《实验网络安全技术二》由会员分享,可在线阅读,更多相关《实验网络安全技术二(9页珍藏版)》请在金锄头文库上搜索。
1、实验二 网页木马和木马捆绑一般黑客都会在攻入系统后不只一次地进入该系统,为了下次再进入系统时方便,黑客会留下一个后门;另一方面,程序员在进行软件开发时,会由于疏忽或故意将后门留在程序中,以便日后可以对此程序进行隐藏地访问。练习一 Shell后门【实验目的】l 理解后门的定义与分类l 掌握后门的操作与原理【实验人数】每组2人【系统环境】Windows 【网络环境】交换网络结构【实验工具】JlcssShell【实验原理】见原理篇实验25练习一。【实验步骤】本练习主机A、B为一组,C、D为一组,E、F为一组。下面以主机A、B为例,说明实验步骤。首先使用“快照X”恢复Windows系统环境。一系统自带
2、远程控制工具(3389远程控制)(1)设置远程登录用户。主机B依次单击“我的电脑”“属性”“远程”“远程桌面”,选中“启用这台计算机上的远程桌面”。单击“选择远程用户”按钮,进入远程桌面用户,单击“添加”按钮,添加远程用户帐户,在选择用户对话框中点选“高级”“立即查找”,在查找结果中选择一个已存在的用户,按确定,完成用户添加工作。(2)将用户名,密码告知同组主机A,并由其对本机进行远程登录。主机A依次单击“开始”“程序”“附件”“通讯”“远程桌面连接”,启动远程桌面连接工具,在计算机一栏填写同组主机B的IP地址,单击“连接”按钮进行连接。在出现的登录界面中填入同组主机B提供的用户名和密码以图形
3、界面登录到同组主机。利用远程连接,在同组主机上进行文件操作,注意不要随便删除连接主机上的文件。二远程控制工具JlcssShell(1)主机B首先在控制台中执行netstat -an,查看本机开启的端口情况。单击实验平台工具栏中“JlcssShell”按钮,进入JlcssShell工作目录,运行JlcssShell.exe,再次查看本机开启端口的情况,端口21581是否开启 。(2)主机A确认JlcssShell后门植入主机B后,用“telnet”命令对主机B连接并实现部分功能的控制。主机A打开命令行操作界面,输入“telnet 主机B的IP地址 21581”,其中“21581”为JlcssSh
4、ell后门程序的执行端口。然后输入“连接密码”:jlcssok。 确认后即可进入远程控制界面。输入“?”键入“回车”,获取帮助菜单。注 帮助菜单中q操作不但能够退出当前远程连接操作,而且可以卸载远程shell后门。因此在执行了q操作后,需要重新运行程序,启动后门。(3)主机A对主机B进行简单的磁盘操作。练习二 网页木马从严格的定义来讲,凡是非法驻留在目标计算机里,在目标计算机系统启动的时候自动运行,并在目标计算机上执行一些事先约定的操作,比如窃取口令等,这类程序都可以称为特洛伊木马程序,即trojans。【实验目的】l 剖析网页木马的工作原理l 理解木马的植入过程l 学会编写简单的网页木马脚本
5、l 通过分析监控信息实现手动删除木马【实验人数】每组2人【系统环境】Windows 【网络环境】交换网络结构【实验工具】灰鸽子木马监控器工具网络协议分析器【实验原理】见原理篇实验26练习一。【实验步骤】本练习主机A、B为一组,C、D为一组,E、F为一组。实验角色说明如下:实验主机实验角色主机A、C、E木马控制端(木马客户端)主机B、D、F木马被控端(木马服务器)下面以主机A、B为例,说明实验步骤。首先使用“快照X”恢复Windows系统环境。一木马生成与植入在进行本实验步骤之前,我们再来阐述一下用户主机通过访问被“挂马”的网站而被植入木马的过程,便于同学们理解和完成实验。(1)用户访问被“挂马
6、”的网站主页。(此网站是安全的)(2)“挂马”网站主页中的代码链接一个网址(即一个网页木马),使用户主机自动访问网页木马。(通过把设置成不可见的,使用户无法察觉到这个过程)(3)网页木马在得到用户连接后,自动发送安装程序给用户。(4)如果用户主机存在MS06014漏洞,则自动下载木马安装程序并在后台运行。(5)木马安装成功后,木马服务端定时监测控制端是否存在,发现控制端上线后立即弹出端口主动连接控制端打开的被动端口。(6)客户端收到连接请求,建立连接。1 生成网页木马(1)主机A首先通过Internet信息服务(IIS)管理器启动“木马网站”。(2)主机A进入实验平台在工具栏中单击“灰鸽子”按
7、钮运行灰鸽子远程监控木马程序。(3)主机A生成木马的“服务器程序”。主机A单击木马操作界面工具栏“配置服务程序”按钮,弹出“服务器配置”对话框,单击“自动上线设置”属性页,在“IP通知http访问地址、DNS解析域名或固定IP”文本框中输入本机IP地址,在“保存路径”文本框中输入“D:WorkIISServer_Setup.exe”,单击“生成服务器”按钮,生成木马“服务器程序”。(4)主机A编写生成网页木马的脚本。在桌面建立一个“Trojan.txt”文档,打开“Trojan.txt”,将实验原理中网马脚本写入,并将第15行“主机IP地址”替换成主机A的IP地址。把“Trojan.txt”文
8、件扩展名改为“.htm”,生成“Trojan.htm”。注 C:ExpNISNetAD-LabProjectsTrojanTrojan.htm文件提供了VB脚本源码。将生成的“Trojan.htm”文件保存到“D:WorkIIS”目录下(“D:WorkIIS”为“木马网站”的网站空间目录),“Trojan.htm”文件就是网页木马程序。2 完成对默认网站的“挂马”过程(1)主机A进入目录“C:Inetpubwwwroot”,使用记事本打开“index.html”文件。(“默认网站”的网站空间目录为“C:Inetpubwwwroot”,主页为“index.html”)(2)对“index.htm
9、l”进行编辑。在代码的底部加上语句,具体见实验原理名词解释iframe标签(需将http:/ 木马的植入(1)主机B设置监控。主机B进入实验平台,单击工具栏“监控器”按钮,打开监控器。在向导栏中依次启动“进程监控”、“端口监控”,选择“文件监控”,在菜单栏中选择“选项”|“设置”,在设置界面中设置监视目录“C:Windows”(默认已被添加完成),操作类型全部选中,启动文件监控。启动协议分析器,单击菜单“设置”“定义过滤器”,在弹出的“定义过滤器”对话框中选择“网络地址”选项卡,设置捕获主机A与主机B之间的数据。新建捕获窗口,点击“选择过滤器”按钮,确定过滤信息。在捕获窗口工具栏中点击“开始捕
10、获数据包”按钮,开始捕获数据包。主机B启动IE浏览器,访问“ 主机A的IP地址”。(2)主机A等待“灰鸽子远程控制”程序主界面的“文件管理器”属性页中“文件目录浏览”树中出现“自动上线主机”时通知主机B。(3)主机B查看“进程监控”、“服务监控”、“文件监控”和“端口监控”所捕获到的信息。在“进程监控”|“变化视图”中查看是否存在“进程映像名称”为“H.ini”的新增条目。观察进程监控信息,结合实验原理回答下面的问题。H.ini文件是由哪个进程创建的:_;在“服务监控”中单击工具栏中的“刷新”按钮,查看是否存在“服务名称”为“Windows XP Vista” 的新增条目,观察服务监控信息,回
11、答下面的问题。Windows XP vista服务的执行体文件是:_;在“文件监控”中查看“文件名”为“C:WINDOWSH.ini”的新增条目。在“端口监控”中查看“远程端口”为“8000”的新增条目,观察端口监控信息,回答下面问题:8000服务远程地址(控制端)地址:_;经过对上述监控信息的观察,你认为在“进程监控”中出现的winlogoin.exe进程(若存在)在整个的木马植入过程中起到的作用是:_;(4)主机B查看协议分析器所捕获的信息。注意图26-1-1中划线部分的数据,结合实际结果找到对应的信息。图26-1-1 协议分析器捕获信息二木马的功能1 文件管理(1)主机B在目录“D:Wo
12、rkTrojan”下建立一个文本文件,并命名为“Test.txt”。(2)主机A操作“灰鸽子远程控制”程序来对主机B进行文件管理。单击“文件管理器”属性页,效仿资源管理器的方法在左侧的树形列表的“自动上线主机”下找到主机B新建的文件“D:WorkTrojanTest.txt”。在右侧的详细列表中对该文件进行重命名操作。(3)在主机B上观察文件操作的结果。2 系统信息查看主机A操作“灰鸽子远程控制”程序查看主机B的操作系统信息。单击“远程控制命令”属性页,选中“系统操作”属性页,单击界面右侧的“系统信息”按钮,查看主机B操作系统信息。3 进程查看(1)主机A操作“灰鸽子远程控制”程序对主机B启动
13、的进程进行查看。单击“远程控制命令”属性页,选中“进程管理”属性页,单击界面右侧的“查看进程”按钮,查看主机B进程信息。(2)主机B查看“进程监控”|“进程视图”枚举出的当前系统运行的进程,并和主机A的查看结果相比较。4 注册表管理主机A单击“注册表编辑器”属性页,在左侧树状控件中“远程主机”(主机B)注册表的“HKEY_LOCAL_MACHINESoftware” 键下,创建新的注册表项;对新创建的注册表项进行重命名等修改操作;删除新创建的注册表项,主机B查看相应注册表项。5 Telnet主机A操作“灰鸽子远程控制”程序对主机B进行远程控制操作,单击菜单项中的“Telnet”按钮,打开Tel
14、net窗口,使用“cd c:”命令进行目录切换,使用“dir”命令显示当前目录内容,使用其它命令进行远程控制。6 其它命令及控制主机A通过使用“灰鸽子远程控制”程序的其它功能(例如“捕获屏幕”),对主机B进行控制。三木马的删除1 自动删除主机A通过使用“灰鸽子远程控制”程序卸载木马的“服务器”程序。具体做法:选择上线主机,单击“远程控制命令”属性页,选中“系统操作”属性页,单击界面右侧的“卸载服务端”按钮,卸载木马的“服务器”程序。2 手动删除(1)主机B启动IE浏览器,单击菜单栏“工具”“Internet 选项”,弹出“Internet 选项”配置对话框,单击“删除文件”按钮,在弹出的“删除文件”对话框中,选中“删除所有脱机内容”复选框,单击“确定”按钮直到完成。(2)双击“我的电脑”,在浏览器中单击“工具”|“文件夹选项”菜单项,单击“查看”属性页,选中“显示所有文件和文件夹”,并将“隐藏受保护的操作系统文件”复选框置为不选中状态,单击“确定”按钮。(3)关闭已打开的Web页,启动“Windows 任务管理器”。单击“进程”属性页,在“映像名称”中选中所有“IEXPLORE.EXE”进程,单击“结束进程”按钮。(4)删除“C:WidnowsH.ini”文件。(5)启动“服务”管理器。选中右侧详细列表中的“Windows XP Vista”
