加固Samba安全三则

目前,许多用户因业务发展需要不断更新,从而造成环境差异较大,整个网络系统平台参差不齐,在服务器端大多使用Linux和Unix,桌面端使用Windows xp/Vista,所以在企业应用中往往是Linux/Unix和Windows操作系统共存形成异构网络。Linux中的Samba就是常用于Linux/Windows合组网下的文件服务器,这样Samba服务器的安全问题就凸显出来了。本文从Samba的访问控制和病毒查杀两方面的设置来加强网络中Samba服务器的安全防护。
一 、从基本访问控制入手
...

标签:

彻底解决ARP欺骗

一、 ARP欺骗的原理

在局域网中,同一子网中的两台计算机通信的建立实际上是通过MAC地址来完成的,所以两台计算机通信前必须将IP地址转换MAC地址,这个过程是由ARP协议完成的。如IP为192.168.0.10的计算机A想要和IP为192.168.0.8的计算机B通信,就会向整个网络发送一个广播(ARP REQUEST)大致内容为:“大家好,我的IP是 192.168.0.10,我的MAC地址AA: AA: AA: AA: AA: AA,请记下,大家以后用他联系我,顺便请问IP为192.168.0.8的同志,你的MAC地址是多少啊 ,小弟有数据包要发给你。”   在正常情况下IP为192.168.0.8的计算机B接收到该广播包后会回复一个数据包(ARP REPLY)告诉IP 192.168.0.10的计算机A:“小弟,你好,我的MAC地址是BB: BB: BB: BB: BB: BB,你也记下,以后我们就直接用MAC地址通信了,常保持联系。”这时连接完成,计算机A顺利的将数据包发给计算机B,这是两台计算机通信的正常建立,但是如果此时有一台计算机C不停的告诉(欺骗)计算机A:“计算机B的MAC地址是CC: CC: CC: CC: CC: CC” ,而计算机A本身不具有辨别能力(网络连接设计上的缺陷),正确的回复很快被错误的广播淹没(图1就是这个过程的示意图)。计算机A就会错误的记录下计算机B的MAC地址为CC: CC: CC: CC: CC: CC,并错误的将数据包发给了计算机C,计算机C得到数据包后,接下来他就可以对数据包为所欲为了,分析数据包中的帐户信息、在数据包中加入病毒代码再发送给计算机B或干脆丢弃数据包。在这个过程中,计算机C就欺骗了计算机A和计算机B。这个过程就是ARP欺骗。
...

标签:

关于腾讯分站被黑的过程

       最近腾讯分站被“黑”的消息有蛮人多关注的,某带头大哥就叫我写了篇贴子说说相关的过程是怎样的,进入正题!  

       大家都想像得到要黑腾讯这类大站找个明显的漏洞(包括注入)是很难的了,就算注入出密码肯定也加密了,解开了都不一定能找到后台拿shell,必境人家也是有相关的安全部门维护着!上传?除了后台哪里还有?我通过google搜,到处转了转看到腾讯某分站搞了个类似在线做动画的服务,当然前提是要登陆了才行,其中有个功能就是上传你的作品!这个地方能用?不限制上传类型?不试怎么知道!直接上php后缀的马不行,它是用js来控制的,只有jpg,bmp,gif后缀才能显视且才会开始上传。还有什么办法没?那就试试抓包再改后缀喽!内容如下:   

...

标签:

wifi不可靠 无线局域网八大安全困惑

无线局域网被认为是一种不可靠的网络,除了加强网络管理以外,更需要测试设备的构建、实施、维护和管理。

  尽管IT的寒冬还未渡过,但WLAN以其便利的安装、使用,高速的接入速度,可移动的接入方式赢得了众多公司、政府、个人以及电信运营商的青睐。但WLAN中,由于传送的数据是利用无线电波在空中辐射传播,无线电波可以穿透天花板、地板和墙壁,发射的数据可能到达预期之外的、安装在不同楼层、甚至是发射机所在的大楼之外的接收设备,数据安全也就成为最重要的问题。

  问题一:容易侵入

...

标签:

关于系统用户tsinternetus6r和tsinternetus7r

不少网友反映操作系统突然出现了tsinternetus6r或tsinternetus7r这两个系统用户,那很可能因为安装的sqlserver的sa密码泄露导致被入侵了,情况类似于这篇文章介绍的,internetusers用户之谜。入侵者利用的是一款名为:Auto Repair 3389 per aggiungere ulteriori utenti di aggiungere pass trojan的工具添加的系统用户,而且这个工具还有传送木马并运行的功能。

标签:

Google语法

利用google 半秒破 500 網!利用google 半秒破 500 網!
其實 google 搜尋器變了駭客工具也不是新聞,
老手早亦用到,新手的也可來試試。
只要將以下 字串 作搜尋的話,你都得到很多密碼,
當然若要得心應手便需要更多研究及借助其他軟件,
但初步先懂得去找。
...

标签:

利用google对特定站点进行测试的实现

利用google照样可以对一个站点进行信息收集和渗透的,下面我们用google对特定站点进行一次测试。
------------------------------------------------
首先用google先看这个站点的一些基本情况(一些细节部分就略去了):
site:xxxx.com
从返回的信息中,找到几个该校的几个系院的域名:
http//a1.xxxx.com
http//a2.xxxx.com
...

标签:

通用方法突破防火墙

首先,我要介绍一下Windows系统特性,当一个程序运行时,它不能删除,但却能够改名!而当系统里的被保护程序遭到删除或损坏或改名时系统就会及时调用备份文件给予还原!我再讲讲防火墙,大家都知道许多防火墙的“应用程序规则”里一般默认就会让IE浏览器(iexplore.exe)、Outlook Express(msimn.exe)、lsass.exe、spoolsv.exe、MSTask.exe、winlogon.exe、services.exe、svchost.exe通过,而大多的防火墙认为只要是与规则里的路径及文件名相同就Pass!以这样的检测方法来决定是否放行,但它却完全没考虑到如果是别的文件替换的呢?——就相当于古装片里的易容术,易容后就认不得了!这就给了我们机会,我们可以利用这个BUG来欺骗防火墙来达到访外的目的!  

...

标签:

通过交换机漏洞发起的攻击技术

生成树攻击
    生成树协议(STP)可以防止冗余的交换环境出现回路。要是网络有回路,就会变得拥塞不堪,从而出现广播风暴,引起MAC表不一致,最终使网络崩溃。
    使用STP的所有交换机都通过网桥协议数据单元(BPDU)来共享信息,BPDU每两秒就发送一次。交换机发送BPDU时,里面含有名为网桥ID的标号,这个网桥ID结合了可配置的优先数(默认值是32768)和交换机的基本MAC地址。交换机可以发送并接收这些BPDU,以确定哪个交换机拥有最低的网桥ID,拥有最低网桥ID的那个交换机成为根网桥(rootbridge)。
...

标签:

关于xp_regwrite

几年以前写过一篇关于sqlserver扩展存储过程的文章,发表在某黑客杂志上,最近在做某个测试时发现,xp_regwrite的使用在远程和本地的结果是不一样的,本地可以在HKEY_CURRENT_USER写,但远程执行后,会自动在HKEY_USER下写,因为写以前那篇文章时没有网络环境,都是在本地机测试的,没有问题,没想到本地和远程是不同的,回想以前看过的N篇文章都是远程写HKEY_CURRENT_USER下的,不知道是我这个测试有问题,还是大家都在凭空想象。

EXEC master..xp_regwrite
...

标签: