网络安全技术及应用实训报告

网络安全技术及应用实训报告内容摘要：

n from User” ，点击 “ 下一步 ” 按钮。 (13) 进入 “ Configure restart” 页签，选择 “ No restart” 选项，点击 “ 下一步 ”按钮。 (14) 进入 “ Save Self Extraction Directive” 页签，选择 “ Don39。 t save” 选项，点击 “ 下一步 ” 按钮。 (15) 进入 “ Create package” 页签，点击 “ 下一步 ” 按钮，完成操作。 生成捆绑完成的文件 “ ”。 3. 将打包生成的程序 B 主机 B 4. 运行打包程序 (1) 主机 B运行主机 A发送过来的软件程序。 (2) 观察软件运行过程中出现的现象，能否发现除 zsoft软件外其它程序的运行过程。 主机 A 5. 查看肉鸡是否上线，若上线尝试对其进行控制 第四章 任务 4 木马植入 8 第四章 任务 4 木马植入 使用木马程序的第一步是将木马的 “ 服务器程序 ” 放到远程被监控主机上，这个过程成为木马的植入过程。 常见的植入过程有如下几种方法。 ● 邮件收发：将木马的 “ 服务器程序 ” 放入电子邮件中植入到远程主机。 ● 网页浏览：将木马的 “ 服务器程序 ” 放入网页中植入到远程主机。 ● 文件下载：将木马的 “ 服务器程序 ” 和被下载的文件捆绑到一起植入到远程主机。 木马的运行方式 服务端用户运行木马或捆绑木马的程序后，木马就会自动进行安装。 首先将自身拷贝到WINDOWS的系统文件夹中（ C:WINDOWS或 C:WINDOWS\SYSTEM目录下），然后在注册表，启动组，非启动组中设置好木马的触发条件，这样木马的安装就完成了。 安装后就可以启动木马了。 1. 自启动激活木马 (1) 注 册 表 ： 打 开 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion下的 Run主键，在其中寻找可能是启动木马的键值。 (2) ： C:\WINDOWS目录下有一个配置文件 ，用文本方式打开，在 [windows]字段中有启动命令 load=和 run=，在一般情况下是空白的，如果有启动程序，可能是木马。 (3) ： C:\WINDOWS 目录下有个配置文件 ，用文本方式打开，在[386Enh]， [mci]， [drivers32]中 有命令行，在其中寻找木马的启动命令。 (4) ：在 C 盘根目录下的这两个文件也可以启动木马。 但这种加载方式一般都需要控制端用户与服务端建立连接后，将已添加木马启动命令的同名文件上传到服务端覆盖这两个文件才行。 (5) *.INI：即应用程序的启动配置文件，控制端利用这些文件能启动程序的特点，将制作好的带有木马启动命令的同名文件上传到服务端覆盖这同名文件，这样就可以达到启动木马的目的了。 (6) 启动菜单：在 “ 开始 程序 启动 ” 选项下也可能有木马的触发条件。 (7) 通过将自身注册成系统服务，并添加注册表服务项，常驻内存。 实验步骤 实验操作前实验主机需从 Web资源库下载实验所需木马程序（灰鸽子）和恶意网页模板。 方法一 ：网页木马与木马植入 「注」实验过程两主机可同步进行，即主机 B同时制作网页木马，最后主机 A访问主机B制作的网页木马，实现中马的过程。 1. 生成网页木马 (1) 生成木马的 “ 服务器程序 ”。 第四章 任务 4 木马植入 9 主机 A 运行 “ 灰鸽子 ” 木马，参考知识点二配置生产木马被控制端安装程序 ， 并 将 其 放 置 于 Inter 信 息 服 务 (IIS) 默 认 网 站 目 录“ C:\Ipub\root” 下。 (2) 编写生成网页木马的脚本。 主机 A在 Web资源库中下载恶意网页模板 ，并编辑内容，将脚本第 15行 “ 主机 IP 地址 ” 替换成主机 A 的 IP 地址。 主机 A 将生成的 “ ” 文件保存到“ C:\Ipub\root” 目录下 (“ C:\Ipub\root” 为 “ 默认 ” 的网站空间目录 )，“ ” 文件就是网页木马程序。 「注」注意查看生成的 是否允许 Inter来宾账户的读权限访问。 (3) 启动 WWW服务。 鼠标右键单击 “ 我的电脑 ” ，选择 “ 管理 ”。 在 “ 计算机管理（本地） ” 中选择 “ 服务和应用程序 ” ｜ “ 服务 ” ，启动 “ World Wide Web Publishing Service” 服务。 2. 木马的植入 主机 B启动 IE浏览器，访问 A的 IP 地址 /。 观察实验现象是否有变化。 3. 查看肉鸡是否上线，并尝试进行控制 主机 A等待 “ 灰鸽子远程控制 ” 程序主界面的 “ 文件管理器 ” 属性页中 “ 文件目录浏览 ”树中出现 “ 自动上线主机 ”。 尝试对被控主机 B进行远程控制。 4. 主机 B验证木马现象 (1) 主机 B查看任务管理器中有几个 “ ” 进程。 (2) 主机 B查看服务中是否存在名为 “ Windows XP Vista” 的服务。 5. 主机 A卸载掉主机 B的木马器程序 主机 A通过使用“灰鸽子远程控制”程序卸载木马的“服务器”程序。 具体做法：选择上线主机，单击“远程控制命令”属性页，选中“系统操作”属性页，单击界面右侧的“卸载服务端”按钮，卸载木马的“服务器”程序。 方法二：缓冲区溢出 与 木马 植入 攻击者通 过远程缓冲区溢出攻击受害者主机后，得到受害者主机的命令行窗口，在其命令行窗口下使用 VBE脚本程序实现木马植入。 下面，由主机 B来重点验证利用 VBE脚本上传木马的过程。 （远程缓冲区溢出部分内容将在后续知识学习中进行详细介绍） 1. 生成下载脚本 主机 B在命令行下 逐条输入如下命令生成木马自动下载脚本。 该脚本的作用是：使主机 B自动从主机 A的 WEB服务器上下载 机 B 的 C:\WINDOWS\system32 目录下，并重命名为 ，而该程序就是主机 A 要植入的灰鸽子服务器端。 第四章 任务 4 木马植入 10 2. 下载木马后门 主机 B运行 ，使用命令形式如下： 主机 B运行灰鸽子服务器程序，使用命令如下： 3. 主机 B验证木马现象 (1) 主机 B查看任务管理器中有几个 “ ” 进程。 (2) 主机 B查看服务中是否存在名为 “ Windows XP Vista” 的服务。 4. 主机 B卸载 木马 程序 (1) 主机 B启动 IE浏览器，单击菜单栏“工具”｜“ Inter 选项”，弹出“ Inter 选项”配置对话框，单击“删除文件”按钮，在弹出 的“删除文件”对话框中，选中“删除所有脱机内容”复选框，单击“确定”按钮直到完成。 (2) 双击“我的电脑”，在浏览器中单击“工具” |“文件夹选项”菜单项，单击“查看”属性页，选中“显示所有文件和文件夹”，并将“隐藏受保护的操作系统文件”复选框置为不选中状态，单击“确定”按钮。 (3) 关闭已打开的 Web页，启动“ Windows 任务管理器”。 单击“进程”属性页，在“映像名称”中选中所有“ ”进程，单击“结束进程”按钮。 (4) 删除“ C:\Windows\”文件。 (5) 启动“服务”管理器。 选中右侧详细列表中的“ Windows XP Vista”条目，单击右键，在弹出菜单中选中“属性”菜单项，在弹出的对话框中，将“启动类型”改为“禁用”，单击“确定”按钮。 (6) 启动注册表编辑器，删除“ HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Services\Windows XP Vista”节点。 (7) 重新启动计算机。 第五章 任务 5 缓冲区溢出 11 第五章 任务 5 缓冲区益处 缓冲区益处概述 缓冲区是程序员为保 存特定的数据而在计算机内存中预分配的一块连续的存储空间。 缓冲区溢出是指在向缓冲区内填充数据时，数据位数超过了缓冲区本身的容量，致使溢出的数据覆盖在合法数据上，而引起系统异常的一种现象。 操作系统所使用的缓冲区又被称为 “ 堆栈 ”。 在各个操作进程之间，指令会被临时储存在 “ 堆栈 ” 当中， “ 堆栈 ” 也会出现缓冲区溢出。 缓冲区溢出是一种非常普遍、非常危险的漏洞，在各种操作系统、应用软件中广泛存在。 一些高明的 “ 黑客 ” 或者病毒制造者利用缓冲区溢出漏洞，精心编制出 “ 木马 ” 程序或者病毒，伴随覆盖缓冲区的数据侵入被攻击的电脑，造成 系统破坏、数据泄密、甚至可以取得系统特权，给用户造成重大的损失。 在缓冲区溢出中，最为危险的是堆栈溢出，因为入侵者可以利用堆栈溢出，在函数返回时改变返回程序的地址，让其跳转到任意地址，带来的危害一种是程序崩溃导致拒绝服务，另外一种就是跳转并且执行一段恶意代码，比如得到 shell，然后为所欲为。 缓冲区溢出攻击的目的在于扰乱具有某些特权运行的程序的功能，这样可以使得攻击者取得程序的控制权。 为了达到这个目的，攻击者必须达到如下的两个目标： 在程序的地址空间里安排适当的代码； 通过适当的初始化寄存器和内存，让程序 跳转到入侵者安排的地址空间执行。 缓冲区益处危害 缓冲区溢出漏洞的危害性非常大，与其他一些黑客攻击手段相比更具破坏力和隐蔽性。 主要体现在如下几个方面： (1) 漏洞普遍存在，而且极容易使服务程序停止运行、死机甚至删除数据。 (2) 漏洞在发现之前，一般程序员是不会意识到自己的程序存在漏洞，从而疏忽监测。 (3) 黑客通过缓冲区溢出嵌入的非法程序通常都非常短，而且不像病毒那样存在多个副本，因此，很难在执行过程中被发现。 (4) 由于漏洞存在于防火墙内部，攻击者所发送的字符串一般情况下不会受到防火墙的阻 拦，而且，攻击者通过执行核心级代码所获得的本来不运行或没有权限的操作，在防火墙看来是合法的，因此，防火墙是无法检测远程缓冲区溢出攻击的。 (5) 一个完整的核心代码的执行并不一定会使系统报告错误，并可能完全不影响正常程序的运行，因此，系统和用户都很难觉察到攻击的存在。 (6) 缓冲区溢出攻击在没有发生攻击时攻击程序并不会有任何变化，攻击的随机性和不可预测性都使得防御缓冲区溢出攻击变得异常困难。 知识应用 1. 黑客渗透视角 利用缓冲区溢出对目标机进行攻击，获取超级用户权限，进而控制目标机。 例如：黑客李某 在入侵某公司管理员的主机后，为了获得更多 “ 肉鸡 ” ，对内网中的其他主机进行漏洞扫描，并发现了缓冲区溢出漏洞，他立即根据这些漏洞精心设计了获取超级第五章 任务 5 缓冲区溢出 12 用户权限的溢出程序，开始对存在漏洞的主机实施攻击，在很隐蔽的情况下得到了超级用户的权限，从而实现了对其他主机的控制。 2. 网络运维视角 加强网络安全意识，采取有效地防范措施，避免系统受缓冲区溢出的攻击。 例如：要完全避免缓冲区溢出造成的安全威胁是不可能的，但系统管理员可以构建完善的防范体系来降低缓冲区溢出攻击的威胁。 目前，有效地防范措施主要有： (1) 通过操作系 统使得缓冲区不可执行，从而阻止攻击者植入攻击代码 (ShellCode)。 (2) 程序开发人员书写正确的、安全的代码。 (3) 利用编译器的边界检查来实现缓冲区的保护，使得缓冲区溢出不可能出现，从而完全消除缓冲区溢出的威胁。 实验步骤 实验操作前实验主机需从 Web资源库下载 MS06040漏洞攻击工具和 NetCat工具。 「注」实现过程中，主机 A和主机 B可同时进行以下步骤。 1. 远程缓冲区溢出 (1) 主机 A利用 NetCat在本地监听 60350端口。 当溢出成功后，漏洞服务会通过 60350端口与远程 主机建立连接。 单击 “ 开始 ” |“ 运行 ” ，输入 “ cmd”。 进入 Netcat目录。 使用命令： 执行效果如下： (2) 主机 A 发起溢出攻击主机 B，单击 “ 开始 ” |“ 运行 ” |“ cmd”。 新建一个命令行窗口，进入溢出攻击目录。 利用工具输入如下命令进行远程溢出： 上面命令实现向远程主机发起远程溢出攻击，溢出成功后与本地主机通过 60350端口建立连接程序。 (3) 获取 CmdShell。 当主机 A成功实现溢出攻击后，步骤 3 中的控制台窗口出现如下图所示界面。 第五章 任务 5 缓冲区溢出 13 此时，已经获得了远程主机的 CmdShell。 输入 “ ipconfig” 命令验证主机 B的 IP配置信息。 确认此时控制台为远程主机 B的 CmdShell（溢出 CmdShell）。 2. 溢出 CmdShell的利用 (4) 主机 A实现文件上传到主机 B。 主机 A在 溢出 CmdShell 下执行如下命令，新建一个用户。 (5) 将新添加的用户加入管理组。 在 溢出 CmdShell下执行如下命令： (6) 将主机 B的 C盘添加默认共享。 在 溢出 CmdShell下执行如下命令： (7) 建立与主机 B的连接。 在本机的命令行下执行如下命令：。