黑客攻击与防范(Telnet高级入侵).pptVIP

《信息安全技术》;课题内容：黑客攻击与防范(Telnet高级入侵) 教学目的： 掌握Telnet高级入侵全攻略 教学方法：讲授法、任务驱动法、演示法 重 点：Telnet入侵的方法 难 点：Telnet高级入侵 能力培养： 熟悉Telnet高级入侵 课堂类型：讲授课 教 具：投影仪、多媒体设备;Telnet入侵杀手锏;opentelnet;Telnet 高级入侵全攻略;(1)AProMan简介 　　AproMan以命令行方式查看进程、杀死进程，不会被杀毒 软件查杀。举个例子，如果入侵者发现目标主机上运行有杀毒 软件，会导致上传的工具被杀毒软件查杀，那么他们就会要在 上传工具前关闭杀毒防火墙。使用方法如下： 　　c:\AProMan.exe -a 显示所有进程 　　c:\AProMan.exe -p 显示端口进程关联关系(需Administrator权限) 　　c:\AProMan.exe -t [PID] 杀掉指定进程号的进程 　　c:\AProMan.exe -f [] 把进程及模块信息存入文件;(2)instsrv简介 instsrv是一款用命令行就可以安装、卸载服务的程序，可以自 由指定服务名称和服务所执行的程序。 instsrv的用法如下，更详细的用法如图4-40所示。 　　安装服务：instsrv 服务名称 执行程序的位置 　　卸载服务：instsrv 服务名称 REMOVE ; 步骤一：扫出有NT弱口令的主机。在X-Scan的“扫描模 块”中选中“NT-SERVER弱口令”，如图4-41所示。 ; 然后在“指定IP范围”内输入要扫描主机的IP，如图4-42 所示。 ;等待一段时间后，得到扫描结果如图4-43所示。 ;步骤二：用opentelnet打开远程主机Telnet服务、修改目标主 机端口、去除NTLM验证。 无论远程主机是否开启“Telnet服务”，入侵者都可以通 过工具opentelnet来解决。比如，通过“opentelnet \\192.168.46.128 administrator “” 1 66”命令为IP地址 为192.168.46.128的主机去除NTLM认证，开启Telnet服务，同 时又把Telnet默认的23号登录端口改成66号端口,如图4-44所 示。 ;步骤三：把所需文件(instsrv.exe、AProMan.exe)拷贝到远程 主机。 　　首先建立IPC$，然后通过映射网络硬盘的方法把所需文件 拷贝、粘贴到远程计算机的c:\winnt文件夹中 步骤四：Telnet登录。 　　在MS-DOS中键入命令“telnet 192.168.46.128 66”来登 录???程主机192.168.46.128。 ;步骤五：杀死防火墙进程。 　　如果入侵者需要把类似木马的程序拷贝到远程主机并执 行，那么他们会事先关闭远程主机中的杀毒防火墙。虽然这里 没有拷贝类似木马的程序到远程主机，但还是要介绍一下这一 过程。当入侵者登录成功后，他们会进入到c:\winnt目录中使 用AProMan程序。首先通过命令 AProMan –A查看所有进 程，然后找到杀毒防火墙进程的PID，最后使用AProMan –t [PID]来杀掉杀毒防火墙。;步骤六：另外安装更为隐蔽的Telnet服务。 　　为了事后仍然能登录到该计算机，入侵者在第一次登录之 后都会留下后门。这里来介绍一下入侵者如何通过安装系统服 务的方法来让Telnet服务永远运行。在安装服务之前，有必要 了解一下Windows操作系统是如何提供“Telnet服务”的。打 开“计算机管理”，然后查看“Telnet服务”属性。; 在“Telnet 的属性”窗口中，可以看到其中“可执行文件 的路径”指向“C:\WINNT\ SYSTEM32\tlntsvr.exe”。可 见，程序tlntsvr.exe就是Windows系统中专门用来提供 “Telnet服务”的。也就是说，如果某服务指向该程序，那么 该服务就会提供Telnet服务。因此，入侵者可以自定义一个新 服务，将该服务指向tlntsvr.exe，从而通过该服务提供的 Telnet服务登录，这样做后，即使远程主机上的Telnet服务是 被禁用的，入侵者也可以毫无阻碍的登录到远程计算机，这种 方法被称之为 Telnet后门。下面就介绍一下上述过程是如何实 现的。;首先进入instsrv所在目录，如图4-48所示。 ;　 然后使用instsrv.exe建立一个名为“SYSHEALTH”的服 务，并把这个服务指向C:\WINNT z\SYST