网络安全实验

《网络安全实验》由会员分享，可在线阅读，更多相关《网络安全实验（73页珍藏版）》请在金锄头文库上搜索。

1、实验一 信息收集及扫描工具的使用 【实验目的】 掌握利用注册信息和基本命令实现信息搜集 掌握结构探测的基本方法 掌握 XSCAN 的使用方法 【实验步骤】 一、 获取 以及 的基本信息。 1、利用 ping 和 nslookup 获取 IP 地址 2、利用 http:/www.intron.ac/service/index.html 以及 http:/ 来获取信息 二、 使用 visualroute 或者下载 pingplotter 来获取到达的结构信息。 三、 获取局域网内主机 192.168.4.100 的资源信息。 1、pinga 192.168.4.100 t 获取主机名 2、ne

2、tstat a 192.168.4.100 获取所在域以及其他信息 3、net view 192.168.4.100 获取共享资源 4、nbtstata 192.168.4.100 获取所在域以及其他信息 四、使用X-SCAN 扫描局域网内主机192.168.4.100。 图 1-1 X-SCAN 主界面 1、设置扫描地址范围。图 1-2 X-SCAN 扫描范围设置 2、在扫描模块中设置要扫描的项目。 图 1-3 X-SCAN 扫描模块设置 3、设置并发扫描参数。图 1-4 X-SCAN 扫描参数设置 4、在扫描中跳过没有响应的主机。图 1-5 X-SCAN 其他参数设置 5、设置要检测的端口

3、及检测方式。 图 1-6 X-SCAN 检测方式设置 6、开设扫描，查看扫描报告。 【实验报告】 1、写出实验内容一中要求所获取的信息。 2、画出从本地主机到达 的结构信息。实验二 IPC$入侵的防护 【实验目的】 掌握 IPC$连接的防护手段 了解利用 IPC$连接进行远程文件操作的方法。 了解利用 IPC$连接入侵主机的方法。 【实验步骤】 一、IPC$连接的建立与断开。 通过 IPC$连接远程目标主机的条件是已获得目标主机管理员帐号和密码。 1、单击“开始”“运行”，在“运行”对话框中输入“cmd”。 图 2-1 运行 CMD 2、建立 IPC$连接，键入命令 net use192.1

4、68.21.21ipc$ “qqqqqq” /user: “administrator”。 图 2-2 建立 IPC$连接 3、映射网络驱动器，使用命令：net use z:192.168.21.21c$。 4、映射成功后，打开“我的电脑” ，会发现多了一个Z盘，该磁盘即为目标主机的 C盘。图 2-3 资源管理器 5、查找指定文件，用鼠标右键单击 Z盘，选择“搜索” ，查找关键字“账目” ，结果如图所 示。将该文件夹复制、粘贴到本地磁盘，其操作就像对本地磁盘进行操作一样。 6、断开连接，键入”net use */del”命令断开所有的 IPC$连接。 图 2-4 断开 IPC 连接 7、通过命

5、令 net use目标 IPipc$del 可以删除指定目标 IP 的 IPC$连接。 二、建立后门账号 1、编写 BAT 文件。打开记事本，键入“net user sysback /add”和“net localgroup administrators sysback/add”命令，编写完后，另存为“hack.bat”。如图所示。 图 2-5 hack.bat 编辑2、与目标主机建立 IPC$连接。 3、 复制文件到目标主机。 打开 MSDOS， 键入“copy hack.bat 192.168.21.21d$”命令。 COPY 命令执行成功后，就已经把 E盘下的 hack.bat 文件拷贝

6、到 192.168.21.21 的D 盘内。 图 2-6 hack.bat 复制 4、通过计划任务使远程主机执行 hack.bat 文件，键入”net time 192.168.21.21”命令，查看目标系统时间。 图 2-7 hack.bat 远处执行 5、如果目标系统的时间为 23：22，则可键入“at 192.168.21.21 23:30 d:hack.bat”命令， 计划任务添加完毕后，使用命令“net use */del”断开 IPC$连接。 6、验证帐号是否成功建立。等一段时间后，估计远程主机已经执行了 hack.bat 文件。通过 建立 IPC$连接来验证是否成功建立“sysb

7、ack”帐号。若连接成功，说明管理员帐号“sysback” 已经成功建立连接。 三、安全解决方案 1、在 PC（地址为 192.168.21.21）删除默认共享，通过“net share”了解共享资源。 图 2-8 共享资源 2、建立 BAT文件，文件名为 noshare.bat，内容如下： “net share ipc$ /del net share c$ /del net share d$/del”3、将其复制到本机“开始”“程序”“启动”中。 4、禁止空连接，将该命令“net stop server /y”加入 noshare.bat 文件中，或通过打开“控制 面板”“管理工具”“服务”

8、 ，在列表中找到 Server，使用鼠标右击该服务，在弹 出菜单中选择属性，选择“禁用” 。 图 2-9 关闭 Server 服务 【实验报告】 1、与远程主机建立 IPC$需要满足什么条件？ 2、建立了 IPC$连接能够做哪些工作？实验三 留后门与清脚印的防范 【实验目的】 了解帐号后门以及防范手段 掌握手工克隆帐号原理 掌握日志清除的防范方法 【实验需求】 计算机两台，要求安装 Windows 2000 操作系统 交换机一台、直连线两根 权限提升工具 PSU.exe 【实验步骤】 一、设置隐藏帐号 1、试运行权限提升工具 PSU.exe 测试结果如图。 图 3-1 PSU使用说明 2、进入

9、任务管理器，查看 SYSTEM 的 PID 号 如图 PID 为 8。图 3-2 任务管理器 3、使用 PSU工具把它加载到注册表中。 图 3-3 PSU 工具把它加载到注册表 4、在注册表中找到存放系统帐号名称以及配置信息的注册项。图 3-4 注册表 5、找到 Administrator 查看他的类型如图.它的类型为 0x1f4 图 3-5 注册表 6、由于采用 16 进制换算过来就是 F4 这个项， 所以我们知道 F4 这个项存放的 就是系统管理员的权限及配置信息。 图 3-6 注册表 7、打开里面的 F 项把里面的 16 进制数据复制出来。图 3-7 注册表编辑 8、使用刚才的方法找到

10、GUEST用户打开相同的项把刚才复制的 16 进制数据粘贴进去。 图 3-8 注册表修改 9、为了隐蔽性我们把 GUEST 帐号禁用首先在命令行模式下键入”net user guest /active:no。 图 3-9 GUEST 帐号禁用 10、 下面我们来看下当前Guest 帐号的状态在命令行下输入 “net user Guest”。 由图 3-10 可以看出 Guest 用户只属于 Guest 组， 接下来打开计算机管理中的帐号中的帐号管理可以发 现 Guest 用户已经被禁用了。图 3-10 系统帐号查看 11、注销后用Guest 帐号登陆发现桌面配置与 Administrator

11、用户完全一样，下面我们用这 个帐号执行一个只有系统管理员才有权执行的操作，如果成功那表示这个帐号后门可用。 图 3-11 增加用户 二、清除日志： 1、首先制作一个 DOS下的批处理文件用于删除所有的日志，把它保存为.bat 文件。 图 3-11 增加用户 二、清除日志： 1、首先制作一个 DOS下的批处理文件用于删除所有的日志，把它保存为.bat 文件。 置它的运行时间。图 3-13 删除日志文件运行 4、通过检查被攻击主机的日志信息，可以发现内容为空。 三、安全解决方案 1、杜绝 Guest 帐户的入侵。可以禁用或彻底删除 Guest 帐户，但在某些必须使用到 Guest 帐户的情况下，就

12、需要通过其它途径来做好防御工作了。首先要给 Guest 设一个强壮的 密码，然后详细设置Guest 帐户对物理路径的访问权限（注意磁盘必须是NTFS 分区）。 例如禁止 Guest 帐户访问系统文件夹。可以右击“WINNT”文件夹，在弹出菜单中选择 “安全”标签，从中可看到可以访问此文件夹的所有用户。删除管理员之外的所有用户 即可. 图 3-14 禁止 Guest帐户访问系统文件夹 2、日志文件的保护。首先找出日志文件默认位置，以管理员身份登录进系统，并在该系统 的桌面中依次单击“开始”“运行”命令，在弹出的系统运行对话框中，输入字符串 命令“compmgmt.msc” ，单击“确定”按钮后打

13、开服务器系统的计算机管理窗口。图 3-15 计算机管理窗口 3、其次在该管理窗口的左侧显示窗格中，用鼠标逐一展开“系统工具”“事件查看器” 分支项目，在“事件查看器”分支项目下面我们会看到“系统” 、 “安全性”以及“应用 程序”这三个选项。要查看系统日志文件的默认存放位置时，我们可以直接用鼠标右键 单击“事件查看器”分支项目下面的“应用程序”选项，从随后弹出的快捷菜单中执行 “属性”命令。在该窗口的常规标签页面中，我们可以看到本地日志文件的默认存放位 置为“C:WINDOWSsystem32configAppEvent.Evt” 。 图 3-16 属性设置窗口 4、做好日志文件挪移准备，为了

14、让服务器的日志文件不被外人随意访问，我们必须让日志 文件挪移到一个其他人根本无法找到的地方，例如可以到 E 分区的一个“E:aaa”目 录下面创建一个“bbb”目录 5、正式挪移日志文件，将对应的日志文件从原始位置直接拷贝到新目录位置 “E:aaabbb”下 6、修改系统注册表做好服务器系统与日志文件的关联，依次单击系统桌面中的“开始” “运行”命令，在弹出的系统运行对话框中，输入注册表编辑命令“regedit” ，单击回车键后，打开系统的注册表编辑窗口；用鼠标双击“HKEY_LOCAL_MACHINE”注册表子键， 在随后展开的注册表分支下面依次选择“SYSTEM” 、 “CurrentCo

15、ntrolSet” 、 “Services” 、 Eventlog”项目，在对应“Eventlog”项目下面我们会看到“System” 、 “Security” 、 “Application”这三个选项 图 3-17 注册表编辑窗口 7、在对应“System”注册表项目的右侧显示区域中，用鼠标双击“File”键值，打开如图 2 所示的数值设置对话框， 然后在“数值数据”文本框中，输入“E:aaabbb SysEvent.Evt”字符串内容，也就是输入系统日志文件新的路径信息，最后单击“确定” 按钮；同样地，我们可以将“Security” 、 “Application”下面的“File”键值依次修 改为“E:aaabbb SecEvent.Evt” 、 “E:aaabbb Ap