1、网络安全攻击术,第六章 网络后门与网络隐身,内容预览,为了保持对已经入侵的主机长久的控制,需要在主机上建立网络后门,以便直接通过后门入侵系统。 网络后门的主要策略: 创建远程服务端口 克隆管理员账号 种植木马 为了入侵的痕迹不被发现,需要隐藏或清除入侵的痕迹 实现隐身的主要方法: 设置代理跳板 清除系统日志,网络后门,只要能不通过正常登录进入系统的途径都称之为网络后门,目的是保持对目标主机长久控制。 后门的好坏取决于被管理员发现的概率。只要是不容易被发现的后门都是好后门。 留后门的原理和选间谍是一样的,让管理员看了感觉没有任何特别的。 通过建立远程服务端口和克隆管理员帐号来实现。,案例6-1
2、远程启动Telnet服务,利用主机上的Telnet服务,有管理员密码就可以登录到对方的命令行,进而操作对方的文件系统。 默认情况下,Windows 2000 Server的Telnet是关闭的,无法直接登录。 可以在运行窗口中输入tlntadmn.exe命令启动本地Telnet服务,如图所示。,建立远程服务端口,启动本地Telnet服务,在启动的DOS窗口中输入4就可以启动本地Telnet服务了,如图所示。,建立远程服务端口,远程开启对方的Telnet服务,利用工具RTCS.vbe可以远程开启对方的Telnet服务,使用该工具需要知道对方具有管理员权限的用户名和密码。 命令的语法是:cscri
3、pt RTCS.vbe 例如:“cscript RTCS.vbe 172.18.25.109 administrator 123456 1 23”,建立远程服务端口,其中 NTLM 值可取0,1,2: 0: 不使用 NTLM 身份验证; 1: 先尝试 NTLM 身份验证。如果失败,再使用用户名和密码; 2: 只使用 NTLM 身份验证。,远程开启对方的Telnet服务,开启远程主机Telnet服务的过程如图所示。,建立远程服务端口,确认对话框,执行完成后,对方的Telnet服务就被开启了。在DOS提示符下,登录目标主机的Telnet服务,首先输入命令“Telnet 172.18.25.109”
4、,因为Telnet的用户名和密码是明文传递的,首先出现确认发送信息对话框。,建立远程服务端口,录入Telnet的用户名和密码,输入字符“y”,进入Telnet的登录界面,需要输入主机的用户名和密码。,建立远程服务端口,登录Telnet服务器,如果用户名和密码没有错误,将进入对方主机的命令行。,建立远程服务端口,记录管理员口令修改过程,当入侵到对方主机并得到管理员口令以后,就可以对主机进行长久入侵了。 管理员一般每隔半个月左右就会修改一次密码,这样已经得到的密码就不起作用了。 利用工具软件Win2kPass.exe记录修改的新密码,该软件将密码记录在Winnttemp目录下的Config.ini
5、文件中,有时候文件名可能不是Config,但是扩展名一定是ini,该工具软件有“自动删除”的功能。,建立远程服务端口,首先在对方操作系统中执行Win2KPass.exe文件,当对方主机管理员密码修改并重启计算机以后,就在Winnttemp目录下产生一个ini文件,如图所示。,建立远程服务端口,案例6-3 建立Web服务和Telnet服务,使用工具软件wnc.exe可以在对方的主机上开启两个服务:Web服务和Telnet服务。其中Web服务的端口是808,Telnet服务的端口是707。执行很简单,只要在对方的命令行下执行一下wnc.exe就可以,如图所示。,建立远程服务端口,建立Web服务和T
6、elnet服务,执行完毕后,利用命令“netstat -an”来查看开启的808和707端口。,建立远程服务端口,服务端口开启成功,测试Web服务808端口,服务端口开启后,可以连接该目标主机提供的这两个服务了。首先测试Web服务808端口,在浏览器地址栏中输入“http:/172.18.25.109:808”,出现主机的盘符列表,如图所示。,建立远程服务端口,看密码修改记录文件,可以下载对方硬盘设置盘上的任意文件,可以到Winnt/temp目录下查看对方密码修改记录文件。,建立远程服务端口,利用telnet命令连接707端口,可以利用“telnet 172.18.25.109 707”命令登
7、录到对方的命令行。,建立远程服务端口,登录到对方的命令行,不用任何的用户名和密码就可以登录对方主机的命令行。,建立远程服务端口,自启动程序,wnc.exe的功能强大,但是该程序不能自动加载执行,需要将该文件加到自启动程序列表中。 一般将wnc.exe文件放到对方的winnt目录或者winnt/system32目录下,这两个目录是系统环境目录,执行这两个目录下的文件不需要给出具体的路径。,建立远程服务端口,将wnc.exe加到自启动列表,首先将wnc.exe和reg.exe文件拷贝对方的winnt目录下,利用reg.exe文件将wnc.exe加载到注册表的自启动项目中,命令的格式为: “reg.
8、exe add HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun /v service /d wnc.exe”执行过程如图所示。,建立远程服务端口,修改后的注册表,如果可以进入对方主机的图形界面,可以查看一下对方的注册表的自启动项,已经被修改,如图所示。,建立远程服务端口,案例6-4 让禁用的Guest具有管理权限,操作系统所有的用户信息都保存在注册表中,但是如果直接使用“regedit”命令打开注册表,该键值是隐藏的,如图所示。,克隆管理员账号,查看和编辑用户信息,可以利用工具软件psu.exe得到该键值的查看和编辑权。将psu.exe拷贝到对方主机
9、的C盘下; 并在任务管理器查看对方主机winlogon.exe进程的ID号或者使用pulist.exe文件查看该进程的ID号,如图所示。,克隆管理员账号,执行命令,该进程号为192,下面执行命令“psu -p regedit -i pid”其中pid为Winlogon.exe的进程号,如图所示。,克隆管理员账号,查看SAM键值,执行完命令以后,自动打开了注册表编辑器,查看SAM下的键值,如图所示。,克隆管理员账号,查看帐户对应的键值,查看Administrator和guest默认的键值,在Windows 2000操作系统上,Administrator一般为0x1f4,guest一般为0x1f5
10、.,克隆管理员账号,帐户配置信息,根据“0x1f4”和“0x1f5”找到Administrator和guest帐户的配置信息。,克隆管理员账号,拷贝管理员配置信息,在图右边栏目中的F键值中保存了帐户的密码信息,双击“000001F4”目录下键值“F”,可以看到该键值的二进制信息,将这些二进制信息全选,并拷贝到出来。,克隆管理员账号,覆盖Guest用户的配置信息,将拷贝出来的信息全部覆盖到“000001F5”目录下的“F”键值中。,克隆管理员账号,保存键值,Guest帐户已经具有管理员权限了。为了能够使Guest帐户在禁用的状态登录,下一步将Guest帐户信息导出注册表。选择User目录,然后选
11、择菜单栏“注册表”下的菜单项“导出注册表文件”,将该键值保存为一个配置文件。,克隆管理员账号,删除Guest帐户信息,打开计算机管理对话框,并分别删除Guest和“00001F5”两个目录。,克隆管理员账号,刷新用户列表,这个刷新对方主机的用户列表,会出现用户找不到的对话框。,克隆管理员账号,修改Guest帐户的属性,将刚才导出的信息文件,再导入注册表。再刷新用户列表就不在出现该对话框了。 在对方主机的命令行下修改Guest的用户属性,注意:一定要在命令行下。 首先修改Guest帐户的密码,比如改成“123456”,并将Guest帐户开启和停止,如图所示。,克隆管理员账号,查看guest帐户属
12、性,再查看一下计算机管理窗口中的Guest帐户,发现该帐户使禁用的,如图所示。,克隆管理员账号,利用禁用的guest帐户登录,注销退出系统,然后用用户名:“guest”,密码:“123456”登录系统,如图所示。,克隆管理员账号,连接终端服务的软件,终端服务是Windows操作系统自带的,可以远程通过图形界面操纵服务器。在默认的情况下终端服务的端口号是3389。可以在系统服务中查看终端服务是否启动,如图所示。,建立远程服务端口,查看终端服务的端口,也可以利用命令“netstat -an”来查看该端口是否开放,如图所示。,建立远程服务端口,连接到终端服务,管理员为了远程操作方便,服务器上的该服务
13、一般都是开启的。这就给黑客们提供一条可以远程图形化操作主机的途径。 利用该服务,目前常用的有三种方法连接到对方主机: 1、使用Windows 2000的远程桌面连接工具。 2、使用Windows XP的远程桌面连接工具。 3、使用基于浏览器方式的连接工具。,建立远程服务端口,案例6-5 三种方法连接到终端服务,第一种方法利用Windows 2000自带的终端服务工具:mstsc.exe。 该工具中只要设置要连接主机的IP地址和连接桌面的分辨率就可以,如图所示。,建立远程服务端口,如果目标主机的终端服务是启动的,可以直接登录到对方的桌面,在登录框输入用户名和密码就可以在图形化界面种操纵对方主机了
14、,如图所示。,建立远程服务端口,第二种方法是使用Windows XP自带的终端服务连接器:mstsc.exe。界面比较简单,只要输入对方的IP地址就可以了,如图所示。,建立远程服务端口,第三种方法是使用Web方式连接,该工具包含几个文件,需要将这些文件配置到IIS的站点中去,程序列表如图所示。,建立远程服务端口,配置Web站点,将这些文件设置到本地IIS默认Web站点的根目录,如图所示。,建立远程服务端口,然后在浏览器中输入“http:/localhost”打开连接程序,如图所示。,建立远程服务端口,在服务器地址文本框中输入对方的IP地址,再选择连接窗口的分辨率,点击按钮“连接”连接到对方的桌
15、面,如图所示。,建立远程服务端口,案例6-6 安装并启动终端服务,假设对方不仅没有开启终端服务,而且没有安装终端服务所需要的软件。 使用工具软件djxyxs.exe,可以给对方安装并开启该服务。在该工具软件中已经包含了安装终端服务所需要的所有文件,该文件如图所示。,建立远程服务端口,将该文件上传并拷贝到对方服务器的Winnttemp目录下,如图所示。,建立远程服务端口,执行djxyxs.exe文件,该文件会自动进行解压将文件全部放置到当前的目录下,查看当前目录下的文件列表。,建立远程服务端口,执行azzd.exe,自动在对方服务器上安装并启动终端服务。 安装后对方服务器将重启,之后就可以使用终
16、端服务连接软件登录对方计算机了。,木马简介,木马,木马来自于“特洛伊木马”,英文名称为Trojan Horse。由于特洛伊木马程序的功能和此类似,故而得名。 木马程序在表面上看上去没有任何的损害,实际上隐藏着可以控制用户整个计算机系统、打开后门等危害系统安全的功能。 木马比普通后门功能强大,有远程控制功能。 木马是一种可以驻留在对方系统中的一种程序。,木马,木马一般由两部分组成:服务器端和客户端。 驻留在对方服务器的称之为木马的服务器端,远程的可以连到木马服务器的程序称之为客户端。 木马的功能是通过客户端可以操纵服务器,进而操纵对方的主机。 这里介绍一种最常见的木马程序:“冰河”。,常见木马的
17、使用,案例6-7 使用“冰河”进行远程控制 “冰河”包含两个程序文件,一个是服务器端,另一个是客户端。“冰河8.2”文件列表如图所示。,木马,“冰河”的客户端,win32.exe文件是服务器端程序,Y_Client.exe文件为客户端程序。将win32.exe文件在远程计算机上执行以后,通过Y_Client.exe文件来控制远程的服务器,客户端的主界面如图所示.,木马,选择配置菜单,将服务器程序种到对方主机之前需要对服务器程序做一些设置,比如连接端口,连接密码等。选择菜单栏“设置”下的菜单项“配置服务器程序”,如图所示。,木马,设置“冰河”服务器配置,在出现的对话框中选择服务器端程序win32
18、.exe进行配置,并填写访问服务器端程序的口令,这里设置为“1234567890”,如图所示。,木马,查看注册表,点击按钮“确定”以后,就将“冰河”的服务器种到当前主机上了。 执行完win32.exe文件以后,系统没有任何反应,其实已经更改了注册表,并将服务器端程序和文本文件进行了关联,当用户双击一个扩展名为txt的文件的时候,就会自动执行冰河服务器端程序。 当计算机感染了“冰河”以后,查看被修改后的注册表,如图所示。,木马,使用冰河客户端添加主机,目标主机中了冰河了,可以利用客户端程序来连接服务器端程序。在客户端添加主机的地址信息,这里的密码是就是刚才设置的密码“1234567890”如图所
19、示。,木马,查看对方的目录列表,点击按钮“确定”以后,查看对方计算机的基本信息了,对方计算机的目录列表如图所示。,木马,查看并控制远程屏幕的菜单,从图中可以看出,可以在对方计算机上进行任意的操作。除此以外还可以查看并控制对方的屏幕等等。,木马,网络隐身(IP隐藏)网络代理跳板清除系统日志,代理服务的作用,可以隐藏自己。不与目标机器直接打交道,目标服务器不会知道访问者的IP,只知道代理服务器的IP。 可以访问一些有IP禁止访问的服务器。因为限制只禁止了访问者者和目标服务器的连接,但并没有禁止访问者与代理服务器的连接以及代理服务器与目标服务器的连接。 加快网络的读取的速度。通常代理服务器都是比较强
20、劲的机器,假如访问者的网络不是很好,使用代理在一定的情况下可以加快网络的读取速度。但这是有条件的,并不是所有使用代理都能加快。,socks代理,SOCKS是一组开放标准,用来处理网络安全的事宜。 SOCKS象一堵墙被夹在Internet服务器和客户端之间,对于出入网络的资讯提供流量和安全的管理。 Socks 不要求应用程序遵循特定的操作系统平台,Socks 代理与应用层代理、 应用层代理不同,Socks 代理只是简单地传递数据包,而不必关心是何种应用协议(比如FTP、HTTP和NNTP请求)。所以,Socks代理比其他应用层代理要快得多。 它通常绑定在代理服务器的1080端口上。,一般防火墙系
21、统通常是象网关(Gateway)一样是作用在应用层上,对TCP/IP的高级协议,如Telnet、FTP、HTTP和SMTP加以管制. 而SOCKS作用在会话层上,象一个代理一样对客户端到服务器端或服务器和服务器之间的数据联系,提供安全上的服务。 由于SOCKS作用在会话层上,因此它是一个提供会话层到会话层间安全服务的方案,不受高层应用程序变更的影响。,socks代理,SOCKS4和SOCKS5,SOCK4只支持TCP协议; SOCK5支持TCP和UDP协议,还支持身份验证、服务器端域名解析等。 SOCK4能做的SOCK5都可以,反之不行。 常用的聊天软件(如QQ),用的是TCP和UDP协议的,
22、所以QQ只能用SOCK5的代理。,Sock5代理的工作程序,客户向代理服务器发出请求信息 代理服务器应答 客户向代理方发送目的IP和端口 代理服务器与目的主机连接 代理服务器将客户发出的信息传到目的主机,将目的主机发出的信息传给客户。,如何代理TCP协议,客户端向代理服务器的1080端口建立TCP连接; 向代理服务器发送代理请求; 代理服务器返回代理响应; 客户端发送协商请求和端口信息; 代理服务器返回协商响应和端口; 客户发送目的地址IP+目的端口 +所要发送的信息 当有数据报返回时, 向客户返回来源地址IP+来源端口 +接受的信息.,如何代理UDP协议,1. 向服务器发送代理请求 2. 代
23、理服务器返回代理响应; 3. 客户端发送协商请求和端口信息; 4. 代理服务器返回协商响应和端口; 5. 客户发送目的地址IP+目的端口 +所要发送的信息 6. 当有数据报返回时, 向客户返回来源地址IP+来源端口 +接受的信息,网络代理跳板,当从本地入侵其他主机的时候,自己的IP会暴露给对方。通过将某一台主机设置为代理,通过该主机再入侵其他主机,这样就会留下代理的IP地址,这样就可以有效的保护自己的安全。二级代理的基本结构如图所示。,网络代理跳板,本地通过两级代理入侵某一台主机,这样在被入侵的主机上,就不会留下的自己的信息。 可以选择更多的代理级别,但是考虑到网络带宽的问题,一般选择两到三级
24、代理比较合适。 选择代理服务的原则是选择不同地区的主机作为代理。 可以选择做代理的主机有一个先决条件,必须先安装相关的代理软件,一般都是将已经被入侵的主机作为代理服务器。,网络代理跳板,网络代理跳板工具的使用,常用的网络代理跳板工具很多,介绍一种比较常用而且功能比较强大的代理工具:Snake代理跳板。 Snake的代理跳板,支持TCP/UDP代理,支持多个(最多达到255)跳板。 程序文件为:SkSockServer.exe,代理方式为Sock5.,网络代理跳板,使用Snake代理跳板,使用Snake代理跳板需要首先在每一级跳板主机上安装Snake代理服务器。程序文件是SkSockServer
25、.exe,将该文件拷贝到目标主机上。 首先设置一级代理,将文件拷贝到C盘根目录下,然后将代理服务安装到主机上。安装需要四个步骤。,网络代理跳板,安装代理服务, 执行“sksockserver -install”; 设置代理服务的端口, 执行“sksockserver -config port 1122”; 设置启动方式为自动启动,执行“sksockserver -config starttype 2”; 启动代理服务, 执行“net start skserver” 。,网络代理跳板,设置完毕以后使用“netstat -an”命令查看1122端口是否开放,如图所示。,本地设置完毕以后,在网络上其
26、他的主机上设置二级代理,比如在IP为172.18.25.109的主机上也设置和本机同样的代理配置。 使用本地代理配置工具:SkServerGUI.exe,该配置工具的主界面如图所示。,网络代理跳板,选择主菜单“配置”下的菜单项“经过的SKServer”,在出现的对话框中设置代理的顺序,第一级代理是本地的1122端口,IP地址是127.0.0.1,第二级代理是172.18.25.109,端口是1122端口,注意将复选框“允许”选中,如图所示。,网络代理跳板,设置可以访问该代理的客户端,选择主菜单“配置”下的菜单项“客户端”,这里只允许本地访问该代理服务,所以将IP地址设置为127.0.0.1,子
27、网掩码设置为“255.255.255.255”,并将复选框“允许”选中。,网络代理跳板,启动代理跳板,一个二级代理设置完毕,选择菜单栏“命令”下的菜单项“开始”,启动该代理跳板。,网络代理跳板,安装程序和汉化补丁,安装代理的客户端程序。 该程序包含两个程序,一个是安装程序,一个汉化补丁,如果不安装补丁程序将不能使用。,网络代理跳板,设置Socks代理,首先安装sc32r231.exe,再安装补丁程序HBC-SC32231-Ronnier.exe, 然后执行该程序。 首先出现设置窗口 如图所示。,网络代理跳板,代理客户端的主界面,设置Socks代理服务器为一级代理服务器IP地址,端口设置为跳板的
28、监听端口,选择Socks版本5作为代理。,网络代理跳板,设置需要代理的应用程序,添加需要代理的应用程序,点击工具栏图标“新建”,比如现在添加Internet Explore添加进来,设置方式如图所示,网络代理跳板,设置完毕以后,IE的图标就在列表中了,选中IE图标,然后点击工具栏图标“运行”,如图所示。,在打开的IE中连接某一个地址,比如“172.18.25.109”,如图所示。,网络代理跳板,查看使用代理的情况,在IE的连接过程中,查看代理跳板的对话框,可以看到连接的信息。如图所示。,网络代理跳板,清除日志,清除日志是黑客入侵的最后的一步,黑客能做到来无踪去无影,这一步起到决定性的作用。,清
29、除日志,清除IIS日志,当用户访问某个IIS服务器以后,无论是正常的访问还是非正常的访问,IIS都会记录访问者的IP地址以及访问时间等信息。这些信息记录在WinntSystem32logFiles目录下,如图所示。,清除日志,打开任一文件夹下的任一文件,可以看到IIS日志的基本格式,记录了用户访问的服务器文件、用户登的时间、用户的IP地址以及用户浏览器以及操作系统的版本号。如图所示:,清除日志,最简单的方法是直接到该目录下删除这些文件夹,但是全部删除文件以后,一定会引起管理员的怀疑。 一般入侵的过程是短暂的,只会保存到一个Log文件,只要在该Log文件删除所有自己的记录就可以了。,清除日志,清
30、除IIS日志的全过程,使用工具软件CleanIISLog.exe,首先将该文件拷贝到日志文件所在目录,然后执行命令“CleanIISLog.exe ex031108.log 172.18.25.110”,第一个参数ex031108.log是日志文件名,第二个参数是要在该Log文件中删除的IP地址。先查找当前目录下的文件,然后做清除的操作。,清除日志,清除主机日志,主机日志包括三类的日志:应用程序日志、安全日志和系统日志。可以在计算机上通过控制面板下的“事件查看器”查看日志信息。,清除日志,使用工具软件clearel.exe,可以方便的清除系统日志,首先将该文件上传到对方主机,然后删除这三种日志
31、的命令格式为: Clearel System Clearel Security Clearel Application Clearel All 这四条命令分别删除系统日志、安全日志、应用程序日志和删除全部日志。命令执行的过程如图所示。,清除日志,事件查看器,执行完毕后,再打开事件查看器,发现都已经空了。如图所示。,清除日志,本章总结,本章介绍入侵过程中两个非常重要的步骤:网络后门和网络隐身。 网络后门主要通过开启远程服务(Telnet,终端服务)和克隆管理员账户实现,种植木马也是一种方法。 网络隐身(隐藏IP)通过网络代理跳板和清除系统日志来完成。 本章需要重点掌握和理解网络后门的建立方法。,
