《【教学课件】第8讲网络后门与网络隐身.ppt》由会员分享,可在线阅读,更多相关《【教学课件】第8讲网络后门与网络隐身.ppt(64页珍藏版)》请在三一办公上搜索。
1、第8讲网络后门与网络隐身,主讲:谢昕,内容提要,一、建立网络后门为了保持对已经入侵的主机长久的控制,需要在主机上建立网络后门,以后可以直接通过后门入侵系统。二、网络隐身当入侵主机以后,通常入侵者的信息就被记录在主机的日志中,比如IP地址、入侵的时间以及做了哪些破坏活动等等。为了入侵的痕迹被发现,需要隐藏或者清除入侵的痕迹三、实现隐身的方法设置代理跳板清除系统日志,网络后门,网络后门是保持对目标主机长久控制的关键策略。可以通过建立服务端口和克隆管理员帐号来实现。留后门的艺术:1、只要能不通过正常登录进入系统的途径都称之为网络后门。后门的好坏取决于被管理员发现的概率。2、只要是不容易被发现的后门都
2、是好后门。3、让管理员看了感觉没有任何特别的。,例1 远程启动Telnet服务,利用主机的Telnet服务,有管理员密码就可以登录到对方的命令行,进而操作对方的文件系统。如果Telnet服务是关闭的,就不能登录了。Win2K Server的Telnet默认是关闭的,可运行命令开启本地Telnet服务。,命令窗口输入:tlntadmn.exe,第1步:开启本地Telnet服务,启动本地Telnet服务,远程开启对方的Telnet服务,cscript RTCS.vbe 172.18.25.109 administrator 123456 1 23其中:cscript是操作系统自带的命令RTCS.v
3、be是该工具软件脚本文件IP地址是要启动Telnet的主机地址administrator是用户名,123456是密码1是登录验证方式,23是Telnet开放的端口,第2步:开启对方Telnet服务,远程开启对方的Telnet服务,登录目标主机Telnet服务,输入:因为Telnet的用户名和密码是明文传递的,会出现确认发送信息对话框等待确认。,第3步:登录目标主机Telnet服务,登录Telnet的用户名和密码,输入“y”后再要求输入用户名和密码,将进入对方主机的命令行。,例2记录管理员口令修改过程,当入侵到对方主机并得到管理员口令以后,就可以对主机进行长久入侵了。但是一个好的管理员一般每隔半
4、个月左右就会修改一次密码,这样已经得到的密码就不起作用了。可用软件Win2kPass.exe记录修改的新密码。它会将密码记录在Winnttemp目录下的Config.ini文件中,有时候文件名可能不是Config,但是扩展名一定是ini,该工具软件是有“自杀”的功能,就是当执行完毕后,自动删除自己。,记录管理员口令修改过程,首先在对方系统中执行Win2KPass,当对方主机管理员密码修改并重启计算机以后,就在Winnttemp目录下产生一个ini文件。通过获取该文件可获取新的密码。,例3 建立Web服务和Telnet服务,原理:使用wnc.exe可以在对方的主机上开启两个服务:Web服务(端口
5、是808)Telnet服务(端口是707)方法:只要在对方的命令行下执行一下wnc.exe即可成果:用netstat an查看开启的端口,测试Web服务,首先测试Web服务808端口,在浏览器地址栏中输入http:/172.18.25.109:808若出现主机的盘符列表,成功!,看密码修改记录文件,可以下载对方硬盘或光盘上的任意文件(对于汉字文件名的文件下载有问题)可到Winnt/temp下查看对方密码修改记录文件。,利用telnet命令连接707端口,telnet 172.18.25.109 707登录到对方主机注意:不需要任何的用户名和密码,就可以登录对方主机的命令行!呵呵,厉害!,将其设
6、为自启动程序,通过707端口也可以方便的获得对方的管理员权限。wnc功能强大,但是不能自动执行,需要将它加到自启动程序列表中。一般将wnc.exe文件放到对方的winnt目录或者winnt/system32目录下(由于它们都是系统环境目录,执行其中的文件不需要给出具体的路径)将wnc.exe和reg.exe拷贝对方的winnt目录下。,将wnc加到自启动列表,执行:reg.exe add HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun/v service/d wnc.exe,例4 让禁用的Guest具有管理权限,操作系统所有的用户信息都保存在注册表中
7、,但是如果直接使用“regedit”命令打开注册表,该键值是隐藏的。但可用psu.exe得到该键值的查看和编辑权将它拷贝对方主机的C盘下,并在任务管理器查看对方主机winlogon.exe进程的ID号或者使用pulist.exe文件查看该进程的ID号。psu-p regedit-i pid(此处pid为192)在执行该命令的时候必须将注册表关闭,执行完命令以后,自动打开了注册表编辑器,查看SAM下的键值。,查看winlogon.exe的进程号,192,查看SAM键值,在Win2K server中:Administrator为0 x1f4guest一般为0 x1f5,拷贝管理员配置信息,根据“0
8、 x1f4”和“0 x1f5”找到Administrator和guest帐户的配置信息。双击“000001F4”目录下键值“F”,可以看到该键值的二进制信息,将这些二进制信息全选,并拷贝到出来。将拷贝出来的信息全部覆盖到“000001F5”目录下的“F”键值中,保存键值,Guest帐户已经具有管理员权限了。为使它能在禁用状态登录,下一步将Guest帐户信息导出注册表。选择User目录,选择菜单栏“注册表”下“导出注册表文件”,将该键值保存为一个配置文件。,删除Guest帐户信息,打开“计算机管理”对话框,删除Guest帐户打开注册表,删除“00001F5”两个目录。刷新对方主机的用户列表,出现
9、用户找不到的对话框,修改Guest帐户的属性,然后再将刚才导出的信息文件,再导入注册表。再刷新用户列表就不会出错了。在对方主机的命令行下修改Guest的用户属性。首先修改Guest帐户的密码,并将Guest帐户开启和停止.,c:net user guest 123456c:net user guest/active:yesc:net user guest/active:no,利用禁用的guest帐户登录,查看Guest帐户,发现该帐户使禁用的,但却能登录注销退出系统,然后用用户名:“guest”,密码:“123456”登录系统,一定成功!,连接终端服务的软件,终端服务是Windows系统自带的
10、,可以远程通过图形界面操纵服务器。默认情况下终端服务的端口是3389。可以在系统服务中查看终端服务是否启动。netstat an来查看该端口是否开放,连接到终端服务,管理员为了远程操作方便,该服务一般都是开启的。黑客同样可以远程图形化界面来操作该主机!目前有三种常用方法连接到对方主机:使用Win2K的远程桌面连接工具。使用WinXP的远程桌面连接工具。使用基于浏览器方式的连接工具。,例5 三种方法连接到终端服务,第一种:利用Win2K自带的终端服务工具:mstsc.exe。只需设置要连接主机的IP和连接桌面的分辨率就可以。,终端服务,如果目标主机的终端服务是启动的,可以直接登录到对方的桌面,在
11、登录框输入用户名和密码就可以在图形化界面种操纵对方主机了。,终端服务,第二种:使用Win XP自带的终端服务连接器:mstsc.exe。只要输入对方的IP就可以。,Web方式连接,第三种:使用Web方式连接。该工具包含几个文件,需要将这些文件配置到IIS的站点中去。,配置Web站点,将这些文件拷贝到本地IIS默认Web站点的根目录,在浏览器中连接终端服务,在浏览器中输入:http:/localhost输入对方的IP并选择连接窗口的分辨率,可登录,例6 安装并启动终端服务,假设对方不仅没有开启终端服务,而且没有安装终端服务所需要的软件。使用工具软件djxyxs.exe,可以给对方安装并开启该服务
12、。在该工具软件中已经包含了安装终端服务所需要的所有文件。,将该文件上传并拷贝到对方服务器的Winnttemp目录下(必须放置在该目录下,否则安装不成功!)。,执行djxyxs.exe,会自动进行解压将文件全部放置到当前的目录下;在当前目录下执行解压出来的程序azzd.exe,将自动在对方服务器上安装并启动终端服务。完成后服务器会重启,之后可用终端服务连接软件登录到对方服务器了。,例6 安装并启动终端服务,木马,木马是一种可以驻留在对方系统中的一种程序。木马一般由两部分组成:服务器端和客户端。驻留在对方服务器的称之为木马的服务器端,远程的可以连到木马服务器的程序称之为客户端。木马的功能是通过客户
13、端可以操纵服务器,进而操纵对方的主机。,木马程序在表面上看上去没有任何的损害,实际上隐藏着可以控制用户整个计算机系统、打开后门等危害系统安全的功能。,常见木马的使用,常见的简单木马有:1、NetBus远程控制2、冰河3、PCAnyWhere远程控制,“冰河”包含两个程序文件:服务器端(win32.exe)客户端(Y_Client.exe),例7 使用“冰河”进行远程控制,将win32.exe在远程计算机上执行以后,通过Y_Client.exe文件来控制远程得服务器。,选择配置菜单,将服务器程序种到对方主机之前需对服务器程序做一些设置:比如连接端口,连接密码等。选择菜单栏“设置”下的菜单项“配置
14、服务器程序”。,设置“冰河”服务器配置,查看注册表,点击按钮“确定”以后,就将“冰河”的服务器种到某一台主机上了。执行完win32.exe文件以后,系统没有任何反应,其实已经更改了注册表,并将服务器端程序和文本文件进行了关联,当用户双击一个扩展名为txt的文件的时候,就会自动执行冰河服务器端程序。,没有中冰河时,该注册表项应该是使用notepad.exe文件来打开txt文件,中冰河后是用SYSEXPLR.EXE来打开txt文件,其实它就是“冰河”的服务器端程序!,使用冰河客户端添加主机,目标主机中了冰河了,可以利用客户端程序来连接服务器端程序。在客户端添加主机的IP及密码。,查看对方的目录列表
15、,查看并控制远程屏幕的菜单,可以在对方计算机上进行任意的操作,除此以外还可以查看并控制对方的屏幕等等。,网络代理跳板,当从本地入侵其他主机的时候,自己的IP会暴露给对方。通过将某一台主机设置为代理,通过该主机再入侵其他主机,这样就会留下代理的IP地址,这样就可以有效的保护自己的安全。二级代理的基本结构图。,本地通过两级代理入侵某一台主机,这样在被入侵的主机上,就不会留下的自己的信息。可以选择更多的代理级别,但考虑到网络带宽的问题,一般选择两到三级较合适。选择代理服务的原则是选择不同地区的主机作为代理。可以选择做代理的主机有一个先决条件,必须先安装相关的代理软件,一般都是将已经被入侵的主机作为代
16、理服务器。,网络代理跳板,网络代理跳板工具的使用,Snake是比较常用而且功能比较强大的代理工具。Snake的代理跳板,支持TCP/UDP代理,支持多个(最多达到255)跳板。程序文件为:SkSockServer.exe,代理方式为Sock5,并自动打开默认端口1813监听。,使用Snake代理跳板,使用Snake代理跳板需要首先在每一级跳板主机上安装Snake代理服务器。程序文件是SkSockServer.exe,将该文件拷贝到目标主机上。一般首先将本地计算机设置为一级代理,将文件拷贝到C盘根目录下,然后将代理服务安装到主机上。,Sksockserver的配置,1:sksockserver
17、install将代理服务安装在主机中2:sksockserver-config port 1122将代理服务的端口设置为1122(也可为其他数值)3:sksockserver-config starttype 2 将该服务的启动方式设置为自动启动4:net start skserver 启动代理服务 后用“netstat-an”查看1122端口是否开放,代理级别配置工具,本地设置完毕以后,在网络上其他的主机上设置二级代理(如在的主机上,类同)使用本地代理配置工具:SkServerGUI.exe“配置”-“经过的SKServer”,设置代理的顺序,第一级代理是本地的1122端口,IP地址是,第二
18、级代理是,端口是1122端口,注意将复选框“允许”选中。,设置经过的代理服务器,设置可以访问代理的客户端,之后在命令下“启动”该代理跳板,安装程序和汉化补丁,该程序启动以后监听的端口是“1913”。下面需要安装代理的客户端程序,该程序包含两个程序,一个是安装程序,一个汉化补丁(如果不安装补丁程序将不能使用)。,设置Socks代理,安装sc32r231+SC32231-Ronnier后进行配置。,设置需要代理的应用程序,添加需要代理的应用程序,点击工具栏图标“新建”,比如现在添加Internet Explore添加进来。,运行,IE中连接,查看使用代理的情况,在IE的连接过程中,查看代理跳板的对
19、话框,可以看到连接的信息。这些信息在一次连接会话完毕后会自动消失,必须在连接的过程中查看,清除日志,清除日志是黑客入侵的最后的一步,黑客能做到来无踪去无影,这一步起到决定性的作用。,清除IIS日志,清除主机日志,清除IIS日志,当用户访问某个IIS服务器以后,无论是正常的访问还是非正常的访问,IIS都会记录访问者的IP地址以及访问时间等信息。这些信息记录在WinntSystem32logFiles目录下。,IIS日志的格式,IIS日志记录了用户访问的服务器文件、用户登录时间、用户的IP、用户浏览器、操作系统的版本号。,清除IIS日志,最简单的方法是直接到该目录下删除这些文件夹,但是全部删除文件
20、以后,一定会引起管理员的怀疑。一般入侵的过程是短暂的,只会保存到一个Log文件,只要在该文件删除所有自己的记录就可以。可用CleanIISLog.exe来实现。先将文件拷贝到日志文件所在目录,并执行:CleanIISLog ex061003,清除主机日志,主机日志包括三类的日志:应用程序日志、安全日志和系统日志。“事件查看器”查看日志信息。,清除主机日志,可用clearel.exe方便地清除系统日志。将文件上传到对方主机,然后删除这三种日志。命令格式为:Clearel System Clearel SecurityClearel ApplicationClearel All分别删除系统日志、安
21、全日志、应用程序日志和删除全部日志。,本章习题,留后门的原则是什么?如何留后门程序?列举三种后门程序,并阐述原理以及如何防御。简述终端服务的功能,如何连接到终端服务器上?如何开启对方的终端服务?简述木马由来,并简述木马和后门的区别。简述网络代理跳板的功能。系统日志有哪些?如何清楚这些日志?,本章习题(上机完成),利用三种方法在对方电脑种植后门程序。在对方电脑上种植冰河程序,并设置冰河的服务端口是8999,连接的密码是0987654321。使用二级网络跳板对某主机进行入侵。编程实现当客户端连接某端口的时候,自动在目标主机上建立一个用户“Hacker”,密码为“fool”,并将该用户添加到管理员组。,
