前车之鉴：黑客窃取比特币的技术

发布者：xbitrustpaillub capital

作者：苏文杰

黑客盗用HT2的事件屡见不鲜，不仅造成个人和机构资产的巨大损失，而且对市场造成影响，导致价格波动。在这种情况下，资产安全保护已成为个人和机构考虑的首要问题。

因此，对于普通用户来说，了解一些基本的黑客技术可能是有意义的。本文简要介绍了网站渗透、木马、宏病毒和DDoS攻击。为了更生动地说明问题，编写了一个相对简单的程序，并利用一些工具对自有网站和主机进行攻击。

1、 网站渗透率[1]-[3]

（1） 网站渗透——web应用的威胁分析

web应用程序的体系结构一般分为上、中、下三个层次。上层为业务相关应用，中层为通用组件和数据库服务等web服务器相关服务，底层为操作系统。如果任何一个以太坊层存在安全问题或隐患，整个web应用程序都将受到威胁。

由于现阶段发现和发布安全漏洞的实时性，会不时有犯罪分子利用公开的漏洞攻击各级服务，如（1）利用操作系统的漏洞对底层操作系统进行远程攻击；（2） 利用web服务器上运行的脚本程序（ASP、P、PHP等）的漏洞，以及web服务器漏洞、数据库服务器漏洞对中间层进行攻击；（3）对上层——利用SQL注入漏洞、XSS漏洞来攻击web程序。

另一方面，即使web应用部署了保护设备并采取了一定的保护措施，安全威胁也随时可能发生。其原因是防火墙或入侵检测系统不能实时阻止攻击，并且由于配置参数的影响，检测精度受到限制。因此，web应用本身存在漏洞，程序关键参数配置不当，缺乏安全防护手段等安全隐患是web应用安全事件频发的主要原因。

web应用受到威胁的原因也有以下几点：一是一些网站建设者在网站建设过程中，网站是由网站建设模块设置的，存在自身的安全漏洞；二是程序员在独立开发web应用时，安全意识不高，确实存在安全隐患不处理用户输入的数据，导致数据过滤不严；三是缺乏专业技术人员管理web应用程序，导致web应用参数配置不当；四是web应用管理人员技术水平不高，或者不履行自己的职责，没有对应用程序进行定期的安全加固和安全检查；第五，没有有效的web应用程序安全策略可供管理员参考。

现在很多企业已经将入侵检测系统、网络防火墙、VPN、网络防病毒系统应用到自己的网络中，但往往无法实现有效的安全。虽然我们已经应用了很多安全设备，但是web服务仍然需要对外开放，即需要打开80和443端口—80和443是HT TP和HT TPS服务的端口。由于防火墙一般不会拦截通过80个端口的数据包，从攻击路径的角度来看，黑客会选择从HT TP等协议端口入侵，扫描web应用程序和服务器，发动网络攻击。

（2） 主要网站漏洞

根据世界**的web安全和数据库安全研究机构OWASP提供的报告，对web业务系统最严重的两种攻击是SQL注入攻击和XSS攻击。

SQL注入成功后，攻击者可能拥有整个系统的**权限，可以修改页面和数据，在网页中添加恶意代码，通过查看数据库获取所有关键数据信息，危害极大。跨站点脚本攻击是指向web系统提交恶意脚本。当访问者浏览被攻击的网页时，会执行恶意脚本，从而泄露用户密码等敏感信息。如果访问者是管理员，则可能会泄露web系统管理员的权限，从而增强攻击者的权限，甚至控制整个网站。威胁程度越大，威胁范围越广，攻击过程也越复杂多变。

我们先介绍上述两个漏洞，然后介绍上传漏洞和sidenote漏洞：

1SQL注入漏洞

这种漏洞对网站的威胁**。一旦成功控制了整个网站的数据库，其中的所有数据库都可能被管理员成功地控制。

造成此漏洞的主要原因是web程序员在编写动态脚本页面时没有判断用户输入数据的有效性和必要的过滤，并将用户的输入数据原样提交到后台数据库中，后台数据库只使用预先存储的SQL查询语句和用户在查询时提交的语句。然后，当页面需要查询数据库时，攻击者可以在提交给数据库的命令中添加自己的数据库查询语句。此时，由于页面没有对用户的输入进行判断和过滤，数据将被提交到数据库执行，相应的数据将返回给代码提交人。这样，攻击者就可以通过一次又一次的数据库查询获得整个数据库中的所有数据。该方法不仅可以获取攻击者想知道的数据库数据，而且可以绕过登录验证，执行系统命令，上传监控软件。

SQL注入攻击时提交的输入信息所形成的交互信息与普通页面访问的交互信息相同。不同的是，提交的页面参数是攻击者准备的数据库查询或其他数据库命令，可以达到一定的目的。因此，普通网络防火墙和杀毒软件不会报警SQL注入。如果站长不定期查看网站日志信息或有意识地检索最近上传的文件列表，则可能是网站长时间得不到检测。

另外，SQL的注入方法也相当灵活。在SQL注入的实际评估中，会出现很多不同的情况（有些网站可能会过滤用户的输入数据，但过滤不完整，或者可以使用cookie注入并使用cookie信息拼接查询字符）。因此，在实际测试中，我们需要分析当时的具体情况，构造合适的SQL语句，以达到成功获取数据的效果（对于有输入过滤的页面，需要根据不同的情况改变输入数据）。

2跨站点脚本漏洞

跨站点脚本漏洞是指恶意用户将精心构建的HT ml脚本代码添加到网站上的某些消息或其他网页中，网站服务器将解析并执行这些脚本代码。当其他用户访问该页面时，嵌入的脚本代码将被解析并执行，以实现这些精心构建的脚本的功能。

跨站点脚本漏洞攻击是一种被动攻击。无论嵌入的脚本是在网站页面中还是在电子邮件中，用户都需要访问或点击才能达到预期的效果，这与上述SQL注入攻击的主动方式不同。

3上载漏洞

文件可以上传，上传后可以在指定网站的虚拟目录下的网站或论坛访问。可能存在上载漏洞。Web shell可用于上传Web shell（Web shell是一个可以实现隐蔽控制效果的Web后门程序，通常具有执行CMD命令、查看磁盘文件信息、控制系统等功能）。一旦网页外壳上传到网站，网站可能会长期受到入侵，使网站上的信息和用户的数据不再安全，还可能威胁同一虚拟主机上的其他网站服务器。

上传漏洞的原理是：上传文件时，可以通过/0截断字符串更改添加的文件类或将原来上载的文件类更改为Web shell文件类。通过上面类似的方法绕过类验证程序来上传指定的文件。

此漏洞的渗透是上传web shell网页后门，它可以进一步收集信息，并在确认可以上传的基础上进行检测。如果上载文件的大小受到限制，则需要先上载一个小的单句Web shell或其他小Web shell。

4旁注漏洞

当网站本身不存在漏洞时，如果网站服务器运行的虚拟主机上的其他网站存在漏洞，则没有漏洞的网站也可能受到攻击，称为侧注漏洞攻击。

sidenote漏洞的原理是查询同一IP地址（即同一虚拟主机）上的其他域名，以检查服务器上是否存在可利用的漏洞。通过对具有漏洞的网站进行入侵，进一步入侵虚拟主机，最终使没有漏洞的网站受到入侵。

评估网站sidenote漏洞的主要原理是利用whois技术检查同一虚拟主机上是否存在多个web服务器，如果存在，则可能存在sidenote漏洞。

（3） 网络渗透测试

渗透测试没有标准定义。国外一些安全机构已经达成共识，渗透测试是通过模拟恶意黑客的攻击方法来评估计算机网络系统安全性的一种方法。

渗透测试技术不同于系统安全评估中常用的方法。相比之下，常用的安全评估方法对被测系统有更全面的评估结果，而渗透测试更关注安全漏洞的危害性和严重性。在渗透测试中，渗透测试人员站在恶意攻击者的角度，模拟恶意攻击者的思维，利用漏洞检测技术和攻击技术，发现被测系统中潜在的安全风险和易受攻击的环节，从而对被测系统进行深入的安全检查系统。在测试过程中，测试人员将采用包括目录猜测、密码猜测、密码破解、端口扫描、漏洞扫描等技术手段，通过不同的方式检测被测网络各个环节的安全性。

（4） Web渗透测试的基本步骤

1信息收集

在对目标网络进行调查之前，需要收集和总结与目标系统相关的各种信息，形成对目标网络必要的概要了解，为实施攻击做好准备。

这些信息可以通过以下方式收集：DNS域名服务、finger服务、whois服务、nlookup、Ping和path Ping、tracert等信息查询。

2扫描

通过信息采集掌握目标网络的外部特征信息后，可以对目标网络进行有针对性的扫描。扫描的最终结果决定了目标网络是否受到攻击。通过扫描获得的任何漏洞信息都可能成为突破网络的切入点。

当然，扫描的结果不一定是可以直接利用的系统漏洞。从利用率来看，信息可分为两类：一类是安全敏感信息，包括第一阶段收集的信息；第二类是扫描阶段获得的关于端口开放和操作系统类的信息。虽然这些信息不能直接用来渗透和攻击目标网络，但有助于全面了解目标网络的信息；另一种是安全漏洞信息，这种安全漏洞可能是由于系统配置的疏忽（如没有及时修补）造成的，或者操作系统或应用程序本身的缺陷。因此，该漏洞可能被用来突破和控制目标网络。

探针扫描的常用手段有端口扫描、操作系统检测、应用服务检测、路由器检测、防火墙检测等。

漏洞检测扫描主要包括：Web和CGI安全漏洞扫描、windows、UNIX、Linux操作系统漏洞扫描、SNMP漏洞扫描、sqlserer数据库服务漏洞扫描、路由器和防火墙漏洞扫描。

实际上，扫描过程与目标主机或网络有物理联系，可视为轻微攻击。扫描结果决定了攻击者的下一步行动。

3攻击

在通过信息收集和扫描阶段获得相关线索后，经过分析和策划，可以采取各种手段达到下一步的直接攻击目的。

从黑客攻击的目的来看，可以分为两类：一类是对目标进行致命攻击，使目标系统遭到破坏甚至瘫痪；另一类较为常见，其目的是获取直接利益，如将机密信息下载到目标系统中，或者获得对目标系统的**控制权。在这个过程中，攻击者往往无意修正目标系统的破坏能力，他可能更愿意非常隐蔽地实现自己的目标。

4植入后门

攻击成功后，为了再次进入和控制目标主机，通常会放置一些后门程序。由于网络主机系统经常升级，一些原本用来突破系统的漏洞，在系统升级后可能会得到修复，后门程序可以在不依赖原来用来突破的漏洞的情况下，保持长期稳定的控制能力。后门可能是隐藏的管理员帐户、具有超级权限的服务进程，有时甚至是故意放置的系统漏洞。一个好的后门不能轻易被目标用户发现，同时确保**的系统权限。许多木马程序和远程控制程序可以作为后门程序植入。一些**的后门程序采用内核模块（LKM）的方法对系统内核进行动态修改，这是一般情况下无法检测到的。强大的后门程序可以通过扫描和嗅探技术突破整个网络。

5消除痕迹

作为一次完整的网络攻击，黑客需要清理战场，即消除痕迹。在信息收集、扫描和攻击阶段，即使采取多种防护措施，也会有直接或间接的攻击痕迹。当目标主机管理员进行例行检查时，可能会暴露出攻击痕迹，进一步的安全检查可能会导致攻击行为完全暴露，甚至会发现嵌入的后门程序。攻击跟踪还可以使有经验的安全调试器跟踪到真正的攻击源。同时，攻击痕迹是攻击技术和手段的直接反映。

消除痕迹是一项细致的工作。审计日志、网络访问记录、防火墙监控日志以及攻击留下的残余线索必须仔细清理。对于一些必须留下的后门程序，我们需要采取进程隐藏、文件隐藏、核心文件替换、程序加密等手段来避免被发现。

**，作为web渗透测试人员，在上述测试内容的基础上，还需要对被评估单位出具风险评估报告，从而形成完整的渗透测试服务。

需要注意的是，真实网站存在很多漏洞，可能会被黑客攻击，从而导致挂马、植入病毒等恶意操作。这使得我们在进行网络渗透测试时感染病毒成为可能。因此，我们可以考虑在虚拟机环境中安装虚拟机并进行安全测试，以降低本地计算机受到损害的风险。

（5） 网站渗透练习

1密码破解攻击实践

如果我们知道一个测试网站的用户的ID，我们可以尝试破解密码。安装python的sqlmap模块，并设置单词表.tx文件解压缩后单词表.txt文件，其中包含120多万个密码。编写一个程序从文件中逐个读取密码，然后反复尝试登录，直到获得正确的密码：

2网页外壳攻击实践

在用户ID和密码已知的情况下，获取完整或不完整cookie的方法有很多（包括手动登录网站，找到完整的cookie进行**），Python的selenium模块一般可以获得完整的cookie，这样程序就可以登录到我们自己的网站。Selenium模块是一个用于web应用程序测试的工具。它直接在浏览器中运行，就像真正的用户在操作一样。执行各种cookie操作是非常方便的。

写一个简单的文件webshell。HTml窃取web服务器的各种环境信息，并尝试通过程序或手动上传到测试网站。这可以通过登录网站后上传头像的功能来实现。对于头像，由于网站的限制，只能上传图片格式。因此，要传输的文件的扩展名被修改为，例如webshell.jpg。

使用fiddler可以在一定程度上避免网站上传图片格式的限制。Fiddler是一个免费的web调试**工具，它记录计算机和Internet之间的所有HTtp（s）流量。它可以检查通信、设置断点和处理请求/响应。我们使用Fiddler设置断点，选择在请求之前截断请求，然后在网站中选择“伪装化身”webshell.jpg上传。我们可以提供方便的cookies，包括Fiddler等形式的查询、查询等webshell.jpg换回webshell。HT ml并继续响应请求。网络地狱。HT ml文件已成功上载。

图2显示了此操作中fiddler的部分界面。此操作绕过客户端身份验证。在加强网站的安全性后，如增加包括服务器端验证在内的安全措施，此类攻击和疑似攻击请求将被自动拦截。

2、 特洛伊木马[4]-[7]

特洛伊木马被称为木马程序。木马和病毒的区别在于，木马不会将代码**到主机文件或引导区，而是伪装成其他程序。病毒的特点是使自己成为其他程序的一部分，所以它们的传播方式是不同的。

病毒的主要特殊性在于它具有自我**、传染性和破坏性；木马的特殊性在于木马攻击者可以控制木马，这是可控的。病毒的感染是无法控制的。甚至病毒编译器也无法控制它。它通过自我**来传播和感染文件。特洛伊木马不会故意感染其他文件。它的主要功能是打开目标系统到控制端的入口，使控制端可以远程控制目标系统。

木马植入目标系统后，可以接收控制端的指令，完成控制端下达的任务。随着技术融合的发展，木马厂商借助病毒感染技术，植入木马，使得木马的危害更加严重。

（1） 木马的隐藏方式

1集成到计划中

木马被用户发现后，往往会将自身整合到程序中，以达到难以删除的目的，即木马被激活后，木马文件就绑定到某个应用程序上。在这种情况下，即使删除了它，也会在应用程序运行后安装它。

2隐藏在配置文件中

一般来说，计算机中使用图形界面，这样就很容易忽略不太重要的配置文件。木马可以利用这些配置文件的一些特殊功能使自己在计算机中运行，但这种隐藏方式并不十分灵巧，被发现的概率很大。

3潜伏在Win.ini文件在里面

这样，当系统安全启动时，它可以自动运行。

4普通档案中的伪装

这种木马目前相当流行。如果用户不熟悉windows，很容易上当受骗。例如，可执行文件被伪装成合法的图像或文本文件。

5内置在注册表中

复杂注册表中内置的特洛伊木马更难找到。

6在系统.ini隐藏

在windows安装目录中隐藏特洛伊木马系统.ini文件，这也是一个比较隐蔽的地方。

7在启动组中不可见

这使特洛伊木马能够自动加载并在启动组中运行。

8捆绑在启动文件中

这里的启动文件是指应用程序的启动配置文件。控制端利用这些文件的特性启动，并用木马启动命令覆盖同名文件，从而实现木马启动的目的。

9在超链接中设置

用户可以通过点击网页上的恶意链接感染木马。

目前，驱动程序和动态链接库技术的出现，使得木马的隐蔽性越来越强。该技术摆脱了原有的木马监控端口模式，改为重写驱动程序或DLL。因此，系统中没有出现新的文件（所以不能通过扫描来检查和杀死它），也不需要打开一个新的端口（因此端口监视无法检查和终止它），也不会出现新的进程（因此进程视图无法检测到它，并且不能通过终止进程来停止它）。而且，这类木马在正常运行时没有任何症状，木马程序在木马程序的控制端得到木马控制端的具体信息后才开始运行。

（2） 木马通信原理

在服务器中安装木马后，当控制端和服务器端联机时，控制端可以使用木马端口与服务器建立连接。

木马的通信方法很多，最常见的是使用TCP或UDP协议，这种方法的隐蔽性比较差，容易被发现，比如使用netstat命令可以查看当前活跃的TCP、UDP连接。

此外，还可以使用其他方法，其中之一是将木马的通信连接与通用端口绑定，使木马可以利用这些端口来传输信息。例如，木马将服务器上的信息转换成普通电子邮件发送到指定地点，或使用FTP协议将信息从服务器传送到指定的FTP主机（后者很容易找到）。使用HT TP协议传输信息有一种相对安全的方法。此时，防火墙很难判断这些信息是属于正常的通信信息，还是属于木马传播的信息。

以上方法都有一个共同的缺陷，即木马必须打开一个端口与外界联系才能发送数据。在这方面，一种改进的方法是使用ICMP协议进行数据通信——ICMP消息由系统内核或进程直接处理，而不需要通过端口。

木马的通信原理如下：

1TCP/IP木马通信原理

假设机器a是控制终端，机器B是服务器。如果机器a知道机器B的服务器端口和IP地址，它就可以与它建立连接。由于服务器端口是预先设置好并已知的，所以最重要的是获取B机的IP地址，获取IP地址有两种方式：信息反馈和IP扫描。

所谓信息反馈，是指木马安装成功后，会收集一些服务器软硬件信息，通过电子邮件、IRC或ICQ等方式通知控制终端用户，从而获取服务器的IP等信息。

对于IP扫描技术，由于B机的a端口（如7626端口）被木马入侵后显示为打开状态，a机只需扫描IP地址段中7626端口打开的主机。例如，机器B的地址是202.102.45.53当机器a扫描IP并发现其端口7626已打开时，该IP将被添加到列表中。此时，a机可以通过木马的控制端程序向B机发送连接信号。机器B中的木马程序收到信号后会立即响应。当a机接收到响应信号时，会打开一个随机端口（如1031端口），与B机的木马端口7626建立连接，成功建立木马连接。但是，如果用户的IP地址每次在一定范围内发生变化时都是不同的。例如，如果B机IP地址为202.102.45.53，则B机IP地址的变化范围为202.102.000.000~202.102.255.255，控制终端只需按此方法搜索即可。

值得一提的是，扫描整个地址段既费时又费力。一般来说，控制端通过信息反馈获得服务器的地址。

2ICMP木马通信原理

ICMP木马技术是为了摆脱端口的束缚。ICMP消息由系统的内核或进程直接处理，而不需要通过端口。如果特洛伊木马伪装成ping进程，系统将赋予木马进程icmp echo（ping的响应包）的监视和处理权限。一旦事先约定了icmp echo包（这样的包已经修改了icmp报头并添加了木马的控制字段），特洛伊木马就会连接起来，接收、分析和解析来自消息的命令和数据。防火墙通常不过滤icmp回显数据包，因为过滤icmp回显数据包意味着主机无法执行诸如ping之类的路由诊断操作。

3反向连接技术

从本质上讲，反向连接和正向连接没有太大区别。

在前向连接的情况下，服务器端即受控端在编程时采用服务器端编程方法，而控制端在编程时采用客户端编程方法。

当采用反向连接技术时，服务器端编程方法变为客户端编程方法，控制端编程方法变为服务器端编程方法。防火墙通常会严格过滤入站链路，但无法防范出站链路。因此，与一般木马不同，反弹端口木马采用反向连接技术的编程方法，即服务器端（受控端）使用主动端口，客户端（控制端）使用被动端口。嵌入反弹木马服务器端的电脑会定期监控控制端的存在，当控制端在线时会立即弹出端口，并主动与控制端的开放端口连接。这种连接方式还可以突破内部网络，与外部建立连接。

4端口复用技术

在Winsock的实现中，服务器的绑定可以是多绑定的。在决定谁使用多重绑定时，原则是指定谁是最明确的，以及向谁提交包。换句话说，具有低级权限的用户可以重新绑定到**权限，例如服务启动端口。

（1） 特洛伊木马程序绑定到合法存在的端口以进行端口隐藏。它通过自己特定的包格式来判断它是否是自己的包。如果是，它会自己处理。否则，它将通过地址127.0.0.1将其传递给真正的服务器应用程序进行处理。

（2） 特洛伊木马可以将高权限服务应用程序的端口绑定到低权限用户上，以嗅探处理信息。原来，监控主机上一个socket的通信需要有很高的权限要求，但事实上，通过使用socket重新绑定，它可以监控与socket编程漏洞的通信，而不需要使用hook、hook或低级驱动技术（这些都需要有管理员权限才能实现）。

目前，新的木马理论层出不穷，基于木马的原理分析也在不断深入。新的木马和变种每天都会出现。比如现在木马技术与病毒的发展相互借鉴，也使得木马有了更好的传播，病毒具有了远程控制的能力，这使得木马程序与病毒的区别日益模糊，在木马理论和实践的研究方面，我们还有很长的路要走。

（3） 木马攻击练习

比特币核心钱包的关键文件是钱包.dat如果文件被盗，并且你知道相应的钱包密码，你可以偷里面的HT2。为了生动地展示实现这一目标的过程，我们编写了一个简单的木马程序来解释。

攻击安装了比特币核心钱包的私人服务器并在其中嵌入木马。需要注意的是，如果控制端和服务器端涉及内网，在编程时也需要对内网渗透进行相关处理。运行控制端程序，按照预置提示执行相关步骤，如下图所示：

这里的密码是一个简单的屏障，以防止其他黑客连接到我们的木马。然后执行程序：

以上程序可进一步制作成图形界面。从上图可以看出，我们得到钱包.dat目标中文件的路径，并将其**到您自己的主机上。然后，利用木马键盘记录和截图功能获取钱包密码，成功完成了一次盗取火币的木马攻击。

3、 大病毒

（1） 宏病毒简介[8]-[9]

宏是可以完成特定任务的几个单独命令的组合。这是一个由软件设计师设计的工具，用来避免重复相同的操作。它使用宏语言VBA语言将常用动作写入宏，并用宏自动运行来完成任务。微软在office系列软件中开发了宏支持，不仅方便了用户，也给攻击者带来了极大的方便，使office系列文档成为宏病毒攻击的**目标。

宏病毒通常存在于office文档或模板中。一旦打开带有宏病毒的文档，它将触发宏病毒，将其自身**到计算机上并保留在文档模板上。此时，计算机上自动保存的文档将被感染。当用户在其他计算机上打开这些受感染的文档时，宏病毒会自动转移到他的计算机上。

以word宏病毒为例。Word宏病毒通常隐藏在指定的Word文档中。一旦word文档被打开，宏病毒就会被执行。它需要做的第一件事是将自己**到全局宏区域，以便所有打开的文档都可以使用宏。当word退出时，全局宏将存储在全局模板文件（。点文件），此文件的名称通常是“普通.dot“如果全局宏模板被感染，宏病毒将在word重新启动时自动加载和执行。

一般来说，我们可以通过调整office文档中宏的安全设置使其不运行来避免感染的风险。然而，一些行业必须使用宏观经济，这使得宏观影响的风险依然存在。此外，黑客还可能提示用户“文档是由更高版本的office创建的，为了显示内容，必须启用宏”或“文档受到保护，为了显示图片，必须启用宏”来欺骗用户打开宏，从而达到感染计算机的目的。

元病毒具有传播速度快、易产生变种、破坏力强、跨平台交叉感染等特点。以破坏力为例，宏病毒可以获得许多系统级的低级调用权限，如调用windowsapi、DLL和DOS系统命令。这些底层接口可能对系统构成巨大威胁。然而office应用程序对指令的安全性和完整性的检测能力较弱，容易执行破坏系统的指令，从而对系统本身造成直接危害。

（2） 宏病毒攻击实践

利用Metasploit框架制作宏病毒，实现木马功能，并在Intranet中进行渗透测试。与自行开发的代码相比，在该工具下制作宏病毒非常方便。

在监控端，以Excel的宏病毒为例，在Metasploit框架下自动生成所需的VBA代码

如上图所示，这些VBA代码是在新建.ba在文件中。将代码**到电子表格的isualbasic编辑器中，并使用宏名“auto.”Open“在电子表格启动时自动运行。这样，电子表格的宏一旦运行就会感染目标计算机。此外，还可以向宏中添加一些其他代码以实现特定任务，例如创建定期执行的计划任务（不需要），以及添加提示框。然后我们将电子表格展开。

在对目标计算机进行测试时，如果用户点击此电子表格，提示框会提示木马运行成功或用户已感染（实际应用中未添加此项）

此时，在侦听器的Metasploit框架下运行msfconSOLe后，发现目标计算机已连接：

然后，在监控端继续输入简单的指令，实现将目标计算机的权限升级为系统权限、列出目标计算机的系统进程、截取音频、截屏、拍照录像、记录键盘击键过程、打开远程桌面和其他功能。

4、 针对web服务器的DDoS攻击

DDoS攻击与HT2的直接盗用似乎没有多大关系，但在数字货币领域偶尔会出现，因此值得简要介绍一下。2020年3月13日，北京时间10:16和20:56，bitmex exchange遭遇两次DDoS攻击。

（1） 针对web服务器的DDoS攻击介绍[10]-[11]

DDoS攻击是指利用分布式攻击平台对一个或多个指定目标进行拒绝服务攻击，导致没有可用资源向受攻击的web服务器或网络提供服务。

黑客通常利用网络木马和网络蠕虫来构建僵尸网络。网络木马通过恶意绑定或程序漏洞传播，网络蠕虫通过系统漏洞和欺诈传播。当一台计算机被僵尸网络感染时，在主机和被感染计算机之间建立一对多的控制网络。僵尸网络所有者可以远程控制网络中的所有主机，对目标服务器或目标主机发起应用层DDoS攻击。

为了达到既定的攻击伤害，僵尸网络建成后，攻击者需要检测到攻击目标，确定目标的开放服务和站点，即决定使用什么攻击流量。Web服务器上的DDoS攻击往往需要检测更多的信息数据，例如Web服务器上哪些页面包含大内存图像，哪些页面包含数据库动态查询功能。这些网页被攻击者使用，这将对web服务器构成极大的威胁。通过不断请求这些页面中资源消耗高的节点，提高了web服务器的资源消耗速度，提高了攻击效率。在DDoS攻击开始时，僵尸网络会按照攻击者计划的攻击程序运行，并向受害目标发送大量具有攻击行为的请求。由于攻击行为被设计成模仿正常的用户访问行为，目标服务器很难区分合法和非法请求，最终达到受害者没有可用服务资源提供服务的目的。

据bitmex exchange的博客称，今年3月13日，它遭到了两次同样的DDoS攻击，僵尸网络还专门设计了聊天室功能查询，让平台不堪重负。

据说聊天室有7种语言，每个语言的频道ID都是1到7，第一种是英语，**两种是西班牙语和法语。Bitmex的相应接口允许您按通道ID查询**100行。考虑到表的大小（约5000万行），执行反向顺序扫描然后进行过滤实际上更快。查询优化器对所有语言执行反向顺序扫描，直到最终找到要返回的100行。就西班牙语而言，很长一段时间没有人聊天了，所以扫描849748条线路，以找到足够的线路来满足标准。这种昂贵的顺序扫描可以快速分配和释放大量内存，溢出到磁盘，并迅速使系统因系统调用而过载。在攻击发生时，数据库只花费0.6%的时间处理请求，其余99.4%的时间用于Io等待，这导致所有查询都非常缓慢。

尽管与用户相关的数据（电子邮件、活动、聊天室、登录事件等）与交易数据（位置、交易、保证金等）是分开的，但聊天室与用户相关，访问代币和API密钥也是如此。这意味着这种资源消耗会导致事务引擎前面的身份验证和访问控制层出现严重问题。交易引擎运行正常，市场数据、存取款不中断。然而，在这段时间内，请求几乎不可能到达引擎，导致服务质量严重下降。

对于已经登录该网站的用户来说，他们会发现，攻击前动荡的市场形势突然变成一片平静的湖面，偶尔会有小鱼跳跃引起的涟漪。但是，当用户注销时，他不能再成功登录。

没有一个系统能够抵抗DDoS的干扰，有很多技术可以用来减少或消除这种影响。Bitmex表示，它已经解决了潜在的问题，并日夜引入额外的检测和响应层，并将做出其他努力来提高负载下的自动化可伸缩性，并进一步隔离关键系统。Bitmex强调，作为上述持续监控和缓解措施的一部分，其安全团队正在审查系统中最古老、最脆弱的部分，以简化、分离、提高性能并隔离系统。与此同时，该公司的团队正在为停机、市场停滞、市场恢复和通信开发面向公众的协议，以便在未来服务中断时为用户提供更大的透明度。

（2） DDoS攻击实践

由于我们攻击的主机数量较少，严格来说，以下攻击行为应属于DOS攻击（拒绝服务攻击）。只有当大量主机参与攻击时，才能称之为DDoS攻击（分布式拒绝服务攻击）。

通过编写程序，我们利用一些主机向自有服务器发送大量数据包，希望导致服务器资源耗尽甚至崩溃。但是，由于发起攻击的主机数量很少，实现这一目标并不容易。网络上有更多的此类攻击的程序示例，因此我们不在这里详细说明和展示。

我们也可以使用相关工具进行攻击——下载pylori模块，在DOS中进行slowloris攻击。

在slowloris攻击中，即使只使用一台PC，web服务器也可能瘫痪。在分析攻击原因时，通常使用web服务器的日志。由于日志只记录在头文件分析的末尾，slowloris攻击不会在日志文件中留下痕迹，因此很难检测到。正常的HTtp报头以/R/N/R/N结尾，web服务器通过搜索/R/N/R/N来判断HTtp头的结尾，然后对服务请求进行分析和处理。slowloris攻击使用的HTtp报头只以/R/N结尾，因此web服务器认为HTtp头没有结束，因此无法分析HTtp头并继续保持连接。当服务器连接数达到**值时，它无法继续处理新请求，然后拒绝提供服务[12]。

从官网下载的Chloris模块版本号为3.2，适用于python2。我们修改了源代码，使其可以在python3中运行，然后在run界面中填写一个要攻击的自有测试网站的地址和端口：

点击“启动”按钮开始攻击。如下图所示，运行界面分为两个区域。状态区域用于显示当前的攻击状态，其中attacks表示当前使用的连接数，threads表示到目前为止创建的线程数；log区域显示用于发送攻击的程序日志：

5、 结论

为了阐明窃取火币的一些黑客技术，本文简要介绍了网站渗透、木马、宏病毒和DDoS攻击。虽然DDoS攻击与HT2的直接盗用没有多大关系，但鉴于其对数字货币兑换的重要性和巨大影响，本文也对其作了简要介绍。同时，我们也编写了一个相对简单的程序，并使用一些工具来攻击我们自己的网站和主机。在一定程度上有助于普通用户了解黑客的基本技术，使人们积极保护数字货币资产的安全。

由于篇幅的限制，我们将在未来详细讨论上述黑客技术和其他部分技术的综合应用以及相关的安全防护措施。

参考

[1] 吴松泽。基于Web安全的渗透测试技术研究。哈尔滨师范大学硕士论文，2015年9月11日

[2] 普施。Web安全渗透测试研究。西安电子科技大学硕士论文，2010.2-17

[3] 钱伟。网站评价渗透系统的研究与实现。复旦大学硕士论文，2011年6月7日

[4] 何瑞强。木马攻击与木马检测新技术研究。2009年3月18日西安建筑科技大学硕士论文

[5] 谢宗仁。木马原理分析与实现。山东大学硕士论文，2009.16-19

[6] 朱登基。64位windows木马的研究与实现。西安工业大学硕士学位论文，2015年2月

[7] 刘成光。基于木马的网络攻击技术研究。西北工业大学硕士论文，2004.14

[8] 王金良。办公脆弱性挖矿与分析技术研究。重庆工业大学硕士论文，2017年8月9日

[9] 宏病毒的原理与实现。百度文库。HTtps://wenku.baidu.com/iew/c4f763dfa200a6c30c225901020740bf1ecd32。HT毫升？fr=搜索

[10] 任浩。web服务器DDoS攻击防御技术研究。河北科技大学硕士论文，2019年9月10日

[11] 亚瑟·海耶斯。我们对3月13日DDoS攻击的响应。Bitmex博客。HTtps://blog.bitmex.com/zhcn我们如何应对上周的ddos攻击/

[12] 赵承文，郑福勋。介绍Python黑客攻击和防御。翻译。吴传海。北京：人民邮电出版社，2018.182-183

本文链接：HTtps://www.8 HT4. 请注明文章来源