06(网络后门和网络隐身).pptVIP

网络安全攻击术 第六章 网络后门与网络隐身 内容预览 为了保持对已经入侵的主机长久的控制，需要在主机上建立网络后门，以便直接通过后门入侵系统。 网络后门的主要策略： 创建远程服务端口 克隆管理员账号 种植木马 为了入侵的痕迹不被发现，需要隐藏或清除入侵的痕迹 实现隐身的主要方法： 设置代理跳板 清除系统日志 网络后门 只要能不通过正常登录进入系统的途径都称之为网络后门，目的是保持对目标主机长久控制。 后门的好坏取决于被管理员发现的概率。只要是不容易被发现的后门都是好后门。 留后门的原理和选间谍是一样的，让管理员看了感觉没有任何特别的。 通过建立远程服务端口和克隆管理员帐号来实现。 案例6-1 远程启动Telnet服务 利用主机上的Telnet服务，有管理员密码就可以登录到对方的命令行，进而操作对方的文件系统。 默认情况下，Windows 2000 Server的Telnet是关闭的，无法直接登录。 可以在运行窗口中输入tlntadmn.exe命令启动本地Telnet服务，如图所示。 启动本地Telnet服务 在启动的DOS窗口中输入4就可以启动本地Telnet服务了，如图所示。 远程开启对方的Telnet服务 利用工具RTCS.vbe可以远程开启对方的Telnet服务，使用该工具需要知道对方具有管理员权限的用户名和密码。 命令的语法是： cscript RTCS.vbe 目标IP 用户名 密码 NTLM验证方式 telnet服务端口 例如：“cscript RTCS.vbe 09 administrator 123456 1 23” 远程开启对方的Telnet服务 确认对话框 执行完成后，对方的Telnet服务就被开启了。在DOS提示符下，登录目标主机的Telnet服务，首先输入命令“Telnet 09”，因为Telnet的用户名和密码是明文传递的，首先出现确认发送信息对话框。 录入Telnet的用户名和密码 输入字符“y”，进入Telnet的登录界面，需要输入主机的用户名和密码。 登录Telnet服务器 如果用户名和密码没有错误，将进入对方主机的命令行。 记录管理员口令修改过程 当入侵到对方主机并得到管理员口令以后，就可以对主机进行长久入侵了。 管理员一般每隔半个月左右就会修改一次密码，这样已经得到的密码就不起作用了。 利用工具软件Win2kPass.exe记录修改的新密码，该软件将密码记录在Winnt\temp目录下的Config.ini文件中，有时候文件名可能不是Config，但是扩展名一定是ini，该工具软件有“自动删除”的功能。 首先在对方操作系统中执行Win2KPass.exe文件，当对方主机管理员密码修改并重启计算机以后，就在Winnt\temp目录下产生一个ini文件，如图所示。 案例6-3 建立Web服务和Telnet服务 使用工具软件wnc.exe可以在对方的主机上开启两个服务：Web服务和Telnet服务。其中Web服务的端口是808，Telnet服务的端口是707。执行很简单，只要在对方的命令行下执行一下wnc.exe就可以，如图所示。 建立Web服务和Telnet服务 执行完毕后，利用命令“netstat -an”来查看开启的808和707端口。 测试Web服务808端口 服务端口开启后，可以连接该目标主机提供的这两个服务了。首先测试Web服务808端口，在浏览器地址栏中输入“09:808”，出现主机的盘符列表，如图所示。 看密码修改记录文件 可以下载对方硬盘设置盘上的任意文件，可以到Winnt/temp目录下查看对方密码修改记录文件。 利用telnet命令连接707端口 可以利用“telnet 09 707”命令登录到对方的命令行。 登录到对方的命令行 不用任何的用户名和密码就可以登录对方主机的命令行。 自启动程序 wnc.exe的功能强大，但是该程序不能自动加载执行，需要将该文件加到自启动程序列表中。 一般将wnc.exe文件放到对方的winnt目录或者winnt/system32目录下，这两个目录是系统环境目录，执行这两个目录下的文件不需要给出具体的路径。 将wnc.exe加到自启动列表 首先将wnc.exe和reg.exe文件拷贝对方的winnt目录下，利用reg.exe文件将wnc.exe加载到注册表的自启动项目中，命令的格式为： “reg.exe add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v service /d wnc.exe”执行过程如图所示。 修改后的注册表 如果可以进入对方主机的图形界面，可以查看一下对方的注册表的自启动项，已经被修改，如图所示。 案例6-4 让禁用的Guest具有