网络黑客与入侵检测.ppt

网络黑客与入侵检测 ⑥ 控制远程主机中的进程。 步骤1：在“进程”选项卡中，输入远程主机的IP地址、用户名和密码后，在进程列表处右击，选择“获取进程信息”命令，可以显示主机B上目前正在运行的所有进程。 步骤2：如果需要关闭某进程，如360杀毒进程“360sd.exe”，防止以后要上传的木马文件被杀毒软件等杀除，可右击该进程，选择“关闭进程”命令即可，如图所示。 ⑦ 控制远程主机中的服务。 步骤1：在“服务”选项卡中，输入远程主机的IP地址、用户名和密码后，在服务列表处右击，选择“获取服务信息”命令，可以显示主机B上的所有服务名、当前状态和启动类型等信息，如图所示。其中“状态”列中，“Running”表示该服务已经启动，“Stopped”表示该服务已经停止。“启动类型”列中，“Auto”表示自动启动，“Manual”表示手动启动，“Disabled”表示已禁用。 步骤2：可以右击某个服务，选择“启动/停止服务”命令，改变所选服务的当前状态。 ⑧ 控制远程主机中的共享。 步骤1：在“共享”选项卡中，输入远程主机的IP地址、用户名和密码后，在共享列表处右击，选择“获取共享信息”命令，可以查看远程主机当前所有的共享信息，如图所示。 步骤2：如果要在远程主机上新建共享，可以右击共享列表，选择“创建共享”命令，此时会连续弹出三个对话框，根据提示分别输入要创建的共享名、共享路径和备注信息后即可在远程主机上新建共享磁盘或文件夹。用这种方法新建的共享与使用CMD命令新建的共享是一样的，在远程主机上不会显示共享图标，且为完全共享。 步骤3：如果需要关闭某共享，可以在该共享上右击，选择“关闭共享”命令即可。 ⑨ 向远程主机种植木马 步骤1：在“种植者”选项卡中，输入远程主机的IP地址、用户名和密码。从图6-29可以知道，远程主机上已有IPC$共享，因此在这里可以选中“IPC上传”单选按钮，单击“本地文件”文本框右侧的按钮，选择要种植的木马程序，如“C:\木马.exe”，该程序必须为可执行文件。 步骤2：单击“获取共享目录”按钮，再在“共享目录”和“对应路径”下拉列表中选择相应的选项。在“启动参数”文本框中设置木马程序启动时需要的参数，这里不需要设置启动参数，如图6-30所示。 步骤3：单击“开始种植”按钮后，所选择的木马程序文件将被复制到远程主机的共享目录中，木马程序还将进行倒计时，60秒后启动已经种植在远程主机上的木马程序。 (4) 利用DameWare软件远程监控主机B 步骤1：在主机A中安装并运行DameWare(迷你中文版4.5)软件，如图所示，输入远程主机B的IP地址、用户名和口令(密码)。 步骤2：单击“设置”按钮，在打开的对话框中选择“服务安装选项”选项卡，选中“设置服务启动类型为‘手动’－默认为‘自动’”和“复制配置文件DWRCS.INI”复选框，如图所示。 步骤3：单击“编辑”按钮，在打开的对话框中选择“通知对话框”选项卡，取消选中“连接时通知”复选框，如图所示。 步骤4：在“附加设置”选项卡中，取消选中所有的复选框，如图所示，这样设置的目的是在连接并监控远程主机时不易被其发现。 步骤5：单击“确定”按钮，返回到“远程连接”对话框，单击“连接”按钮进行远程连接。 步骤6：在第一次连接远程主机B时，会弹出“错误”对话框，提示远程控制服务没有安装在远程主机上，如图所示，单击“确定”按钮，开始安装远程控制服务。 服务安装完成后，会显示远程主机B的当前桌面，并且同步显示主机B的所有操作，实现远程监视主机B的目的。 2 任务2: 缓冲区溢出漏洞攻击的演示 1. 任务目标 (1) 掌握利用WebDAV缓冲区溢出漏洞进行攻击的方法。 (2) 了解缓冲区溢出漏洞的危害性。 2. 完成任务所需的设备和软件 (1) 装有Windows XP操作系统的PC机1台，作为主机A(攻击机)。 (2) 装有Windows Server 2000(IIS 5.0)操作系统的PC机1台，作为主机B(被攻击机)。 (3) WebDAVScan、WebDAVx3工具软件各1套。 3. 任务实施步骤 IIS 5.0默认提供了对WebDAV(Web-based Distributed Authoring and Versioning，基于Web的分布式创作和版本控制)的支持，WebDAV可以通过HTTP向用户提供远程文件存储服务。 但是IIS 5.0包含的WebDAV组件没有充分检查传递给部分系统组件的数据，远程攻击者可以利用这个漏洞对WebDAV进行缓冲区溢出攻击，可能以Web进程权限在系统上执行任意指令。 步骤1：设置主机A的IP地址为01，主机B的IP地址为03，了网掩码均为。主机A利用主机B上的WebDAV缓冲区溢出漏洞进行攻击。 步骤2