版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)
文檔簡介
1、實驗名稱網(wǎng)絡(luò)攻防綜合實驗指導(dǎo)教師李曙紅實驗類型設(shè)計實驗學(xué)時2實驗時間2016.06.29一、實驗?zāi)康?本次實驗為考核實驗,需要獨立設(shè)計完成一次網(wǎng)絡(luò)攻防的綜合實驗。設(shè)計的實驗中要包括以下幾個方面內(nèi)容:(1)構(gòu)建一個具有漏洞的服務(wù)器,利用漏洞對服務(wù)器進行入侵或攻擊;(2)利用網(wǎng)絡(luò)安全工具或設(shè)備對入侵與攻擊進行檢測;(3)能有效的對漏洞進行修補,提高系統(tǒng)的安全性,避免同種攻擊的威脅。網(wǎng)絡(luò)攻防綜合實驗將從實驗設(shè)計、實驗過程、實驗結(jié)果、實驗報告幾個方面,對學(xué)生的綜合實驗?zāi)芰M行考核與評分,具體評分標(biāo)準參考“評分標(biāo)準”文檔。二、實驗要求.2人一組,要求每人分工不同,例如一人負責(zé)網(wǎng)絡(luò)攻擊,一個負責(zé)網(wǎng)絡(luò)防范。
2、在實驗過程和實驗報告中要體現(xiàn)兩人的不同分工。.每組獨立設(shè)計完成實驗,不能雷同。.實驗過程中以下三個階段需上機演示給指導(dǎo)老師察看:完成網(wǎng)絡(luò)攻擊、檢測到攻擊、完成網(wǎng)絡(luò)防范。.完成實驗報告,能解釋在實驗使用到的技術(shù)或工具的基本原理。三、實驗環(huán)境可以自由使用信息安全實驗室的PC機,局域網(wǎng),Linux服務(wù)器,Windows服務(wù)器,防火墻,入侵檢測系統(tǒng)等。四、實驗設(shè)計方案、實驗過程及實驗結(jié)果作為一款流行的遠程控制工具,在面世的初期,冰河就曾經(jīng)以其簡單的操作方法和強大的控制力令人膽寒,可以說達到了談冰色變的地步。鑒于此,我們就選用冰河完成本次實驗。若要使用冰河進行攻擊,則冰河的安裝(是目標(biāo)主機感染冰河)是首
3、先必須要做的。冰河控制工具中有三個文件:Readme.txt,G_Client.exe,以及G_Server.exe。Readme.txt簡單介紹冰河的使用。G_Client.exe是監(jiān)控端執(zhí)行程序,可以用于監(jiān)控遠程計算機和配置服務(wù)器。G_Server.exe是被監(jiān)控端后臺監(jiān)控程序(運行一次即自動安裝,開機自啟動,可任意改名,運行時無任何提示)。運行G_Server.exe后,該服務(wù)端程序直接進入內(nèi)存,并把感染機的7626端口開放。而使用冰河客戶端軟件(G_Client.exe)的計算機可以對感染機進行遠程控制。冰河木馬的使用:1、自動跟蹤目標(biāo)機屏幕變化,同時可以完全模擬鍵盤及鼠標(biāo)輸入,即在同
4、步被控端屏幕變化的同時,監(jiān)控端的一切鍵盤及鼠標(biāo)操作將反映在被控端屏幕(局域網(wǎng)適用)。2、記錄各種口令信息:包括開機口令、屏??诹?、各種共享資源口令及絕大多數(shù)在對話框中出現(xiàn)的口令信息。3、獲取系統(tǒng)信息:包括計算機名、注冊公司、當(dāng)前用戶、系統(tǒng)路徑、操作系統(tǒng)版本、當(dāng)前顯示分辨率、物理及邏輯磁盤信息等多項系統(tǒng)數(shù)據(jù)。4、限制系統(tǒng)功能:包括遠程關(guān)機、遠程重啟計算機、鎖定鼠標(biāo)、鎖定系統(tǒng)熱鍵及鎖定注冊表等多項功能限制。5、遠程文件操作:包括創(chuàng)建、上傳、下載、復(fù)制、傷處文件或目錄、文件壓縮、快速瀏覽文本文件、遠程打開文件(正常方式、最小化、最大化、隱藏方式)等多項文件操作功能。6、注冊表操作:包括對主鍵的瀏覽、
5、增刪、復(fù)制、重命名和對鍵值的讀寫等所有注冊表操作功能。7、發(fā)送信息:以四種常用圖標(biāo)向被控端發(fā)送簡短信息。8、點對點通訊:以聊天室形式同被控端進行在線交談等。實驗過程:一、攻擊1、入侵目標(biāo)主機首先運行G_Client.exe,掃描主機。查找IP地址:在“起始域”編輯框中輸入要查找的IP地址,例如欲搜索IP地址“10.1.13.1”至“10.1.13.255”網(wǎng)段的計算機,應(yīng)將“起始域”設(shè)為“192.168.1”,將“起始地址”和“終止地址”分別設(shè)為“1”和“255”(由于我們是在宿舍做的,IP地址在100120之間),然后點“開始搜索”按鈕,在右邊列表框中顯示檢測到已經(jīng)在網(wǎng)上的計算機的IP地址。
6、從上圖可以看出,搜索結(jié)果中,每個IP前都是ERR。地址前面的“ERR:”表示這臺計算機無法控制。所以,為了能夠控制該計算機,我們就必須要讓其感染冰河木馬。1、遠程連接使用Dos命令:netuseipipc$如下圖所示:2、磁盤映射。本實驗:將目標(biāo)主機的C:盤映射為本地主機上的X:盤如下圖所示-Ini-IniX,101.13.Z1V上的口(I二文件端輯查看也J收藏工具小幫助僧雄后退”0。|A搜索|&文件夾|G,地址也)箴43Q轉(zhuǎn)到文件和文件夾任務(wù)J)創(chuàng)建一個新文件夾嘮將這個文件夾發(fā)和到*Web其它位置我的電腦我的夏檔共享文檔網(wǎng)上鄰居詳細信息DeCppthird新建交件夾DucunenteandS
7、ettangs曼件aaa.batMS-DOS批處理文件1KBServer.e=eMicrosoft(Fl)Win.文件和文件夾任務(wù)J)創(chuàng)建一個新文件夾嘮將這個文件夾發(fā)和到*Web其它位置我的電腦我的夏檔共享文檔網(wǎng)上鄰居詳細信息DeCppthird新建交件夾DucunenteandSettangs曼件aaa.batMS-DOS批處理文件1KBServer.e=:grmDatatextHHDOWS3壓縮文件SS)版批處理文件1KBJLink.lug文本文檔1EEidiyitiHL-232-340mam.cCeoijtcefile1I-Zi28個對象由口1個隱藏對象)1.94ME,;Internet
8、-InixC:XDocLimentsandSettingsSfldministratoinetuseX1B.1.13.214ipc$命令成功完成。C:documentsandSettinHMtdministratoretuseK:.13命令成功完成。C:XDocumentsandSettingsSfldministratoinettimeXX10-1.13-214k10.l.13-214的當(dāng)前時間是2016/6Z29上午04:56命令成功完成。C:DocumentsandSettingsMldiinitFatoFatX10.1.13.21404:56C:XG_Seruer新加了一項作業(yè),其作業(yè)
9、I=1C:XDocumentsandSettingsSfidministvatoi首先,獲取目標(biāo)主機上的系統(tǒng)時間,然后根據(jù)該時間設(shè)置啟動事件。此時,在目標(biāo)主機的Dos界面下,使用at命令,可看到:次命令提示符書錄失和未知的用戶名或錯誤密取C=documentsandSettinsdministr-a.tornetuseS.0.1.13.214ipc$命令成功完成口G=SDocumentsandSettingsAdministra.tornEtuseK=W10.1.13.214C$命令成功完成口G:DocumentaandSettingsAdministratornettimeM0_1_13_2
10、14kxl0_l_13-214的當(dāng)前時間是2016/6/29上午04:56命令成功完成口C:DocumentsandSettingsxdministpatopatX10_1_13_21404:56C:XG_Seruep新加了一項作業(yè),其作業(yè)ID=1C:vDocumentsandettinsfAdministF-atoi*at料表是空的。C:5口cLimsn七sand七七zLng:sWdministya七o產(chǎn).下圖為設(shè)定時間到達之前(即G_Server.exe執(zhí)行之前)的注冊表信息,可以看到在注冊表下的:ersoSotarerosotosrreterso/er2DO3Entenpns.eEdit
11、ion-VM-aireWofkstatiDnW5:via見mi簞m虐匚cwitrrtt:H)j:j.白贄:力啟Sij門邕cS亡i回圓華事立件iEJ端強的收窟丑聞幫助電mui-ai立件iEJ端強的收窟丑聞幫助電mui-aiE-田IPCdtiEEPUS-K6iulklLntfltOpiLriAU-ASi-diltP4LlCL4EEkinstall_J|RunOnuEir二HuF)S3-Y3CB1國二S-ik-oj-SkK-dDll由,:-lk*llExIbmlwritt:jjjtLwllC4np.l.ibLLLty由:二JELillSu叩-_JELllS牡“iz口hjaeiD電IwL。由d0-2J
12、SididQ國二J5tdviEFS_J|Il?rhe.yM)m4hiQ.j50rfi*1M.圉FFliSWwEMS*勺搏刃|i=i!2|4R0IfiKlBvuu-hiudEaLLluth|:SW車2EII.L303DKWfrEsAibnli文仲不EUI.L-n-3n150*5”FnLbb.JtttA14fiRLjlCWM主仲急葡LLTEHIO15:fS支用國SBI.L-n-1!D14F向生,HET.金MSiU畝電程中KM-T-lJa:3:1!%F件!fwIMtlLEJ;F叁始.Jfflj坤潤WiIkfiB*ti,lmu上圖為查看到的遠程屏幕,遠程屏幕如下圖所示2、彈窗、發(fā)送消息-VMwareW
13、orkstation理機M)分里COSOW翊助H)M扁Wh惻sServer2003Erito-pri.X口直口!曰F1WinJowsXPPixjfrs3Qw*l*冰河匚回XIQ幅V2.2EDARESIIHJS文件FE設(shè)置齒梢助皿地址113C:BDCijjnenJ加曲廈國,&鷺睛洋細后息重用圣遺今于蜂移劫建T文件品詢瞳十克件端韜這?豆門生布:地址113C:BDCijjnenJ加曲廈國,&鷺睛洋細后息重用圣遺今于蜂移劫建T文件品詢瞳十克件端韜這?豆門生布:j以口子郃件由貳文件X肝除窗子交群篁件和直伴來任落西口口iTI皆前雌:1192.166.1.11-比口:pE2e訪問口令:尸藐K3文件管建器地命
14、守拴制白厘用S其它位皆臭面我的文趨共享文措雌的胞網(wǎng)和居Q口專類病F匚Q控制類麻號黃在屏幕發(fā)送宿忌進逞后坦考口自理東經(jīng)控制鼠標(biāo)在利,耳它近制豆嚼茶品管40文件類命令+Q性用去諛寫中k1說置類命令端口標(biāo)題:源茄嬴一信息正文出山World市圖標(biāo)類型:圖1二三盤韶鋰:麗真;發(fā)送信忘我功里寫上要發(fā)送的信息,按“預(yù)“發(fā)送信息”主要是讓操作者選擇合適的“圖標(biāo)類型”和“按鈕類型”,然后在“信息正文覽”覺得滿意后點“發(fā)送里寫上要發(fā)送的信息,按“預(yù)3、進程控制irdowsXPProfionalWorlcstJtkin“進程管理”是“查看進程”,了解遠程計算機正在使用的進程,便于控制。4、修改服務(wù)器配置5、冰河信使
15、端油河V2.2QARKSUN專版文件F強EE】殳置0玷劃EH回片回:+:+哈哈.一害怕了吧!!丁發(fā)送國關(guān)閉ECica,捧制類第用-Q.網(wǎng)絡(luò)類命WQ,文件類命9-Ci.注冊表讀寫C1,設(shè)置類命名西岫.立1則刊表中臉拌怕六nne?以上是一些常用的控制命令,不過,冰河的強大功能當(dāng)然遠遠不盡于此,在此就不一實現(xiàn)了。各類控制命令如下圖所示:1文件哲理器命全控制吉-萬口吟婁晶今葛映仁總展I號歷史口,當(dāng)擊感啟錄,控制類命令-西的茶命令O即矮!00的I除在享,網(wǎng)略歸后于:件條殖*文中閔1克文怦查找文件主縮文件復(fù)制一工:件1111即O工,:件打開目學(xué)tUBJ二、防范與清除冰河當(dāng)冰河的G_SErver.exe這個
16、服務(wù)端程序在計算機上運行時,它不會有任何提示,而是在windows/system下建立應(yīng)用程序“kernel32.eXe和“Sysexplr.eXe若試圖手工刪除,“Sysexplr.exe”可以刪除,但是刪除“kernel32.exe”時提示“無法刪除kernel32.exe:指定文件正在被windows使用”,按下“Ctrl+Alt+Del”時也不可能找到“kernel32.exe”,先不管它,重新啟動系統(tǒng),一查找,“Sysexplr.exe”一定會又出來的??梢栽诩僁OS模式下手工刪除掉這兩個文件。再次重新啟動,你猜發(fā)生了什么?再也進不去Windows系統(tǒng)了。重裝系統(tǒng)后,再次運行G_Server.exe這個服務(wù)端程序,在“開始”一“運行”中輸入“regedit”打開注冊表,在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下面發(fā)現(xiàn)=C:WINDOWSSYSTEMKernel32.exe”的存在,說明它是每次啟動自動執(zhí)行的。下圖為卸載冰河木馬前的注冊表信息:iSarvBr2003E曲甲由EditiDn-Workstation
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- 《近代燃燒技術(shù)》課件
- 甲下外生骨疣的臨床護理
- 株紫丁香課件趙秀梅
- 孕期手腳心發(fā)紅的健康宣教
- 《改革進入新時期》課件
- 股份增值合同三篇
- 鐵路機車車輛修造合同三篇
- 健身運動APP相關(guān)行業(yè)投資規(guī)劃報告范本
- ALN-BN復(fù)合陶瓷相關(guān)行業(yè)投資規(guī)劃報告
- 保障性住房管理服務(wù)相關(guān)行業(yè)投資規(guī)劃報告
- 出租房屋治安管理責(zé)任書
- 湖南師范大學(xué)法學(xué)院刑事訴訟期末考試
- 江津慈云首屆生態(tài)年豬文化節(jié)活動安排
- 2023國家開放大學(xué)《大數(shù)據(jù)技術(shù)導(dǎo)論》實驗報告1-5
- 廈門市業(yè)主大會及業(yè)主委員會服務(wù)手冊
- 梗阻性黃疸的診斷
- 招標(biāo)代理機構(gòu)優(yōu)惠條件及服務(wù)承諾
- 肩袖損傷病人的護理查房
- 化工原理課程設(shè)計-設(shè)計直管氣流干燥器,以干燥聚氯乙烯樹脂濕物料
- 人教版數(shù)學(xué)五年級上冊全冊校本作業(yè)設(shè)計
- GB/T 37771-2019煤礦綜采工作面總體配套導(dǎo)則
評論
0/150
提交評論