【教学课件】第8讲网络后门与网络隐身.ppt

第第第第8 8 8 8讲网络后门与网络隐身讲网络后门与网络隐身讲网络后门与网络隐身讲网络后门与网络隐身主讲：谢昕主讲：谢昕主讲：谢昕主讲：谢昕内容提要内容提要一、建立网络后门一、建立网络后门为了保持对已经入侵的主机长久的控制，需要在主机上建立网络后门，以后可以直接通过后门入侵系统。二、网络隐身二、网络隐身当入侵主机以后，通常入侵者的信息就被记录在主机的日志中，比如IP地址、入侵的时间以及做了哪些破坏活动等等。为了入侵的痕迹被发现，需要隐藏或者清除入侵的痕迹三、实现隐身的方法三、实现隐身的方法设置代理跳板清除系统日志网络后门网络后门 网络后门网络后门网络后门网络后门是保持对目标主机长久控制的关键策略。可以通过建立服务端口建立服务端口和克隆管理员帐号克隆管理员帐号来实现。留后门的艺术：留后门的艺术：1、只要能不通过正常登录进入系统的途径都称之为网络后门。后门的好坏取决于被管理员发现的概率。2、只要是不容易被发现的后门都是好后门。3、让管理员看了感觉没有任何特别的。例例1 远程启动远程启动Telnet服务服务l利用主机的Telnet服务，有管理员密码就可以登录到对方的命令行，进而操作对方的文件系统。如果Telnet服务是关闭的，就不能登录了。Win2K Server的Telnet默认是关闭的，可运行命令开启本地Telnet服务。命令窗口输入：命令窗口输入：tlntadmn.exe第1步：开启本地Telnet服务启动本地启动本地Telnet服务服务远程开启对方的远程开启对方的Telnet服务服务cscript RTCS.vbe 172.18.25.109 administrator 123456 1 23其中：cscript是操作系统自带的命令lRTCS.vbe是该工具软件脚本文件lIP地址是要启动Telnet的主机地址ladministrator是用户名，123456是密码l1是登录验证方式，23是Telnet开放的端口第2步：开启对方Telnet服务远程开启对方的远程开启对方的Telnet服务服务登录目标主机登录目标主机Telnet服务服务输入：因为Telnet的用户名和密码是明文传递的，会出现确认发送信息对话框等待确认。第3步：登录目标主机Telnet服务登录登录Telnet的用户名和密码的用户名和密码 l输入“y”后再要求输入用户名和密码，将进入对方主机的命令行。例例2记录管理员口令修改过程记录管理员口令修改过程当入侵到对方主机并得到管理员口令以后，就可以对主机进行长久入侵了。但是一个好的管理员一般每隔半个月左右就会修改一次密码，这样已经得到的密码就不起作用了。可用软件Win2kPass.exe记录修改的新密码。它会将密码记录在Winnttemp目录下的Config.ini文件中，有时候文件名可能不是Config，但是扩展名一定是ini，该工具软件是有“自杀”的功能，就是当执行完毕后，自动删除自己。记录管理员口令修改过程记录管理员口令修改过程l首先在对方系统中执行Win2KPass，当对方主机管理 员 密 码 修 改 并 重 启 计 算 机 以 后，就 在Winnttemp目录下产生一个ini文件。通过获取该文件可获取新的密码。例例例例3 3 建立建立建立建立WebWeb服务和服务和服务和服务和TelnetTelnet服务服务服务服务 原理：原理：原理：原理：使用wnc.exe可以在对方的主机上开启两个服务：Web服务（端口是808）Telnet服务（端口是707）方法：方法：方法：方法：只要在对方的命令行下执行一下wnc.exe即可成果：成果：成果：成果：用netstat an查看开启的端口测试测试Web服务服务 首先测试Web服务808端口，在浏览器地址栏中输入http:/172.18.25.109:808http:/172.18.25.109:808若出现主机的盘符列表，成功！看密码修改记录文件看密码修改记录文件 l可以下载对方硬盘或光盘上的任意文件（对于汉字文件名的文件下载有问题）l可到Winnt/temp下查看对方密码修改记录文件。利用利用telnet命令连接命令连接707端口端口 ltelnet 172.18.25.109 707登录到对方主机l注意：不需要任何的用户名和密码，就可以登录对方主机的命令行！呵呵，厉害！呵呵，厉害！将其设为自启动程序将其设为自启动程序1.通过707端口也可以方便的获得对方的管理员权限。2.wnc功能强大，但是不能自动执行，需要将它加到自启动程序列表中。3.一 般 将 wnc.exe文 件 放 到 对 方 的 winnt目 录 或 者winnt/system32目录下（由于它们都是系统环境目录，执行其中的文件不需要给出具体的路径）4.将wnc.exe和reg.exe拷贝对方的winnt目录下。将将wnc加到自启动列表加到自启动列表 执行：reg.exe add HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun/v service/d wnc.exe例例例例4 4 让禁用的让禁用的让禁用的让禁用的GuestGuest具有管理权限具有管理权限具有管理权限具有管理权限 操作系统所有的用户信息都保存在注册表中，但是如果直接使用“regedit”命令打开注册表，该键值是隐藏的。但可用psu.exe得到该键值的查看和编辑权将它拷贝对方主机的C盘下，并在任务管理器查看对方主机winlogon.exe进程的ID号或者使用pulist.exe文件查看该进程的ID号。psu-p regedit-i pid（此处pid为192）在执行该命令的时候必须将注册表关闭，执行完命令以后，自动打开了注册表编辑器，查看SAM下的键值。查看查看查看查看winlogon.exewinlogon.exe的进程号的进程号的进程号的进程号 192查看查看查看查看SAMSAM键值键值键值键值 在Win2K server中：Administrator为0 x1f4guest一般为0 x1f5拷贝管理员配置信息拷贝管理员配置信息拷贝管理员配置信息拷贝管理员配置信息 l根据“0 x1f4”和“0 x1f5”找到Administrator和guest帐户的配置信息。l双击“000001F4”目录下键值“F”，可以看到该键值的二进制信息，将这些二进制信息全选，并拷贝到出来。l将拷贝出来的信息全部覆盖到“000001F5”目录下的“F”键值中保存键值保存键值保存键值保存键值 lGuest帐户已经具有管理员权限了。为使它能在禁用状态登录，下一步将Guest帐户信息导出注册表。l选择User目录，选择菜单栏“注册表”下“导出注册表文件”，将该键值保存为一个配置文件。删除删除删除删除GuestGuest帐户信息帐户信息帐户信息帐户信息 l打开“计算机管理”对话框，删除Guest帐户l打开注册表，删除“00001F5”两个目录。l刷新对方主机的用户列表，出现用户找不到的对话框修改修改修改修改GuestGuest帐户的属性帐户的属性帐户的属性帐户的属性 l然后再将刚才导出的信息文件，再导入注册表。再刷新用户列表就不会出错了。l在对方主机的命令行下命令行下修改Guest的用户属性。l首先修改Guest帐户的密码，并将Guest帐户开启和停止.c:net user guest 123456c:net user guest/active:yesc:net user guest/active:no利用禁用的利用禁用的利用禁用的利用禁用的guestguest帐户登录帐户登录帐户登录帐户登录 l查看Guest帐户，发现该帐户使禁用的，但却能登录l注销退出系统，然后用用户名：“guest”，密码：“123456”登录系统，一定成功！连接终端服务的软件连接终端服务的软件 l终端服务是Windows系统自带的，可以远程通过图形界面操纵服务器。默认情况下终端服务的端口是3389。可以在系统服务中查看终端服务是否启动。lnetstat an来查看该端口是否开放连接到终端服务连接到终端服务 l管理员为了远程操作方便，该服务一般都是开启的。黑客同样可以远程图形化界面来操作该主机！l目前有三种常用方法连接到对方主机：使用Win2K的远程桌面连接工具。使用WinXP的远程桌面连接工具。使用基于浏览器方式的连接工具。例例5 5 三种方法连接到终端服务三种方法连接到终端服务 l第 一 种：利 用 Win2K自 带 的 终 端 服 务 工 具：mstsc.exe。只需设置要连接主机的IP和连接桌面的分辨率就可以。终端服务终端服务如果目标主机的终端服务是启动的，可以直接登录到对方的桌面，在登录框输入用户名和密码就可以在图形化界面种操纵对方主机了。终端服务终端服务l第二种：使用Win XP自带的终端服务连接器：mstsc.exe。只要输入对方的IP就可以。Web方式连接方式连接l第三种：使用Web方式连接。该工具包含几个文件，需要将这些文件配置到IIS的站点中去。配置配置Web站点站点 l将这些文件拷贝到本地本地IISIIS默认Web站点的根目录在浏览器中连接终端服务在浏览器中连接终端服务 l在浏览器中输入：http:/localhostl输入对方的IP并选择连接窗口的分辨率，可登录例例6 安装并启动终端服务安装并启动终端服务l假设对方不仅没有开启终端服务，而且没有安装终端服务所需要的软件。l使用工具软件djxyxs.exe，可以给对方安装并开启该服务。在该工具软件中已经包含了安装终端服务所需要的所有文件。l将该文件上传并拷贝到对方服务器的Winnttemp目录下（必须放置在该目录下，否则安装不成功！）。1.执行djxyxs.exe，会自动进行解压将文件全部放置到当前的目录下；2.在当前目录下执行解压出来的程序azzd.exe，将自动在对方服务器上安装并启动终端服务。3.完成后服务器会重启，之后可用终端服务连接软件登录到对方服务器了。例例6 安装并启动终端服务安装并启动终端服务木马木马l木马是一种可以驻留在对方系统中的一种程序。l木马一般由两部分组成：服务器端和客户端。l驻留在对方服务器的称之为木马的服务器端，远程的可以连到木马服务器的程序称之为客户端。l木马的功能是通过客户端可以操纵服务器，进而操纵对方的主机。l木马程序在表面上看上去没有任何的损害，实际上隐藏着可以控制用户整个计算机系统、打开后门等危害系统安全的功能。常见木马的使用常见木马的使用l常见的简单木马有：1、NetBus远程控制2、冰河3、PCAnyWhere远程控制“冰河”包含两个程序文件：服务器端(win32.exe)客户端(Y_Client.exe)例例7 7 使用使用“冰河冰河”进行远程控制进行远程控制l将 win32.exe在 远 程 计 算 机 上 执 行 以 后，通 过Y_Client.exe文件来控制远程得服务器。选择配置菜单选择配置菜单 l将服务器程序种到对方主机之前需对服务器程序做一些设置：比如连接端口，连接密码等。选择菜单栏“设置”下的菜单项“配置服务器程序”。设置设置“冰河冰河”服务器配置服务器配置 查看注册表查看注册表 l点击按钮“确定”以后，就将“冰河”的服务器种到某一台主机上了。执行完win32.exe文件以后，系统没有任何反应，其实已经更改了注册表，并将服务器端程序和文本文件进行了关联，当用户双击一个扩展名为txt的文件的时候，就会自动执行冰河服务器端程序。l没有中冰河时，该注册表项应该是使用notepad.exe文件来打开txt文件，中冰河后是用SYSEXPLR.EXE来打开txt文件，其实它就是“冰河”的服务器端程序！使用冰河客户端添加主机使用冰河客户端添加主机 l目标主机中了冰河了，可以利用客户端程序来连接服务器端程序。在客户端添加主机的IP及密码。查看对方的目录列表查看对方的目录列表 查看并控制远程屏幕的菜单查看并控制远程屏幕的菜单 l可以在对方计算机上进行任意的操作，除此以外还可以查看并控制对方的屏幕等等。网络代理跳板网络代理跳板 l当从本地入侵其他主机的时候，自己的IP会暴露给对方。通过将某一台主机设置为代理，通过该主机再入侵其他主机，这样就会留下代理的IP地址，这样就可以有效的保护自己的安全。二级代理的基本结构图。l本地通过两级代理入侵某一台主机，这样在被入侵的主机上，就不会留下的自己的信息。可以选择更多的代理级别，但考虑到网络带宽的问题，一般选择两到三级较合适。l选择代理服务的原则是选择不同地区的主机作为代理。l可以选择做代理的主机有一个先决条件，必须先安装相关的代理软件，一般都是将已经被入侵的主机作为代理服务器。网络代理跳板网络代理跳板网络代理跳板网络代理跳板 网络代理跳板工具的使用网络代理跳板工具的使用 lSnake是比较常用而且功能比较强大的代理工具。lSnake的代理跳板，支持TCP/UDP代理，支持多个（最多达到255）跳板。l程序文件为：SkSockServer.exe，代理方式为Sock5，并自动打开默认端口1813监听。使用使用Snake代理跳板代理跳板 l使用Snake代理跳板需要首先在每一级跳板主机上安 装 Snake代 理 服 务 器。程 序 文 件 是SkSockServer.exe，将该文件拷贝到目标主机上。l一般首先将本地计算机设置为一级代理，将文件拷贝到C盘根目录下，然后将代理服务安装到主机上。Sksockserver的配置的配置1 1：sksockserver install将代理服务安装在主机中2 2：sksockserver-config port 1122将代理服务的端口设置为1122（也可为其他数值）3 3：sksockserver-config starttype 2 将该服务的启动方式设置为自动启动4 4：net start skserver 启动代理服务 后用“netstat-an”查看1122端口是否开放代理级别配置工具代理级别配置工具 l本地设置完毕以后，在网络上其他的主机上设置二级代理（如在的主机上，类同）l使用本地代理配置工具：SkServerGUI.exel“配置”-“经过的SKServer”，设置代理的顺序，第一级代理是本地的1122端口，IP地址是，第二级代理是，端口是1122端口，注意将复选框“允许”选中。设置经过的代理服务器设置经过的代理服务器 设置可以访问代理的客户端设置可以访问代理的客户端 之后在命令下“启动”该代理跳板安装程序和汉化补丁安装程序和汉化补丁 l该程序启动以后监听的端口是“1913”。下面需要安装代理的客户端程序，该程序包含两个程序，一个是安装程序，一个汉化补丁（如果不安装补丁程序将不能使用）。设置设置Socks代理代理 l安装sc32r231+SC32231-Ronnier后进行配置。设置需要代理的应用程序设置需要代理的应用程序 l添加需要代理的应用程序，点击工具栏图标“新建”，比如现在添加Internet Explore添加进来。运行IEIE中连接中连接查看使用代理的情况查看使用代理的情况 l在IE的连接过程中，查看代理跳板的对话框，可以看到连接的信息。这些信息在一次连接会话完毕后会自动消失，必须在连接的过程中查看清除日志清除日志 l清除日志是黑客入侵的最后的一步，黑客能做到来无踪去无影，这一步起到决定性的作用。清除清除IIS日志日志清除主机日志清除主机日志清除清除IIS日志日志l当用户访问某个IIS服务器以后，无论是正常的访问还是非正常的访问，IIS都会记录访问者的IP地址以及 访 问 时 间 等 信 息。这 些 信 息 记 录 在WinntSystem32logFiles目录下。IIS日志的格式日志的格式 lIIS日志记录了用户访问的服务器文件、用户登录时间、用户的IP、用户浏览器、操作系统的版本号。清除清除IIS日志日志 l最简单的方法是直接到该目录下删除这些文件夹，但是全部删除文件以后，一定会引起管理员的怀疑。l一般入侵的过程是短暂的，只会保存到一个Log文件，只要在该文件删除所有自己的记录就可以。l可用CleanIISLog.exe来实现。先将文件拷贝到日志文件所在目录，并执行：lCleanIISLog ex06100303清除主机日志清除主机日志 l主机日志包括三类的日志：应用程序日志、安全日志和系统日志。“事件查看器”查看日志信息。清除主机日志清除主机日志清除主机日志清除主机日志 l可用clearel.exe方便地清除系统日志。将文件上传到对方主机，然后删除这三种日志。命令格式为：lClearel System lClearel SecuritylClearel ApplicationlClearel All分别删除系统日志、安全日志、应用程序日志和删除全部日志。本章习题本章习题1.留后门的原则是什么？如何留后门程序？列举三种后门程序，并阐述原理以及如何防御。2.简述终端服务的功能，如何连接到终端服务器上？如何开启对方的终端服务？3.简述木马由来，并简述木马和后门的区别。4.简述网络代理跳板的功能。5.系统日志有哪些？如何清楚这些日志？本章习题本章习题（上机完成）（上机完成）1.利用三种方法在对方电脑种植后门程序。在对方电脑上种植冰河程序，并设置冰河的服务端口是8999，连接的密码是0987654321。2.使用二级网络跳板对某主机进行入侵。3.编程实现当客户端连接某端口的时候，自动在目标主 机 上 建 立 一 个 用 户“Hacker”，密 码 为“fool”，并将该用户添加到管理员组。