网络入侵初步.pptVIP

网络入侵初步 远程控制计算机 telnet是控制主机的第一手段 入侵者在远程主机上执行命令，可以通过建立IPC$连接，然后使用net time命令查看系统时间，最后使用at 命令建立计划任务，完成远程执行命令。 telnet方式对入侵者而言则会方便得多，入侵一旦与远程主机建立telnet连接，就可以控制本地计算机一样来控制远程计算机。 使用telnet登录 telnet host [port] 成功建立telnet连接，除了要求掌握远程计算机上的账号和密码外，还需要远程计算机已经开启telnet服务，并去除NTLM验证。 telnet入侵步骤 1、开启远程主机telnet服务 2、去掉NTLM验证 3、telnet连接 通过”bat文件”和”计划任务服务”开启远程主机telnet服务 /*start.bat net start telnet /*stop.bat net stop telnet 开启远程主机telnet服务后，如果没有去掉NTLM验证，在登录时会失败。 解决方法一 1）在本地计算机上建立一个与远程主机上相同的账号 2）通过“开始”—“程序” —“附件”找到“命令提示符”，使用右键单击“命令提示符”，然后选择“属性”，打开如下对话框 3）选中对话框中“以其他用户身份运行” 4）打开“命令提示符”，输入用户名和密码，单击确定按钮后，得到MS-DOS界面 5）在MS-DOS界面上输入 telnet 便可连接上telnet服务 解决方法二 １）使用工具NTLM.exe去除NTLM验证。首先与远程主机建立IPC$连接，然后将NTLM.exe复制到远程主机，最后通过at命令使远程计算机执行NTLM.exe。 ２）在MS-DOS界面上输入 telnet 便可连接上telnet服务 telnet杀手锏 opentelnet 开启远程主机telnet服务，并解除NTLM验证 opentelnet \\serverIP 账号 密码 telnet端口 telnet高级入侵 采用的工具： Opentelnet aproman: 用来查看进程、杀死进程 instsrv:用来给主机安装服务 aproman简介：以命令行方式查看进程、杀死进程，使用方法： aproman –a 显示所有进程 aproman –t pid 杀死指定进程号的进程 instsrv简介:用命令行方式安装、卸载服务的程序，使用方法： instsrv 服务名称 执行的程序 instsrv 服务名称 REMOVE 第一步：用opentelnet打开远程主机telnet服务、修改主机端口、去除NTLM验证 Opentelnet \\ 66 第二步：把所需文件(instsrv.exe,aproman.exe)复制到远程主机 第三步：telnet登录 telnet 66 第四步：用aproman杀死防火墙进程 第五步：安装更为隐蔽的telnet服务 instsrv syshealth c:\winnt\system32\tlntsvr.exe 一个名为”syshealth”的服务建立成功，从表面上看该服务与远程telnet服务不存在任何关系，但是实际上是入侵者留下的telnet后门服务。即使远程主机上的telnet服务已被停止并禁用，但入侵者仍然能够通过telnet来控制远程主机。 远程执行命令工具 psexec \\computer [-u user [-p psswd]] cmd -u 登录用户名 -p 密码 cmd 执行的命令 例： psexec \\ -u administrator -p hziee123 c:\aproman –a psexec \\ -u administrator -p hziee123 cmd.exe 远程执行命令方法汇总 通过建立计划任务执行 通过telnet执行 通过psexec工具执行 攻击五部曲 一次成功的攻击，都可以归纳成基本的五步骤，但是根据实际情况可以随时调整。归纳起来就是“黑客攻击五部曲” 1、隐藏IP 2、踩点扫描 3、获得系统或管理员权限 4、种植后门 5、在网络中隐身 1、隐藏IP 这一步必须做，因为如果自己的入侵的痕迹被发现了，当FBI找上门的时候就一切都晚了。 通常有两种方法实现自己IP的隐藏： 第一种方法是首先入侵互联网上的一台电脑（俗称“肉鸡”），利用这台电脑进行攻击，这样即使被发现了，也是“肉鸡”的IP地址。 第二种方式是做多级跳板“Sock代理”，这样在入侵的电脑上留下的是代理计算机的IP地址。 比如攻击A国的站点，一般选择离A国很远的B国计算机作为“肉鸡”或者“代理”，这样跨国度的攻击，一般很难被侦破。 2、踩点扫描 踩点就是通过各种途径对所要攻击的目标进行多方面的了解（包括任何