2023年冰河木馬實(shí)驗(yàn)報(bào)告

實(shí)驗(yàn)報(bào)告實(shí)驗(yàn)名稱網(wǎng)絡(luò)攻防綜合實(shí)驗(yàn)指導(dǎo)教師李曙紅實(shí)驗(yàn)類型設(shè)計(jì)實(shí)驗(yàn)學(xué)時(shí)2實(shí)驗(yàn)時(shí)間20２３.0６.29實(shí)驗(yàn)?zāi)康?．?本次實(shí)驗(yàn)為考核算驗(yàn)，需要獨(dú)立設(shè)計(jì)完畢一次網(wǎng)絡(luò)攻防的綜合實(shí)驗(yàn)。設(shè)計(jì)的實(shí)驗(yàn)中要涉及以下幾個(gè)方面內(nèi)容:(1) 構(gòu)建一個(gè)具有漏洞的服務(wù)器,運(yùn)用漏洞對(duì)服務(wù)器進(jìn)行入侵或襲擊;(2）?運(yùn)用網(wǎng)絡(luò)安全工具或設(shè)備對(duì)入侵與襲擊進(jìn)行檢測(cè);(3) 能有效的對(duì)漏洞進(jìn)行修補(bǔ)，提高系統(tǒng)的安全性,避免同種襲擊的威脅。２網(wǎng)絡(luò)攻防綜合實(shí)驗(yàn)將從實(shí)驗(yàn)設(shè)計(jì)、實(shí)驗(yàn)過程、實(shí)驗(yàn)結(jié)果、實(shí)驗(yàn)報(bào)告幾個(gè)方面,對(duì)學(xué)生的綜合實(shí)驗(yàn)?zāi)芰M(jìn)行考核與評(píng)分,具體評(píng)分標(biāo)準(zhǔn)參考“評(píng)分標(biāo)準(zhǔn)”文檔。二、實(shí)驗(yàn)規(guī)定２人一組,規(guī)定每人分工不同，例如一人負(fù)責(zé)網(wǎng)絡(luò)襲擊,一個(gè)負(fù)責(zé)網(wǎng)絡(luò)防范。在實(shí)驗(yàn)過程和實(shí)驗(yàn)報(bào)告中要體現(xiàn)兩人的不同分工。每組獨(dú)立設(shè)計(jì)完畢實(shí)驗(yàn)，不能雷同。實(shí)驗(yàn)過程中以下三個(gè)階段需上機(jī)演示給指導(dǎo)老師察看：完畢網(wǎng)絡(luò)襲擊、檢測(cè)到襲擊、完畢網(wǎng)絡(luò)防范。完畢實(shí)驗(yàn)報(bào)告,能解釋在實(shí)驗(yàn)使用到的技術(shù)或工具的基本原理。三、實(shí)驗(yàn)環(huán)境可以自由使用信息安全實(shí)驗(yàn)室的PC機(jī)，局域網(wǎng),Ｌinｕx服務(wù)器,Wｉnｄows服務(wù)器,防火墻，入侵檢測(cè)系統(tǒng)等。四、實(shí)驗(yàn)設(shè)計(jì)方案、實(shí)驗(yàn)過程及實(shí)驗(yàn)結(jié)果作為一款流行的遠(yuǎn)程控制工具，在面世的初期，冰河就曾經(jīng)以其簡(jiǎn)樸的操作方法和強(qiáng)大的控制力令人膽寒，可以說達(dá)成了談冰色變的地步。鑒于此，我們就選用冰河完畢本次實(shí)驗(yàn)。若要使用冰河進(jìn)行襲擊，則冰河的安裝（是目的主機(jī)感染冰河)是一方面必須要做的。冰河控制工具中有三個(gè)文獻(xiàn)：Ｒeadme.ｔxt，Ｇ＿Ｃlient.exe，以及G_Server．eｘe。Readme．txt簡(jiǎn)樸介紹冰河的使用。Ｇ＿Ｃlienｔ.exe是監(jiān)控端執(zhí)行程序,可以用于監(jiān)控遠(yuǎn)程計(jì)算機(jī)和配置服務(wù)器。G_Seｒver.eｘe是被監(jiān)控端后臺(tái)監(jiān)控程序（運(yùn)營(yíng)一次即自動(dòng)安裝,開機(jī)自啟動(dòng)，可任意改名,運(yùn)營(yíng)時(shí)無任何提醒）。運(yùn)營(yíng)G＿Server.ｅxe后,該服務(wù)端程序直接進(jìn)入內(nèi)存,并把感染機(jī)的762６端口開放。而使用冰河客戶端軟件（G_Cｌｉent．eｘe）的計(jì)算機(jī)可以對(duì)感染機(jī)進(jìn)行遠(yuǎn)程控制。冰河木馬的使用：自動(dòng)跟蹤目的機(jī)屏幕變化,同時(shí)可以完全模擬鍵盤及鼠標(biāo)輸入，即在同步被控端屏幕變化的同時(shí)，監(jiān)控端的一切鍵盤及鼠標(biāo)操作將反映在被控端屏幕(局域網(wǎng)合用）。記錄各種口令信息：涉及開機(jī)口令、屏?？诹?、各種共享資源口令及絕大多數(shù)在對(duì)話框中出現(xiàn)的口令信息。獲取系統(tǒng)信息:涉及計(jì)算機(jī)名、注冊(cè)公司、當(dāng)前用戶、系統(tǒng)途徑、操作系統(tǒng)版本、當(dāng)前顯示分辨率、物理及邏輯磁盤信息等多項(xiàng)系統(tǒng)數(shù)據(jù)。限制系統(tǒng)功能:涉及遠(yuǎn)程關(guān)機(jī)、遠(yuǎn)程重啟計(jì)算機(jī)、鎖定鼠標(biāo)、鎖定系統(tǒng)熱鍵及鎖定注冊(cè)表等多項(xiàng)功能限制。遠(yuǎn)程文獻(xiàn)操作:涉及創(chuàng)建、上傳、下載、復(fù)制、傷處文獻(xiàn)或目錄、文獻(xiàn)壓縮、快速瀏覽文本文獻(xiàn)、遠(yuǎn)程打開文獻(xiàn)(正常方式、最小化、最大化、隱藏方式）等多項(xiàng)文獻(xiàn)操作功能。注冊(cè)表操作:涉及對(duì)主鍵的瀏覽、增刪、復(fù)制、重命名和對(duì)鍵值的讀寫等所有注冊(cè)表操作功能。發(fā)送信息:以四種常用圖標(biāo)向被控端發(fā)送簡(jiǎn)短信息。點(diǎn)對(duì)點(diǎn)通訊：以聊天室形式同被控端進(jìn)行在線交談等。實(shí)驗(yàn)過程:一、襲擊入侵目的主機(jī)一方面運(yùn)營(yíng)G_Clｉeｎt.eｘe，掃描主機(jī)。查找ＩP地址:在“起始域”編輯框中輸入要查找的IＰ地址，例如欲搜索IP地址“1０.１．1３.１”至“10.1.１3.．2５5”網(wǎng)段的計(jì)算機(jī)，應(yīng)將“起始域”設(shè)為“192．1６8.1”，將“起始地址”和“終止地址”分別設(shè)為“1”和“2５5從上圖可以看出,搜索結(jié)果中，每個(gè)IP前都是ＥRR。地址前面的“ERR:”表達(dá)這臺(tái)計(jì)算機(jī)無法控制。所以，為了可以控制該計(jì)算機(jī)，我們就必須要讓其感染冰河木馬。遠(yuǎn)程連接使用Ｄｏs命令：netuseHYPEＲLＩNＫ"＼\\\ip＼＼ipc＄"＼\iｐ＼iｐc$如下圖所示:磁盤映射。本實(shí)驗(yàn):將目的主機(jī)的C:盤映射為本地主機(jī)上的X:盤如下圖所示將本地主機(jī)上的Ｇ_Servｅｒ.exe拷貝到目的主機(jī)的磁盤中，并使其自動(dòng)運(yùn)營(yíng)。如下圖所示:上圖中,目的主機(jī)的C盤中沒有Ｇ＿Seｒｖeｒ．exe程序存在。此時(shí)，目的主機(jī)的C盤中已存在冰河的G_Sｅrver.ｅxe程序，使用Doｓ命令添加啟動(dòng)事件,如下圖所示：一方面，獲取目的主機(jī)上的系統(tǒng)時(shí)間，然后根據(jù)該時(shí)間設(shè)立啟動(dòng)事件。此時(shí),在目的主機(jī)的Dos界面下,使用ａt(yī)命令，可看到:下圖為設(shè)定期間到達(dá)之前(即Ｇ_Ｓerｖer．ｅｘｅ執(zhí)行之前）的注冊(cè)表信息，可以看到在注冊(cè)表下的：HKEY_LOCＡL＿M(jìn)ＡCHINE＼Sｏｆtｗarｅ＼Ｍicroｓoft＼Wｉndoｗs\CuｒrentVerｓiｏn\Ｒun，其默認(rèn)值并無任何值。當(dāng)目的主機(jī)的系統(tǒng)時(shí)間到達(dá)設(shè)定期間之后,G＿Server.exe程序自動(dòng)啟動(dòng)，且無任何提醒。從上圖可以看到，HKEY_LOCＡL_ＭACHIＮE\Softwａｒｅ\Ｍicroｓoft\Winｄows\ＣurｒｅntVersion\Run的默認(rèn)值發(fā)生了改變。變成了：Ｃ:\\WIＮDOWS\\SＹSTEＭ\＼Ｋernel３2.exｅ這就說明冰河木馬安裝成功，擁有Ｇ_Cliｅnｔ.exe的計(jì)算機(jī)都可以對(duì)此計(jì)算機(jī)進(jìn)行控制了。此時(shí)，再次使用G_Ｃｌｉent.exｅ搜索計(jì)算機(jī),可得結(jié)果如下圖所示:從搜索結(jié)果可以看到,我們剛安裝了冰河木馬的計(jì)算機(jī)（其IＰ：1０.1.１３.214）的ＩP地址前變成了“OK：”,而不是之前的“ERR:”下面對(duì)該計(jì)算機(jī)進(jìn)行連接控制：上圖顯示，連接失敗了，為什么呢?其實(shí)因素很簡(jiǎn)樸,冰河木馬是訪問口令的，且不同版本的訪問口令不盡相同，本實(shí)驗(yàn)中，我們使用的是冰河V2.2版,其訪問口令是0５１８197７，當(dāng)我們?cè)谠L問口令一欄輸入該口令（或者右擊“文獻(xiàn)管理器”中的該IP，“修改口令”），并點(diǎn)擊應(yīng)用,即可連接成功。連接成功了，我們就可以在“命令控制臺(tái)”下對(duì)該計(jì)算機(jī)進(jìn)行相關(guān)的控制操作了。比如說：１、屏幕控制。圖像格式有ＢMP和JEPＧ兩個(gè)選項(xiàng)，建議你選JEPG格式,由于它比較小,便于網(wǎng)絡(luò)傳輸?！皥D像色深”第一格為單色,第二格為16色,第三格為２5６色，依此類推?！皥D像品質(zhì)”重要反映的是圖像的清楚度。按“擬定”按鈕后便出現(xiàn)遠(yuǎn)程計(jì)算機(jī)的當(dāng)前屏幕內(nèi)容。設(shè)立相關(guān)屬性上圖為查看到的遠(yuǎn)程屏幕,遠(yuǎn)程屏幕如下圖所示2、彈窗、發(fā)送消息“發(fā)送信息”重要是讓操作者選擇合適的“圖標(biāo)類型”和“按鈕類型”，然后在“信息正文”里寫上要發(fā)送的信息,按“預(yù)覽”覺得滿意后點(diǎn)“發(fā)送”即可。3、進(jìn)程控制“進(jìn)程管理”是“查看進(jìn)程”,了解遠(yuǎn)程計(jì)算機(jī)正在使用的進(jìn)程，便于控制。4、修改服務(wù)器配置冰河信使以上是一些常用的控制命令,但是，冰河的強(qiáng)大功能當(dāng)然遠(yuǎn)遠(yuǎn)不盡于此,在此就不一一實(shí)現(xiàn)了。各類控制命令如下圖所示:二、防范與清除冰河當(dāng)冰河的G_ＳErver.exe這個(gè)服務(wù)端程序在計(jì)算機(jī)上運(yùn)營(yíng)時(shí),它不會(huì)有任何提醒,而是在windows／ｓystem下建立應(yīng)用程序“kernｅl32.exe”和“Syｓexplr.exe”。若試圖手工刪除，“Sｙsexｐlｒ.exe”可以刪除，但是刪除“keｒneｌ32.exe”時(shí)提醒“無法刪除ｋernel32.eｘe:指定文獻(xiàn)正在被wｉndowｓ使用”，按下“Ｃｔrl+Alt＋Dｅｌ”時(shí)也不也許找到“kerｎel32.exe”,先不管它,重新啟動(dòng)系統(tǒng),一查找，“Sysｅxｐlｒ.ｅxｅ”一定會(huì)又出來的?？梢栽诩僁OS模式下手工刪除掉這兩個(gè)文獻(xiàn)。再次重新啟動(dòng)，你猜發(fā)生了什么？再也進(jìn)不去Ｗｉnｄowｓ系統(tǒng)了。重裝系統(tǒng)后,再次運(yùn)營(yíng)G_Servｅr.exe這個(gè)服務(wù)端程序,在“開始”→“運(yùn)營(yíng)”中輸入“rｅgedｉt”打開注冊(cè)表,在HKEY_ＬOＣAＬ_MACHＩＮＥ\Sｏfｔwaｒe＼Miｃrｏsoｆt\Wiｎdowｓ\CuｒｒeｎｔVersion\Ruｎ下面發(fā)現(xiàn)＠="C:\＼WINDOＷS＼＼SYSTEM\\Kｅｒｎel32.eｘe"的存在,說明它是每次啟動(dòng)自動(dòng)執(zhí)行的。下圖為卸載冰河木馬前的注冊(cè)表信息：卸載清除：1、襲擊你的主機(jī)良心發(fā)現(xiàn),遠(yuǎn)程把你機(jī)器上的冰河木馬卸載掉。環(huán)節(jié)如下圖:2、自己動(dòng)手，豐衣足食。環(huán)節(jié)如下：下圖為清除冰河木馬之后的注冊(cè)表信息：五、實(shí)驗(yàn)小結(jié)(涉及問題和解決方法、心得體會(huì)、應(yīng)用網(wǎng)絡(luò)安全原理對(duì)實(shí)驗(yàn)中的現(xiàn)象與問題進(jìn)行解釋等）本節(jié)實(shí)驗(yàn)熟悉了ipｃ$空連接命令，熟悉了冰河控制其他計(jì)算機(jī)的過程,對(duì)網(wǎng)絡(luò)入侵有了一定結(jié)識(shí)。通過本次實(shí)驗(yàn)體驗(yàn)了簡(jiǎn)樸的網(wǎng)絡(luò)攻防操作,對(duì)網(wǎng)絡(luò)攻防有了更深的了解,在網(wǎng)絡(luò)襲擊和防護(hù)上有許許多多的方法和技術(shù)，但每一種方法和技術(shù)都有各自的限制和特定使用條件,我們要想攻克一個(gè)系統(tǒng)，