计算机网络安全课件.ppt
《计算机网络安全课件.ppt》由会员分享,可在线阅读,更多相关《计算机网络安全课件.ppt(88页珍藏版)》请在淘文阁 - 分享文档赚钱的网站上搜索。
1、第六章 网络后门与网络隐身 内容提要n为了保持对已经入侵的主机长久的控制,需要在主机为了保持对已经入侵的主机长久的控制,需要在主机上建立网络后门,以后可以直接通过后门入侵系统。上建立网络后门,以后可以直接通过后门入侵系统。n当入侵主机以后,通常入侵者的信息就被记录在主机当入侵主机以后,通常入侵者的信息就被记录在主机的日志中,比如的日志中,比如IP地址、入侵的时间以及做了哪些破地址、入侵的时间以及做了哪些破坏活动等等坏活动等等n为了入侵的痕迹被发现,需要隐藏或者清除入侵的痕为了入侵的痕迹被发现,需要隐藏或者清除入侵的痕迹迹n实现隐身有两种方法:实现隐身有两种方法:n设置代理跳板设置代理跳板n清除
2、系统日志。清除系统日志。网络后门 n网络后门是保持对目标主机长久控制的关键策略。可以通过建立服务端口和克隆管理员帐号来实现。n留后门的艺术 n只要能不通过正常登录进入系统的途径都称之为网络后门。后门的好坏取决于被管理员发现的概率。只要是不容易被发现的后门都是好后门。留后门的原理和选间谍是一样的,让管理员看了感觉没有任何特别的。案例6-1 远程启动Telnet服务n利用主机上的Telnet服务,有管理员密码就可以登录到对方的命令行,进而操作对方的文件系统。如果Telnet服务是关闭的,就不能登录了。n默认情况下,Windows 2000 Server的Telnet是关闭的,可以在运行窗口中输入t
3、lntadmn.exe命令启动本地Telnet服务,如图6-1所示。启动本地Telnet服务n在启动的DOS窗口中输入4就可以启动本地Telnet服务了,如图6-2所示。远程开启对方的Telnet服务n利用工具RTCS.vbe可以远程开启对方的Telnet服务,使用该工具需要知道对方具有管理员权限的用户名和密码。n命令的语法是:“cscript RTCS.vbe 172.18.25.109 administrator 123456 1 23”,n其中cscript是操作系统自带的命令nRTCS.vbe是该工具软件脚本文件nIP地址是要启动Telnet的主机地址nadministrator是用户
4、名n123456是密码n1是登录系统的验证方式n23是Telnet开放的端口n该命令根据网络的速度,执行的时候需要一段时间,开启远程主机Telnet服务的过程如图6-3所示。远程开启对方的Telnet服务 确认对话框 n执行完成后,对方的Telnet服务就被开启了。在DOS提示符下,登录目标主机的Telnet服务,首先输入命令“Telnet 172.18.25.109”,因为Telnet的用户名和密码是明文传递的,首先出现确认发送信息对话框,如图6-4所示。登录Telnet的用户名和密码 n输入字符“y”,进入Telnet的登录界面,需要输入主机的用户名和密码,如图6-5所示。登录Telnet
5、服务器 n如果用户名和密码没有错误,将进入对方主机的命令行,如图6-6所示。记录管理员口令修改过程n当入侵到对方主机并得到管理员口令以后,就可以对主机进行长久入侵了,但是一个好的管理员一般每隔半个月左右就会修改一次密码,这样已经得到的密码就不起作用了。n利用工具软件Win2kPass.exe记录修改的新密码,该软件将密码记录在Winnttemp目录下的Config.ini文件中,有时候文件名可能不是Config,但是扩展名一定是ini,该工具软件是有“自杀”的功能,就是当执行完毕后,自动删除自己。记录管理员口令修改过程n首先在对方操作系统中执行Win2KPass.exe文件,当对方主机管理员密
6、码修改并重启计算机以后,就在Winnttemp目录下产生一个ini文件,如图6-7所示。案例6-3 建立Web服务和Telnet服务 n使用工具软件wnc.exe可以在对方的主机上开启两个服务:Web服务和Telnet服务。其中Web服务的端口是808,Telnet服务的端口是707。执行很简单,只要在对方的命令行下执行一下wnc.exe就可以,如图6-9所示。建立Web服务和Telnet服务n执行完毕后,利用命令“netstat-an”来查看开启的808和707端口,如图6-10所示。测试Web服务 n说明服务端口开启成功,可以连接该目标主机提供的这两个服务了。首先测试Web服务808端口,
7、在浏览器地址栏中输入“http:/172.18.25.109:808”,出现主机的盘符列表,如图6-11所示。看密码修改记录文件 n可以下载对方硬盘设置光盘上的任意文件(对于汉字文件名的文件下载有问题),可以到Winnt/temp目录下查看对方密码修改记录文件,如图6-12所示。利用telnet命令连接707端口 n可以利用“telnet 172.18.25.109 707”命令登录到对方的命令行,执行的方法如图6-13所示。登录到对方的命令行 n不用任何的用户名和密码就可以登录对对方主机的命令行,如图6-14所示。自启动程序n通过707端口也可以方便的获得对方的管理员权限。nwnc.exe的
8、功能强大,但是该程序不能自动加载执行,需要将该文件加到自启动程序列表中。n一般将wnc.exe文件放到对方的winnt目录或者winnt/system32目下,这两个目录是系统环境目录,执行这两个目录下的文件不需要给出具体的路径。将wnc.exe加到自启动列表 n首先将wnc.exe和reg.exe文件拷贝对方的winnt目录下,利用reg.exe文件将wnc.exe加载到注册表的自启动项目中,命令的格式为:n“reg.exe add HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun/v service/d wnc.exe”执行过程如图6-15所示。修
9、改后的注册表 n如果可以进入对方主机的图形界面,可以查看一下对方的注册表的自启动项,已经被修改,如图6-16所示。案例6-4 让禁用的Guest具有管理权限 n操作系统所有的用户信息都保存在注册表中,但是如果直接使用“regedit”命令打开注册表,该键值是隐藏的,如图6-17所示。查看winlogon.exe的进程号 n可以利用工具软件psu.exe得到该键值的查看和编辑权。将psu.exe拷贝对方主机的C盘下,并在任务管理器查看对方主机winlogon.exe进程的ID号或者使用pulist.exe文件查看该进程的ID号,如图6-18所示。执行命令 n该进程号为192,下面执行命令“psu
10、-p regedit-i pid”其中pid为Winlogon.exe的进程号,如图6-19所示。查看SAM键值 n在执行该命令的时候必须将注册表关闭,执行完命令以后,自动打开了注册表编辑器,查看SAM下的键值,如图6-20所示。查看帐户对应的键值 n查看Administrator和guest默认的键值,在Windows 2000操作系统上,Administrator一般为0 x1f4,guest一般为0 x1f5,如图6-21所示。帐户配置信息 n根据“0 x1f4”和“0 x1f5”找到Administrator和guest帐户的配置信息,如图6-22所示。拷贝管理员配置信息 n在图6-2
11、2右边栏目中的F键值中保存了帐户的密码信息,双击“000001F4”目录下键值“F”,可以看到该键值的二进制信息,将这些二进制信息全选,并拷贝到出来,如图6-23所示。覆盖Guest用户的配置信息 n将拷贝出来的信息全部覆盖到“000001F5”目录下的“F”键值中,如图6-24所示。保存键值 nGuest帐户已经具有管理员权限了。为了能够使帐户已经具有管理员权限了。为了能够使Guest帐户在禁帐户在禁用的状态登录,下一步将用的状态登录,下一步将Guest帐户信息导出注册表。选择帐户信息导出注册表。选择User目录,然后选择菜单栏目录,然后选择菜单栏“注册表注册表”下的菜单项下的菜单项“导出注
12、册表文件导出注册表文件”,将该键值保存为一个配置文件,如图,将该键值保存为一个配置文件,如图6-25所示。所示。删除Guest帐户信息 n打开计算机管理对话框,并分别删除Guest和“00001F5”两个目录,如图6-26所示。刷新用户列表 n这个刷新对方主机的用户列表,会出现用户找不到的对话框,如图6-27所示。修改Guest帐户的属性 n然后再将刚才导出的信息文件,再导入注册表。再刷新用户列表就不在出现该对话框了。n下面在对方主机的命令行下修改Guest的用户属性,注意:一定要在命令行下。n首先修改Guest帐户的密码,比如这里改成“123456”,并将Guest帐户开启和停止,如图6-2
13、8所示。查看guest帐户属性 n再查看一下计算机管理窗口中的Guest帐户,发现该帐户使禁用的,如图6-29所示。利用禁用的guest帐户登录 n注销退出系统,然后用用户名:“guest”,密码:“123456”登录系统,如图6-30所示。连接终端服务的软件 n终端服务是Windows操作系统自带的,可以远程通过图形界面操纵服务器。在默认的情况下终端服务的端口号是3389。可以在系统服务中查看终端服务是否启动,如图6-31所示。查看终端服务的端口 n服务默认的端口是3389,可以利用命令“netstat-an”来查看该端口是否开放,如图6-32所示。连接到终端服务 n管理员为了远程操作方便,
14、服务器上的该服务一般都管理员为了远程操作方便,服务器上的该服务一般都是开启的。这就给黑客们提供一条可以远程图形化操是开启的。这就给黑客们提供一条可以远程图形化操作主机的途径。作主机的途径。n利用该服务,目前常用的有三种方法连接到对方主机:利用该服务,目前常用的有三种方法连接到对方主机:n1、使用、使用Windows 2000的远程桌面连接工具。的远程桌面连接工具。n2、使用、使用Windows XP的远程桌面连接工具。的远程桌面连接工具。n3、使用基于浏览器方式的连接工具。、使用基于浏览器方式的连接工具。案例6-5 三种方法连接到终端服务 n第一种方法利用Windows 2000自带的终端服务
15、工具:mstsc.exe。该工具中只要设置要连接主机的IP地址和连接桌面的分辨率就可以,如图6-33所示。终端服务n如果目标主机的终端服务是启动的,可以直接登录到对方的桌面,在登录框输入用户名和密码就可以在图形化界面种操纵对方主机了,如图6-24所示。终端服务n第二种方法是使用Windows XP自带的终端服务连接器:mstsc.exe。界面比较简单,只要输入对方的IP地址就可以了,如图6-25所示。Web方式连接n第三种方法是使用Web方式连接,该工具包含几个文件,需要将这些文件配置到IIS的站点中去,程序列表如图6-26所示。配置Web站点 n将这些文件设置到本地IIS默认Web站点的根目
16、录,如图6-27所示。在浏览器中连接终端服务 n然后在浏览器中输入“http:/localhost”打开连接程序,如图6-28所示。浏览器中的终端服务登录界面 n在服务器地址文本框中输入对方的在服务器地址文本框中输入对方的IP地址,再选择连地址,再选择连接窗口的分辨率,点击按钮接窗口的分辨率,点击按钮“连接连接”连接到对方的桌连接到对方的桌面,如图面,如图6-29所示。所示。案例6-6 安装并启动终端服务n假设对方不仅没有开启终端服务,而且没有安装终端假设对方不仅没有开启终端服务,而且没有安装终端服务所需要的软件。服务所需要的软件。n使用工具软件使用工具软件djxyxs.exe,可以给对方安装
17、并开启该,可以给对方安装并开启该服务。在该工具软件中已经包含了安装终端服务所需服务。在该工具软件中已经包含了安装终端服务所需要的所有文件,该文件如图要的所有文件,该文件如图6-30所示。所示。上传程序到指定的目录 n将该文件上传并拷贝到对方服务器的将该文件上传并拷贝到对方服务器的Winnttemp目目录下(必须放置在该目录下,否则安装不成功!),录下(必须放置在该目录下,否则安装不成功!),如图如图6-31所示。所示。目录列表 n然后执行djxyxs.exe文件,该文件会自动进行解压将文件全部放置到当前的目录下,执行命令查看当前目录下的文件列表,如图6-32所示。木马n木马是一种可以驻留在对方
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 计算机 网络安全 课件
限制150内