizar las herramientas correspondientes para eliminar el programa "shell" que protege el software "exterior" y restaurar la apariencia original del archivo. , que luego se puede modificar el contenido del archivo es mucho más fácil.
Virus gusano:
Aprovecha la apertura del sistema WINDOWS, especialmente la idea de programación de componentes de COM a COM+. Un programa script puede llamar a componentes con mayores funciones para completarse. . función. Tomemos como ejemplo los virus de secuencias de comandos VB. Todos agregan archivos de secuencias de comandos VBS en archivos adjuntos y utilizan nombres de archivos engañosos como *.HTM y VBS. Las principales características de los gusanos son: capacidad de autorreplicación, fuerte transmisibilidad, naturaleza latente, capacidad de activación específica y gran destructividad.
Desbordamiento de búfer:
El atacante ingresa una gran cantidad de caracteres en un área de dirección que no se puede almacenar en esta área. En algunos casos, estos caracteres adicionales pueden ejecutarse como "código ejecutable" y, por tanto, ser suficientes para permitir que un atacante obtenga el control del ordenador sin estar restringido por medidas de seguridad.
CMD:
Es la llamada consola de línea de comandos. Hay dos canales para ingresar a este programa: primero, haga clic en "Iniciar-Ejecutar", escriba "CMD" en el cuadro de edición que aparece y luego haga clic en "Aceptar". En segundo lugar, al iniciar Windows 2000, presione F8 para ingresar a la selección de inicio; el menú, mueva la barra de luces o escriba números para ir al estado de la línea de comando en modo seguro. La ventana que aparece es una interfaz MSDOS común en los sistemas win9x. Aunque Microsoft trata esta herramienta como una nueva instancia del intérprete de comandos, el método de uso no es diferente del DOS original.
Sniffer:
(Snifffer) es un dispositivo que puede capturar paquetes de red. El uso legítimo de un rastreador es analizar el tráfico de la red para identificar problemas potenciales en la red en cuestión.
Honeypot: (Honeypot)
Es un sistema que contiene vulnerabilidades. Simula uno o más hosts vulnerables y proporciona a los piratas informáticos un objetivo fácil de atacar. Dado que el frasco secreto no tiene otras tareas que realizar, todos los intentos de conectarse deben considerarse sospechosos. Otro uso del frasco secreto es retrasar el ataque del atacante al objetivo real, lo que hace que el atacante pierda tiempo en el frasco secreto. Al mismo tiempo, se protege el objetivo original del ataque y el contenido verdaderamente valioso se protege contra infracciones.
Enrutadores:
Es el hub utilizado para conectar diferentes subredes. Trabajan en la capa de transporte y capa de red del modelo osi de 7 capas. La función básica de un enrutador es transportar paquetes de red a su destino. Algunos enrutadores también tienen listas de control de acceso (ACL) que permiten filtrar paquetes no deseados. Muchos enrutadores pueden inyectar su información de registro en el sistema IDS, proporcionando información valiosa sobre los intentos bloqueados de acceder a la red.
Vulnerabilidad Unicode:
Unicode es un conjunto de caracteres de 16 bits que es portátil a todas las principales plataformas informáticas y cubre casi todo el mundo. Tanto Microsoft IIS4 como 5 tienen vulnerabilidades que utilizan caracteres Unicode extendidos para reemplazar "/" y "\" para aprovechar la conveniencia del directorio "../". Un usuario no autorizado puede explotar el espacio contextual de la cuenta IUSR_machinename para acceder a cualquier archivo conocido. Esta cuenta es miembro de los grupos Todos y Usuarios de forma predeterminada, por lo que cualquier archivo en la misma unidad lógica que la raíz web a la que puedan acceder estos grupos de usuarios se puede eliminar, modificar o ejecutar como si un usuario hubiera iniciado sesión correctamente. ¡Las funciones que se pueden completar son las mismas!
Vulnerabilidad CGI:
CGI es la abreviatura de Common Gateway Interface (Common Gateway Interface) y no hace referencia a un idioma específico. Los problemas de seguridad del servidor web incluyen principalmente: 1) ERRORES en la compilación del software del servidor web; 2) errores de configuración del servidor. Puede provocar una fuga de código fuente CGI, una fuga de información de ruta física, una fuga de información confidencial del sistema o la ejecución remota de comandos arbitrarios. Las vulnerabilidades del lenguaje CGI se dividen en las siguientes categorías: errores de configuración, errores de condiciones límite, errores de verificación de acceso, errores de verificación de fuente, errores de verificación de entrada, errores de política, errores de uso, etc. Las vulnerabilidades CGI se dividen principalmente en los siguientes tipos: exponer información que no debería exponerse, ejecutar comandos que no deberían ejecutarse y desbordamiento.
Vulnerabilidad SSL:
SSL es la abreviatura de Secure Socket Layer. Es un estándar de cifrado industrial ampliamente utilizado al transmitir información como tarjetas de crédito y contraseñas de cuentas en línea. Hay tres vulnerabilidades de seguridad comunes en SSL: 1. Atacar el certificado Dado que el servidor IIS proporciona la función de "asignación de certificados de cliente", se utiliza para asignar el nombre en el certificado enviado por el cliente a la cuenta de usuario del sistema NT. En este caso, podemos obtener derechos de administrador del sistema para este host. Si los piratas informáticos no pueden atravesar el servidor utilizando certificados ilegales, también pueden intentar ataques de fuerza bruta. 2. Robar certificados. Los piratas informáticos también pueden robar certificados válidos y claves Siyou relacionadas. 3. Puntos ciegos de seguridad. Sin un sistema de detección de red y sin una revisión de vulnerabilidades de seguridad, los servidores más importantes se convierten en los menos protegidos.
Vulnerabilidad de IPC$:
IPC$ es el único recurso para compartir "canalizaciones con nombre", lo cual es muy importante para la comunicación entre programas. Úselo cuando administre una computadora de forma remota y vea los recursos compartidos de la computadora. Usando IPC, podemos establecer una conexión vacía con el host de destino y, usando esta conexión vacía, también podemos obtener la lista de usuarios en el host de destino. Sin embargo, algunas personas con motivos ocultos utilizarán IPC$ para encontrar nuestra lista de usuarios y utilizarán algunas herramientas de diccionario para llevar a cabo ataques de intrusión en nuestros hosts.
Vulnerabilidad IIS:
IIS es la abreviatura de Internet Information Service. Es el servidor web de Microsoft. IIS admite una variedad de tipos de archivos que requieren procesamiento del lado del servidor. Cuando un usuario WEB solicita dicho archivo al cliente, el archivo DLL correspondiente lo procesará automáticamente. Sin embargo, se encontró una grave vulnerabilidad de seguridad en ISM.DLL, el archivo responsable de procesar los archivos HTR. Esta vulnerabilidad contiene un búfer no verificado en ISM.DLL, que puede representar dos amenazas para el funcionamiento seguro del servidor WEB.
En primer lugar, existe la amenaza de un ataque de denegación de servicio. Otra amenaza puede utilizar técnicas estándar de desbordamiento de búfer para provocar que se ejecute código binario en el lado del servidor mediante una solicitud de archivo cuidadosamente diseñada. En este caso, ¡puede pasar cualquier cosa!
Autenticación NTLM:
NTLM (NT LAN Manager) es un mecanismo de autenticación desarrollado por Microsoft que se utiliza desde NT4 y se utiliza principalmente para la gestión de cuentas locales.
Tubería IPC:
Para controlar y manejar mejor la comunicación y el intercambio de datos entre diferentes procesos, el sistema programará todo el proceso a través de una tubería de conexión especial.
Vulnerabilidad 3389:
Debido a una falla de Microsoft, el servidor Win2K instalado con Microsoft Service Terminal y Quanpin tiene una vulnerabilidad grave que permite el inicio de sesión remoto y la capacidad de obtener el condado completo del superusuario. .
Vulnerabilidad 139:
La intrusión a través del puerto 139 es un método de ataque común en ataques de red Generalmente, el puerto 139 se abre debido al uso del protocolo de red NetBIOS. NetBIOS es el sistema básico de entrada y salida de la red. El sistema puede utilizar varios modos, como servicio WINS, transmisión y archivos Lmhost, para resolver los nombres NetBIOS en las direcciones IP correspondientes para lograr la comunicación de información. El uso del protocolo NetBIOS dentro de una red de área local puede lograr de manera muy conveniente la comunicación de mensajes, pero si está en Internet, NetBIOS es equivalente a un programa de puerta trasera. ¡Muchos ataques se lanzan a través de las vulnerabilidades de NetBIOS!
Shell:
Shell es la interfaz de intercambio entre el sistema y el usuario. En pocas palabras, es el entorno en el que el sistema "se comunica" con el usuario. El DOS que utilizamos habitualmente es un shell. (Windows2000 es cmd.exe)
root:
El usuario con mayor autoridad en Unix ~ el superadministrador
admin:
El usuario con la máxima autoridad en Windows NT~
rootshell:
A través del programa de desbordamiento, un shell con autoridad de root se desborda desde el host. (Por cierto, un hacker muy conocido en China también tiene este nombre)
IDS:
El sistema de detección de intrusiones se utiliza para detectar ataques antes de que los piratas informáticos lancen ataques o lancen ataques, y para interceptar. IDS es diferente de los firewalls solo pueden bloquear intrusiones, pero IDS puede detectar ataques o intrusiones futuras a través de cierta información antes de que ocurra la intrusión y responder.
UDP:
Un protocolo de capa de transporte para la transmisión no confiable de paquetes de datos a través de una red. Lo utiliza DNS para consultas y respuestas, y también lo utilizan muchas transmisiones de audio y video. aplicaciones.
API:
Un conjunto definido de métodos coherentes que los desarrolladores de software pueden utilizar para escribir programas que interactúan con otros programas. La API se utiliza para ampliar la funcionalidad de los programas y crear nuevos programas utilizando grupos preescritos.
FTP:
Protocolo de transferencia de archivos. El nombre de una clase de aplicación y el protocolo que utiliza la aplicación para mover archivos de una computadora a otra.
HTTP:
Protocolo de transferencia de hipertexto. Se utiliza para transmitir datos en la World Wide Web, incluidos documentos de lenguaje de marcado de hipertexto, imágenes, contenido ejecutable y más. TCP transporta HTTP y, generalmente, el servidor escucha en el puerto 80.
HTTPS:
Protocolo de transferencia de hipertexto seguro. La seguridad se agrega a la World Wide Web ejecutando el Protocolo de transferencia de hipertexto a través del protocolo Secure Sockets Layer (SSL). HTTPS se puede utilizar para autenticar el servidor WEB ante el cliente, autenticar al cliente ante el servidor WEB y cifrar todos los datos transmitidos entre los dos sistemas. Los servidores HTTPS generalmente escuchan en el puerto TCP 443.
IRC:
Internet Relay Chat, un conjunto de programas y un protocolo utilizado para implementar sesiones de chat en Internet.
IRC es particularmente popular entre el mundo informático clandestino, donde los atacantes discuten sus herramientas, técnicas y trofeos.
Dirección MAC:
La dirección de la capa de enlace de datos (Capa 2) de la interfaz de red. Para las tarjetas Ethernet, la dirección MAC tiene una longitud de 48 bits.
LAN:
¡Red de área local! Una red que conecta computadoras muy cercanas, generalmente en una sola habitación, edificio o área geográfica pequeña. Todos los sistemas de una LAN están ubicados entre un salto de red.
Ping:
Un tipo de paquete de datos basado en el Protocolo de mensajes de control de Internet, utilizado para determinar si se puede acceder a una computadora en la red.
Proxy:
Proxy. Un programa o sistema que recibe tráfico de las computadoras cliente e interactúa con el servidor en nombre del cliente. Los servidores proxy se pueden utilizar para filtrar tipos específicos de tráfico a nivel de aplicación o información de caché para mejorar el rendimiento. Muchos firewalls dependen de servidores proxy para el filtrado.
telnet:
Programa y protocolo utilizado para el acceso remoto por línea de comandos a un sistema. Telnet se transmite a través de TCP y el servidor generalmente escucha en el puerto TCP 23.
TCP:
Protocolo de control de transmisión. Un protocolo de capa de transporte utilizado por muchas aplicaciones que requieren una transmisión confiable de datos. HTTP, SMTP, FTP y telnet utilizan TCP para el transporte.
TCP/IP:
El nombre colectivo de todo el conjunto de protocolos de Internet, incluidos TCP, UDP, IP e ICMP.