实验网络安全技术二.docVIP

实验二 网页木马和木马捆绑 一般黑客都会在攻入系统后不只一次地进入该系统，为了下次再进入系统时方便，黑客会留下一个后门；另一方面，程序员在进行软件开发时，会由于疏忽或故意将后门留在程序中，以便日后可以对此程序进行隐藏地访问。 练习一 Shell后门 【实验目的】 理解后门的定义与分类 掌握后门的操作与原理 【实验人数】 每组2人 【系统环境】 Windows 【网络环境】 交换网络结构 【实验工具】 JlcssShell 【实验原理】 见《原理篇》实验25｜练习一。 【实验步骤】 本练习主机A、B为一组，C、D为一组，E、F为一组。下面以主机A、B为例，说明实验步骤。 首先使用“快照X”恢复Windows系统环境。 一．系统自带远程控制工具（3389远程控制） （1）设置远程登录用户。 主机B依次单击“我的电脑”｜“属性”｜“远程”｜“远程桌面”，选中“启用这台计算机上的远程桌面”。 单击“选择远程用户”按钮，进入远程桌面用户，单击“添加”按钮，添加远程用户帐户，在选择用户对话框中点选“高级”｜“立即查找”，在查找结果中选择一个已存在的用户，按确定，完成用户添加工作。 （2）将用户名，密码告知同组主机A，并由其对本机进行远程登录。 主机A依次单击“开始”｜“程序”｜“附件”｜“通讯”｜“远程桌面连接”，启动远程桌面连接工具，在计算机一栏填写同组主机B的IP地址，单击“连接”按钮进行连接。在出现的登录界面中填入同组主机B提供的用户名和密码以图形界面登录到同组主机。利用远程连接，在同组主机上进行文件操作，注意不要随便删除连接主机上的文件。 二．远程控制工具JlcssShell （1）主机B首先在控制台中执行netstat -an，查看本机开启的端口情况。单击实验平台工具栏中“JlcssShell”按钮，进入JlcssShell工作目录，运行JlcssShell.exe，再次查看本机开启端口的情况，端口21581是否开启 。 （2）主机A确认后门植入主机后，用“telnet”命令对主机连接并实现部分功能的控制。主机打开命令行操作界面，输入“telnet 主机IP地址 21581”,其中“21581”为后门程序的执行端口。然后输入“连接密码”：jlcssok。 确认后即可进入远程控制界面。输入“？”键入“回车”，获取帮助菜单。 ）主机对主机进行简单的磁盘操作。灰鸽子木马”属性页，在“IP通知http访问地址、DNS解析域名或固定IP”文本框中输入本机IP地址，在“保存路径”文本框中输入“D:\Work\IIS\Server_Setup.exe”，单击“生成服务器”按钮，生成木马“服务器程序”。 （4）主机A编写生成网页木马的脚本。 在桌面建立一个“Trojan.txt”文档，打开“Trojan.txt”，将实验原理中网马脚本写入，并将第15行“主机IP地址”替换成主机A的IP地址。把“Trojan.txt”文件扩展名改为“.htm”，生成“Trojan.htm”。 「注」 C:\ExpNIS\NetAD-Lab\Projects\Trojan\Trojan.htm文件提供了VB脚本源码。 将生成的“Trojan.htm”文件保存到“D:\Work\IIS\”目录下(“D:\Work\IIS\”为“木马网站”的网站空间目录)，“Trojan.htm”文件就是网页木马程序。 2． 完成对默认网站的“挂马”过程 （1）主机A进入目录“C:\Inetpub\wwwroot”，使用记事本打开“index.html”文件。 （“默认网站”的网站空间目录为“C:\Inetpub\wwwroot\”,主页为“index.html”） （2）对“index.html”进行编辑。在代码的底部加上iframe语句，具体见实验原理｜名词解释｜iframe标签（需将/index.html修改为http://本机IP:9090/Trojan.htm），实现从此网页对网页木马的链接。 3． 木马的植入 （1）主机B设置监控。 主机B进入实验平台，单击工具栏“监控器”按钮，打开监控器。 在向导栏中依次启动“进程监控”、“端口监控”，选择“文件监控”，在菜单栏中选择“选项”|“设置”，在设置界面中设置监视目录“C:\Windows\”（默认已被添加完成），操作类型全部选中，启动文件监控。 启动协议分析器，单击菜单“设置”｜“定义过滤器”，在弹出的“定义过滤器”对话框中选择“网络地址”选项卡，设置捕获主机A与主机B之间的数据。 新建捕获窗口，点击“选择过滤器”按钮，确定过滤信息。在捕获窗口工具栏中点击“开始捕获数据包”按钮，开始捕获数据包。 主机B启动IE浏览器，访问“http:// 主机A的IP地址”。 （2）主机A等待“灰鸽子远程控制”程序主