网络渗透攻击实训项目
课程设计主机渗透攻击技术
课程设计主机渗透攻击技术一、课程目标知识目标:1. 理解主机渗透攻击的基本概念、原理及分类;2. 掌握主机渗透攻击中常用的技术方法及其防范措施;3. 了解网络安全法律法规,明确主机渗透攻击的合法与非法边界。
技能目标:1. 能够运用所学知识,分析主机渗透攻击的案例,并提出相应的防范策略;2. 学会使用主机渗透测试工具,进行安全检测与风险评估;3. 能够编写简单的安全防护脚本,提高主机安全防护能力。
情感态度价值观目标:1. 培养学生热爱网络安全,关注主机安全的意识;2. 增强学生的法律意识,使其在学习和实践中遵守网络安全法律法规;3. 培养学生团队协作精神,提高沟通与表达能力。
课程性质分析:本课程为计算机网络安全领域的专业课程,旨在帮助学生掌握主机渗透攻击技术,提高网络安全防护能力。
学生特点分析:学生处于高年级阶段,已具备一定的计算机网络基础和编程能力,对网络安全有较高的兴趣。
教学要求:1. 理论与实践相结合,注重培养学生的实际操作能力;2. 结合实际案例,引导学生分析问题,提出解决方案;3. 强化团队合作,提高学生的沟通与协作能力。
二、教学内容1. 主机渗透攻击概述- 渗透攻击的基本概念与原理- 主机渗透攻击的分类及常见手法2. 主机渗透攻击技术- 口令破解与防范- 漏洞利用与防范- 社会工程学攻击与防范- 网络钓鱼攻击与防范3. 主机渗透测试工具- 常用渗透测试工具的介绍与使用方法- Kali Linux渗透测试平台的使用4. 安全防护策略与措施- 系统安全防护策略- 网络安全防护策略- 应用程序安全防护策略5. 法律法规与道德规范- 网络安全法律法规简介- 主机渗透攻击的合法与非法边界- 道德规范与职业素养6. 实践案例与操作演练- 分析主机渗透攻击案例- 模拟实战环境进行渗透测试- 编写安全防护脚本,提高主机安全防护能力教学内容安排与进度:第1周:主机渗透攻击概述第2周:主机渗透攻击技术(1)第3周:主机渗透攻击技术(2)第4周:主机渗透测试工具第5周:安全防护策略与措施第6周:法律法规与道德规范第7周:实践案例与操作演练教材关联:本教学内容与教材《计算机网络安全》第十二章“主机渗透攻击与防护”相关内容紧密关联,确保学生能够结合课本内容,系统地学习和掌握相关知识。
渗透测试实习报告
随着网络安全形势的日益严峻,渗透测试作为一种重要的安全评估手段,越来越受到企业和组织的重视。
为了提升自身的网络安全防护能力,我于2023年夏季参加了某知名网络安全公司的渗透测试实习项目。
二、实习内容1. 基础知识学习实习初期,我主要学习了网络安全基础知识,包括网络协议、操作系统、数据库、Web安全等。
通过学习,我对网络安全领域有了更全面的认识,为后续的渗透测试工作打下了坚实的基础。
2. 工具使用与实战演练在掌握基础知识后,我开始学习并熟练使用渗透测试工具,如Nmap、Metasploit、Burp Suite等。
同时,我还参加了公司组织的实战演练,通过模拟真实场景,提升了自己的实战能力。
3. 渗透测试项目实施在实习期间,我参与了多个渗透测试项目,包括Web应用渗透测试、移动应用渗透测试、物联网设备渗透测试等。
具体工作内容包括:(1)信息收集:通过搜索引擎、DNS解析、子域名枚举等手段,收集目标系统的基本信息。
(2)漏洞扫描:利用Nmap、Burp Suite等工具,对目标系统进行漏洞扫描,发现潜在的安全风险。
(3)漏洞利用:针对发现的漏洞,尝试利用相应的工具或编写脚本进行漏洞利用,获取目标系统权限。
(4)权限提升:在获得一定权限后,尝试提升权限,获取更高的系统访问权限。
(5)内网渗透:通过横向移动、密码破解、漏洞利用等手段,实现对目标内网的渗透。
(6)安全报告撰写:对渗透测试过程进行总结,撰写详细的安全报告,提出整改建议。
1. 技能提升:通过实习,我熟练掌握了渗透测试相关工具的使用,提升了实战能力。
2. 思维拓展:在渗透测试过程中,我学会了如何从不同的角度思考问题,拓展了自己的思维方式。
3. 团队协作:在项目实施过程中,我与团队成员紧密合作,共同完成了多个渗透测试项目。
4. 职业规划:通过实习,我对网络安全行业有了更深入的了解,为自己的职业规划提供了明确的方向。
四、总结本次渗透测试实习让我受益匪浅,不仅提升了我的专业技能,还让我认识到网络安全的重要性。
网络攻击实验报告
一、实验背景随着互联网技术的飞速发展,网络安全问题日益突出。
为了提高网络安全意识,掌握网络安全防护技能,我们进行了一次网络攻击实验。
本次实验旨在了解网络攻击的基本原理,熟悉常见的网络攻击手段,以及掌握相应的防御措施。
二、实验目的1. 理解网络攻击的基本原理和常见手段。
2. 掌握网络攻击实验的基本流程。
3. 熟悉网络安全防护技术,提高网络安全意识。
三、实验环境1. 操作系统:Windows 102. 网络设备:路由器、交换机、计算机3. 实验软件:Wireshark、Nmap、Metasploit等四、实验内容1. 漏洞扫描(1)使用Nmap扫描目标主机,发现潜在的安全漏洞。
(2)分析扫描结果,了解目标主机的开放端口和服务信息。
2. 拒绝服务攻击(DoS)(1)使用Metasploit生成大量的伪造请求,对目标主机进行DoS攻击。
(2)观察目标主机响应时间,分析攻击效果。
3. 口令破解(1)使用Hydra工具尝试破解目标主机的登录口令。
(2)观察破解过程,了解口令破解的原理。
4. 恶意代码传播(1)利用网络共享传播恶意代码,感染目标主机。
(2)分析恶意代码的传播过程,了解恶意代码的特点。
5. 数据窃取(1)使用网络监听工具,窃取目标主机传输的数据。
(2)分析窃取到的数据,了解数据窃取的原理。
五、实验结果与分析1. 漏洞扫描通过Nmap扫描,我们成功发现目标主机的开放端口和服务信息,发现了一些潜在的安全漏洞。
这为我们进行后续的攻击实验提供了依据。
2. 拒绝服务攻击(DoS)我们使用Metasploit生成了大量的伪造请求,对目标主机进行了DoS攻击。
观察目标主机的响应时间,发现攻击效果明显,目标主机无法正常响应服务。
3. 口令破解我们尝试破解目标主机的登录口令,使用Hydra工具进行暴力破解。
经过一段时间,成功破解了目标主机的口令。
4. 恶意代码传播我们利用网络共享传播恶意代码,成功感染了目标主机。
渗透 实验报告
渗透实验报告渗透实验报告一、引言渗透测试是一种通过模拟黑客攻击来评估系统安全性的方法。
本实验旨在通过渗透测试手段,评估目标系统的安全性,并提供相应的改进建议。
二、目标系统介绍目标系统为一家虚拟银行的网络系统,包括前端网站、后台数据库和服务器。
该系统用于处理用户的银行业务,包括转账、存款、查询等。
三、信息收集在进行渗透测试之前,我们首先进行了信息收集。
通过搜索引擎、社交媒体和WHOIS查询等方式,我们获取了目标系统的IP地址、域名、服务器类型等信息。
四、漏洞扫描基于信息收集的结果,我们使用漏洞扫描工具对目标系统进行了扫描。
扫描结果显示,目标系统存在以下漏洞:1. SQL注入漏洞:在用户登录页面的用户名和密码输入框中,存在未过滤的特殊字符,攻击者可以通过构造恶意的输入,绕过身份验证,获取敏感信息。
2. XSS漏洞:目标系统的前端网站存在未过滤的用户输入,攻击者可以通过插入恶意脚本,获取用户的敏感信息或进行恶意操作。
3. 未授权访问漏洞:目标系统的某些文件和目录没有正确设置访问权限,攻击者可以直接访问敏感文件,获取系统信息或进行恶意操作。
五、渗透测试基于漏洞扫描结果,我们进行了渗透测试。
具体步骤如下:1. SQL注入攻击:我们使用常见的SQL注入技术,尝试绕过登录页面的身份验证。
通过构造恶意的SQL语句,我们成功绕过了身份验证,获取了管理员账户的用户名和密码。
2. XSS攻击:我们在目标系统的某个输入框中插入了恶意脚本,并触发了XSS 漏洞。
通过该漏洞,我们成功获取了用户的Cookie信息。
3. 未授权访问攻击:我们发现目标系统的某个目录没有正确设置访问权限。
通过直接访问该目录,我们成功获取了系统的配置文件,包括数据库的用户名和密码。
六、结果分析通过渗透测试,我们发现目标系统存在严重的安全漏洞,攻击者可以通过利用这些漏洞,获取用户的敏感信息、篡改数据甚至控制系统。
七、改进建议基于测试结果,我们提出以下改进建议:1. 修复SQL注入漏洞:在用户输入验证的过程中,应该对特殊字符进行过滤和转义,防止恶意SQL语句的注入。
实验六_网络攻击与防范
《网络攻击与防范》实验报告(2)单击“下一步”按钮·进人如图 4-2 所示的“禁止功能选项”设定界面.根据需要进行设定。
例如。
如果选中“禁止右键菜单”复选框.当运行了该病毒后.右击时将无法弹出快捷菜单。
图 4-2 设置“禁止功能选项”(3)单击“下一步”按钮.进入如图 4-3 所示的“病毒提示对话框”设定界面时。
根据需要设置有关开机时病毒的执行情况。
当选中“设置开机提示对话框”复选框.并设置了提示框标题和内容等后,相关信息将以对话框方式在开机时自动显示图4-3 设置开机时病毒的执行情况(4)单击“下一步”按钮,进入如图 4-4 所示的“病毒传播选项”设定界面,根据需要进行设定。
当选中“通过电子邮件进行自动传播(蠕虫)”复选框时.病毒可以向指定数量的用户发送垃圾邮件。
图4-3 设置开机时病毒的执行情况下一步夏上一步图4-4“病毒传播选项”设定界面(5)单击“下一步”按钮,进入“IE 修改选项”设定界面,根据需要进行设定。
注意.当选中“设置默认主页”复选框后,会弹出“设置主页”对话框,需要读者输人要修改的IE 浏览器主页地址(即每次打开IE 浏览器时默认打开的主页地址).如图 4-5 所示图4-5设置IE浏览器修改选项(6)单击“下一步”按钮,在出现的如图 4-6 所示的对话框中选择所生成的脚本病毒存放的位置,单击“开始制造”按钮,生成病毒文件。
图4-6选择所生成的脚本病毒存放的位置此时,可看到相应路径下,已经生成了脚本病毒文件3.2感染病毒并观察感染后的系统变化情况(1)将生成的脚本病毒文件置于虚拟机中,在其上双击使之运行。
为保证完整准确地查看病毒的感染效果.可重启已经感染了病毒的虚拟机系统。
然后,根据病毒文件生成时的设置,观察系统感染了病毒后的表现情况。
主要操作步骤如下。
(2)观察系统文件夹下的异常变化,可以发现,在 C:\ Windows,C:\Windows\system32下多了不明来源的脚本文件。
网络攻击的实验报告
一、实验背景随着信息技术的飞速发展,网络已经成为人们工作和生活中不可或缺的一部分。
然而,随之而来的网络安全问题也日益凸显。
为了提高对网络攻击的认识和防御能力,我们进行了本次网络攻击实验。
通过模拟网络攻击的过程,了解攻击者的攻击手段,以及防御网络攻击的方法。
二、实验目的1. 理解网络攻击的基本原理和常用手段。
2. 掌握网络安全防御的基本策略和工具。
3. 提高网络安全意识和自我保护能力。
三、实验环境1. 操作系统:Windows 102. 网络设备:路由器、交换机、PC机3. 软件环境:Wireshark、Nmap、Metasploit等网络安全工具四、实验步骤1. 信息收集利用Nmap扫描目标主机,获取目标主机的开放端口、操作系统等信息。
通过Wireshark抓取目标主机与网络之间的数据包,分析其网络流量。
2. 漏洞扫描利用Nmap对目标主机进行漏洞扫描,找出目标主机存在的安全漏洞。
3. 攻击模拟根据漏洞扫描结果,选择合适的攻击手段对目标主机进行攻击。
以下列举几种常见的网络攻击手段:(1)端口扫描攻击:通过扫描目标主机的开放端口,获取目标主机上的服务信息。
(2)拒绝服务攻击(DoS):通过大量请求占用目标主机资源,使目标主机无法正常响应。
(3)密码破解攻击:通过暴力破解、字典攻击等方法获取目标主机的登录凭证。
(4)木马攻击:通过植入木马程序,控制目标主机,获取敏感信息。
4. 攻击防御针对攻击模拟过程中发现的安全漏洞,采取相应的防御措施,如:(1)关闭不必要的开放端口,减少攻击面。
(2)更新操作系统和应用程序,修复已知漏洞。
(3)设置强密码,提高登录凭证的安全性。
(4)安装防火墙、入侵检测系统等安全设备,及时发现和阻止攻击。
五、实验结果与分析1. 通过信息收集,我们发现目标主机存在多个开放端口,其中包含Web服务、邮件服务、数据库服务等。
2. 漏洞扫描结果显示,目标主机存在多个安全漏洞,如:Web服务漏洞、数据库服务漏洞等。
渗透检测实训心得
渗透检测实训心得一、实训背景本次实训是我在大学期间所参加的一次渗透检测实训,旨在通过实践操作,深入了解网络安全和渗透测试的相关知识和技能。
二、实训内容1. 理论学习在开始实践之前,我们先进行了一些理论学习,包括网络安全基础、渗透测试流程、常见漏洞类型和利用方法等。
通过这些学习,我们对渗透测试有了更深入的了解,并为后续实践打下了基础。
2. 实践操作接下来是最重要的一部分——实践操作。
我们使用了多种工具进行渗透测试,包括Nmap、Metasploit、Burp Suite等。
通过对目标系统进行扫描和漏洞利用,我们成功地获取了管理员权限,并获取了目标系统中的敏感信息。
3. 报告撰写完成实践后,我们需要撰写报告。
在报告中,我们详细记录了整个渗透测试过程中所采用的工具和方法,并对发现的漏洞进行了分析和总结。
这个过程不仅帮助我们深化对渗透测试知识的理解,还提高了我们的报告撰写能力。
三、心得体会1. 实践是最重要的通过这次实训,我深刻认识到实践的重要性。
虽然理论知识很重要,但只有通过实践操作才能真正掌握和应用这些知识。
在实践中,我们不仅能够更深入地理解渗透测试的流程和方法,还能够发现一些理论上不容易想到的问题。
2. 团队合作很关键在实践过程中,我们需要进行团队合作。
每个人都有自己的专长和优势,只有充分发挥团队成员的优势才能取得最好的效果。
同时,在团队合作中,我们也需要学会有效沟通和协调。
3. 报告撰写也很重要完成实践后,我们需要撰写报告。
这个过程不仅是对整个实践过程的总结和梳理,还是对我们报告撰写能力的锻炼。
一个好的报告应该清晰明了、详尽全面,并且具备可读性。
四、总结通过这次渗透检测实训,我不仅学到了很多渗透测试相关知识和技能,还提高了自己的团队协作和报告撰写能力。
我相信这些经验和技能将对我未来的职业发展有很大帮助。
网络渗透攻击实验报告
一、实验目的本次实验旨在通过模拟网络渗透攻击,了解网络安全的基本概念、攻击手段和防御措施,提高对网络安全问题的认识,增强网络安全防护意识。
通过实验,掌握以下内容:1. 网络渗透攻击的基本概念和常用方法;2. 常见网络安全漏洞及其利用方法;3. 网络安全防护的基本措施。
二、实验环境1. 操作系统:Windows 102. 虚拟机软件:VMware Workstation 153. 目标系统:Metasploitable2(靶机)4. 攻击工具:Kali Linux(攻击者系统)三、实验步骤1. 安装虚拟机软件,创建新的虚拟机,并配置操作系统。
2. 下载并安装Metasploitable2靶机,将其设置为虚拟机。
3. 在Kali Linux系统中,配置网络,使其与Metasploitable2靶机处于同一网络环境中。
4. 使用Nmap扫描Metasploitable2靶机的开放端口,获取目标系统的信息。
5. 根据扫描结果,选择合适的攻击目标,如SSH、FTP等。
6. 利用漏洞利用工具(如Metasploit)对目标系统进行攻击,获取目标系统的控制权。
7. 在目标系统中执行任意命令,获取系统信息,尝试提权。
8. 在攻击过程中,注意观察靶机的防御措施,分析其防御效果。
9. 实验结束后,清理攻击痕迹,关闭实验环境。
四、实验结果与分析1. 扫描结果:通过Nmap扫描,发现Metasploitable2靶机开放了22、21、80等端口,其中22端口为SSH服务,21端口为FTP服务,80端口为HTTP服务。
2. 攻击目标:选择SSH服务进行攻击,利用Metasploit中的Metasploit Framework进行攻击。
3. 攻击过程:使用Metasploit中的msfconsole命令行工具,选择相应的攻击模块,设置攻击参数,如攻击目标IP地址、端口等。
然后执行攻击命令,成功获取目标系统的控制权。
4. 提权:在目标系统中,通过执行系统命令,获取root权限,成功提权。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
安全技术及应用实训报告项目一:网络渗透攻击实训项目学号:09011319姓名:雷超信息技术分院计算机技术机网络技术目录任务1 社会工程学 (1)1.1 “社会工程学”概述 (1)1.2 “社会工程学”特点 (1)1.3“社会工程学”的3个步骤 (1)1.4 知识运用 (1)任务2 木马免杀 (1)2.1 木马免杀概述 (1)2.2 木马免杀原理 (2)2.3 木马免杀的实现步骤 (2)任务3 木马捆绑 (3)3.1 木马捆绑概述 (3)3.2 木马捆绑原理 (3)3.2 实验步骤 (3)任务4 木马植入 (4)4.1 木马植入的方式 (4)4.2 实验步骤 (4)任务5 远程控制 (5)5.1 远程控制的概念 (5)5.2 远程控制原理 (6)5.3 远程控制运用 (6)5.4 实验步骤 (6)任务6 主机发现 (6)6.1 主机发现概述 (6)6.2 主机发现原理 (6)6.3 主机发现的实现 (6)6.4 实验步骤 (7)任务7 端口扫描 (7)7.1 口扫描原理 (7)7.2 实现步骤 (7)任务8 漏洞扫描 (8)8.1 漏洞扫描概述 (8)8.2 漏洞扫描原理 (9)8.3 实现步骤 (9)任务9 缓冲区溢出 (10)9.1 缓冲区溢出概述 (10)9.2 缓冲区溢出原理 (10)9.3 缓冲区溢出危害 (10)任务10 ARP 欺骗 (11)10.1 ARP欺骗定义 (11)10.2 ARP欺骗原理 (11)10.3 ARP命令解释 (12)任务11 网络嗅探 (12)11.1 网络嗅探概述 (12)11.2 网络嗅探原理 (12)11.3 实现步骤 (13)任务1 社会工程学1.1 “社会工程学”概述“社会工程学(Social Engineering)”是一种通过对受害者的心理弱点、本能反应、好奇心、信任和贪婪等心理陷阱,来骗取用户的信任以获取机密信息和系统设置等不公开资料,为黑客攻击和病毒感染创造了有利条件。
1.2 “社会工程学”特点网络安全技术发展到一定程度后,起决定因素的不再是技术问题,而是人。
由于安全产品的技术越来越完善,使用这些技术的人,就成为整个环节上最为脆弱的部分,加上人具有贪婪、自私、好奇和信任等心理弱点,因此通过恰当的方法和方式,入侵者完全可以从相关人员那里获取入侵所需的信息。
“社会工程学”陷阱通常是以交谈、欺骗、假冒或口语等方式,从合法用户那里套取用户系统的秘密。
“社会工程学”并不等同于一般的木马伪装欺骗等攻击手法,“社会工程学”尤其复杂,即使自认为最警惕最小心的人,一样会被高明的“社会工程学”手段损害利益。
“社会工程学”是一种与普通的欺骗和诈骗不同层次的手法,它需要搜集大量的信息针对对方的实际情况来进行相应的心理战术。
从人性及心理的方面来讲,“社会工程学”是一种利用人性的弱点和贪婪等心理表现进行攻击的,是防不胜防的。
1.3“社会工程学”的3个步骤(1) 信息刺探(2) 心理学的应用(3) 反查技术1.4 知识运用(1)黑客渗透视角采用一系列巧妙的手段迅速地骗取了受害者的信任,从受害人哪里获取有用的信息(如管理员登录密码)。
从而为进一步的渗透攻击打开了一个方便之门。
(2)网络运维视角单纯的依靠防火墙并不是最安全的方案,时常对网络进行手工分析也是不可避免的。
同时,网络的安全并不能仅依靠各种工具,人才是网络安全中最重要的一个环节。
任务2 木马免杀2.1 木马免杀概述免杀,也就是反病毒(AntiVirus)与反间谍(AntiSpyware)的对立面,英文为Anti-AntiVirus(简写Virus AV),逐字翻译为“反-反病毒”,我们可以翻译为“反杀毒技术”。
木马免杀可以将其看为一种能使木马避免被杀毒软件查杀的技术。
木马免杀技术的涉猎面非常广,涉及反汇编、逆向工程甚至系统漏洞的发掘等其他顶级黑客技术。
2.2 木马免杀原理(1) 杀毒原理当前杀毒软件对病毒的查杀主要有特征代码法和行为监测法两种。
特征码就是能识别一个程序是病毒的一段不大于64字节的特征串。
特征码定位法分为文件查杀和内存查杀,杀毒软件公司拿到病毒的样本以后,定义一段病毒特征码到病毒库中,然后与扫描的文件比对,如果一致则认为是病毒。
内存查杀则是载入内存后再比对。
行为检测法是新出现的一种定义病毒的方法,它利用的原理是某些特定的病毒会有某些特定的行为来做出是否为病毒的判断。
(2) 木马免杀原理免杀在某种程度上可以说是杀毒软件的对立面。
杀毒软件通过特征码查杀病毒,相应的,通过修改特征码的方法来实现木马免杀。
特征码修改方法:方法一:直接修改特征码的十六进制法●修改方法:把特征码所对应的十六进制改成数字差1或差不多的十六进制。
●适用范围:一定要精确定位特征码所对应的十六进制,修改后一定要测试一下文件能否正常使用。
方法二:修改字符串大小写法●修改方法:如果特征码所对应的内容是字符串,只要把大小字互换一下就可以了。
●适用范围:特征码所对应的内容必须是字符串,否则不能成功。
方法三:等价替换法●修改方法:把特征码所对应的汇编指令,替换成功能类似的指令。
●适用范围:特征码中必须有可以替换的汇编指令,比如JE,JNE 换成JMP等。
方法四:指令顺序调换法●修改方法:把具有特征码的代码顺序互换一下。
●适用范围:具有一定的局限性,代码互换后必须不能影响程序的正常执行。
方法五:通用跳转法●修改方法:把特征码移到零区域(指代码的空隙处)执行后,使用JMP指令无条件调回原代码处继续执行下一条指令。
●适用范围:通用的改法,建议大家要掌握这种改法(在【学习模式】的【应用再现】中使用的就是该方法)。
2.3 木马免杀的实现步骤第一步:用特征码定位器(如MYCCL)来准确定位杀毒软件内存特征码的具体位置。
第二步:用特征码修改工具(如OllyDbg)打开木马文件,定位到特征码所在位置(在第一步完成),找出适合的方法,进行特征码修改。
3.1 木马捆绑概述鉴于木马的危害性,很多人对木马知识还是有一定了解的,这对木马的传播起了一定的抑制作用,这是木马设计者所不愿见到的,因此他们开发了多种功能来伪装木马,其中捆绑文件是常用的手段之一。
这种伪装手段是将木马捆绑到一个安装程序上,当安装程序运行时,木马在用户毫无察觉的情况下,偷偷的进入了系统。
至于被捆绑的文件一般是可执行文件即EXE、COM一类的文件。
3.2 木马捆绑原理为了将两个可执行程序结合在一起,攻击者会使用一个包装工具。
这些工具包括包装工具(Wrappers)、绑定工具(binders)、打包工具(packers)、EXE绑定工具(EXE binders)和EXE结合工具(EXE joiner)等。
下图说明了攻击者如何使用包装程序。
本质上,这些包装器允许攻击者使用任何可执行后门程序,并将其与任何的合法程序结合起来,不用写一行新代码就可以创建一个特洛伊木马。
3.2 实验步骤实验操作前实验主机需从Web资源库下载实验所需木马程序(灰鸽子)、zsoft软件程序(一个即时通信工具)及捆绑工具(学生可以选择使用系统自带的IExpress或专门用于打包的软件)。
「注」实验过程两主机可同步进行,即主机B同时进行木马捆绑,并最终将捆绑的程序发送给主机A,主机A运行打包后的程序。
主机B对主机A进行控制。
主机A1. 生成木马服务器程序2. 捆绑过程实现3. 将打包生成的程序software.exe发送给主机B主机B4. 运行打包程序(1) 主机B运行主机A发送过来的软件程序software.exe。
(2) 观察软件运行过程中出现的现象,能否发现除zsoft软件外其它程序的运行过程。
主机A5. 查看肉鸡是否上线,若上线尝试对其进行控制4.1 木马植入的方式使用木马程序的第一步是将木马的“服务器程序”放到远程被监控主机上,这个过程成为木马的植入过程。
常见的植入过程有如下几种方法。
●邮件收发:将木马的“服务器程序”放入电子邮件中植入到远程主机。
●网页浏览:将木马的“服务器程序”放入网页中植入到远程主机。
●文件下载:将木马的“服务器程序”和被下载的文件捆绑到一起植入到远程主机。
4.2 实验步骤实验操作前实验主机需从Web资源库下载实验所需木马程序(灰鸽子)和恶意网页模板。
方法一:网页木马与木马植入1. 生成网页木马(1) 生成木马的“服务器程序”。
主机A运行“灰鸽子”木马,参考知识点二配置生产木马被控制端安装程序Server_Setup.exe,并将其放置于Internet信息服务(IIS) 默认网站目录“C:\Inetpub\wwwroot”下。
(2) 编写生成网页木马的脚本。
主机A在Web资源库中下载恶意网页模板Trojan.htm,并编辑内容,将脚本第15行“主机IP地址”替换成主机A的IP地址。
主机A将生成的“Trojan.htm”文件保存到“C:\Inetpub\wwwroot”目录下(“C:\Inetpub\wwwroot”为“默认”的网站空间目录),“Trojan.htm”文件就是网页木马程序。
(3) 启动WWW服务。
鼠标右键单击“我的电脑”,选择“管理”。
在“计算机管理(本地)”中选择“服务和应用程序”|“服务”,启动“World Wide Web Publishing Service”服务。
2. 木马的植入主机B启动IE浏览器,访问http://主机A的IP地址/Trojan.htm。
观察实验现象是否有变化。
3. 查看肉鸡是否上线,并尝试进行控制主机A等待“灰鸽子远程控制”程序主界面的“文件管理器”属性页中“文件目录浏览”树中出现“自动上线主机”。
尝试对被控主机B进行远程控制。
4. 主机B验证木马现象(1) 主机B查看任务管理器中有几个“IEXPLORE.EXE”进程。
(2) 主机B查看服务中是否存在名为“Windows XP Vista”的服务。
5. 主机A卸载掉主机B的木马器程序主机A通过使用“灰鸽子远程控制”程序卸载木马的“服务器”程序。
具体做法:选择上线主机,单击“远程控制命令”属性页,选中“系统操作”属性页,单击界面右侧的“卸载服务端”按钮,卸载木马的“服务器”程序。
方法二:缓冲区溢出与木马植入攻击者通过远程缓冲区溢出攻击受害者主机后,得到受害者主机的命令行窗口,在其命令行窗口下使用VBE脚本程序实现木马植入。
下面,由主机B来重点验证利用VBE脚本上传木马的过程。
(远程缓冲区溢出部分内容将在后续知识学习中进行详细介绍)1. 生成下载脚本主机B在命令行下逐条输入如下命令生成木马自动下载脚本down.vbs。
该脚本的作用是:使主机B自动从主机A的WEB服务器上下载Server_Setup.exe到主机B的C:\WINDOWS\system32目录下,并重命名为down.exe,而该程序就是主机A要植入的灰鸽子服务器端。