基于认证的入侵（二）.pptVIP

基于认证的入侵 回顾 IPC$入侵 IPC$的入侵方法 使用IPC$入侵的条件 使用IPC$留后门帐号 批处理文件的使用 远程管理计算机 计算机管理控制台管理远程管理计算机 使用命令行管理计算机 Telnet入侵 Telnet入侵的条件 使用Telnet入侵的方法 Telnet入侵中去掉NTLM验证的方法 远程命令的执行 能够远程执行命令，也就完全控制了远程主机。使用Telnet执行远程命令就是其中一种主要方法。 使用工具PSEXEC可以不用Telnet实现远程命令的执行。 使用方法PSEXEC \\computer [-u user][-p password][-s][-i][-c][-f][-d] cmd [arguments] PSEXEC参数说明 -u 登陆远程主机的用户名 -p 登陆远程主机的密码 -i 与远程主机交互执行 -c 拷贝本地文件到远程主机系统并执行 -f 拷贝本地文件到远程主机系统目录并 执行，如果远程主机已经存在该文件，则覆盖 -d 不等待程序结束 PSEXEC使用实例一 通过PSEXEC实现与Telnet登录同样的功能 使用命令psexec \\192.168.0.106 –u administrator –p “” cmd PSEXEC使用实例二 使用PSEXEC，将本地可执行程序拷贝到远程主机执行 PSEXEC使用方式说明 如果要在远程主机建立后门帐号，可以使用命令psexec \\192.168.0.106 –u administrator –p “” net user abc abc /add 如果将本地文件拷贝到远程主机并执行过程中，远程主机存在同名文件，则使用-f选项 -i选项一般不使用，否则在本地执行的命令远程主机也能看到 远程进程查、杀 入侵者对远程主机的彻底控制包括远程察看、杀死远程主机的进程。使用PSEXEC和Aproman可以实现这一过程 Aproman的使用回顾 Aproman.exe –p：显示端口进程关联关系 Aproman.exe –t [PID]：杀掉指定进程号的进程 Aproman.exe –f [FileName] 把进程及模块信息存入文件 使用PSEXEC和Aproman查、杀进程 步骤一：将Aproman.exe拷贝到本机磁盘 步骤二：使用PSEXEC将Aproman.exe拷贝到目的主机并执行 步骤三：通过指定进程号杀死远程主机的进程。使用命令 psexec \\192.168.0.106 –u administrator –p “” –d aproman –t 1280 使用pslist和pskill实现进程查杀 pslist.exe是命令行方式下远程查看进程的工具，其使用方法为： pslist [-t][-m][-x] \\computer [-u username][-p password] [name/pid] -t 显示线程 -m 显示内存细节 -x 显示进程、内存和线程 name 列出指定用户的进程 pid 显示指定PID的进程信息 pskill.exe是命令行方式下远程杀进程的工具，其使用方式为：pskill \\computer [-u 用户名][进程号/进程名] 使用pslist和pskill查杀calc实例 远程执行命令总结 计划任务方式 获得帐号和密码 建立IPC$连接 开放计划任务服务 Telnet方式 获得帐号和密码 开放telnet服务 去掉NTLM验证 PSEXEC方式 获得帐号和密码 需要IPC$连接的支持 开放Server服务 入侵注册表 在早期的DOS系统中，系统通过使用BAT文件来为DOS系统加载驱动程序。 Windwos3.x中，系统通过Win.ini、System.ini、Control.ini、program.ini等INI文件来保存操作系统的软、硬件的配置信息和驱动程序（INI文件最大64KB） 从Windows95开始，通过注册表，用户便可以轻易的添加、删除、修改系统内的软、硬件配置信息和驱动程序 开启远程主机的注册表 入侵者通过远程控制和入侵注册表需要的条件 建立IPC$连接 开启远程注册表服务 开启远程主机的注册表 开启远程注册表服务的过程如下： 建立IPC$连接 打开“计算机管理”，用“计算机管理”管理远程计算机 开启远程注册表服务 关闭“计算机管理”，断开IPC$连接 连接远程主机的注册表（一） 入侵者可以通过Windows自带的工具连接远程主机的注册表并进行修改。 步骤一：执行regedit来打开注册表编辑器 步骤二：建立IPC$连接 步骤三：连接远程主机注册表（选择“注册表”—”连接网络注册表”） 步骤四：断开网络注册表 注册表r