06_隐藏技术

第六章隐藏技术1/20第六章隐藏技术一、文件传输与文件隐藏技术所谓“隐藏入侵”是指入侵者利用其他计算机代替自己执行扫描、漏洞溢出、连接建立、远程控制等操作。入侵者把这种代替他们完成入侵任务的计算机称之为“肉鸡”，入侵者需要把他们常用的溢出、连接、控制等工具上传到肉鸡中执行，在隐藏技术中就涉及到入侵者如何将文件传输到肉鸡中并隐藏的问题。1、IPC$文件传输IPC$方法可以通过命令行、映射硬盘两种方式进行文件传输。你还记得吗？2、FTP传输这种方式不需要肉鸡开放IPC$共享。一个比较简单的类FTP服务的TFTP服务器，不需要设置账号和权限，是入侵者经常使用的文件传输方法。Tftp全称为TrivialFileTransferProtocol，中文名叫简单文件传输协议。大家可以从它的名称上看出，它适合传送“简单”的文件。与FTP不同的是，它使用的是UDP的69端口，因此它可以穿越许多防火墙。不过它也有缺点，比如传送不可靠、没有密码验证等。虽然如此，它还是非常适合传送小型文件的。演示：利用TFTP传输文件演示：FTP服务器QuickEasyFTPServerV3.9.3的使用附：FTP命令用于连接FTP服务器。（1）连接到ftp服务器例如：连接到ftp服务器lwh.yangtzeu.edu.cn第六章隐藏技术2/20（2）上传文件连接到ftp服务器后，就可以使用put命令上传文件到ftp服务器，使用get命令从ftp服务器下载文件了。例如：将本地主机C盘目录下的muma.exe文件上传到ftp服务器的根目录中。（3）下载文件例如：从ftp服务器下载当前目录中的文件muma.exe，下载到本地d盘（4）使用命令bye或quit中断连接或退出FTP第六章隐藏技术3/203、打包传输入侵者可以将常用的入侵工具打包到传输到肉鸡中。不过，如果要在肉鸡中将RAR、ZIP格式的压缩包解压，入侵者就需要使用命令行下的RAR、ZIP解压工具。命令行下的压缩工具----rarx300。下载rarx300后，自解压出rar文件夹，rar文件夹中的rar32.exe才是真正用来压缩和解压缩的程序。压缩命令：rar32a生成的rar压缩文件预压缩的文件或文件夹解压命令：rar32x要解压的rar文件解压后存放路径例如：rar32ac:\hack.rarc:\hack表示将c盘中的hack文件夹打包成hack.rar。rar32xc:\hack.rard:\tools\表示将C盘中的压缩文件hack.rar解压到d盘的tools文件夹中。其中，tools文件夹并不用事先建立，但不要忘记tools后面的“\”。4、文件隐藏入侵者将工具传到肉鸡上后，还需要使用“文件隐藏”技术把文件长期保留在肉鸡上。入侵者如何隐藏文件呢？（1）简单隐藏右键单击要隐藏的文件夹，再点击“属性”，在属性中勾选“隐藏”。或者使用命令：attrib+h文件此方法只有菜鸟为之，当然，也只能隐瞒菜鸟。注意：打开注册表编辑器，找到HKEY_LOCAL_MACHINE＼Software＼Microsoft＼Windows＼CurrentVersion＼explorer＼Advanced＼Folder＼Hidden＼SHOWALL分支，然后在右边的窗口中双击CheckedValue键值项，将它的键值修改为“0”，如果没有该健值的话，可以自己新建一个名为“CheckedValue”的“DWORD值”，然后将其值修改为“0”即可。退出注册表编辑器，重新启动第六章隐藏技术4/20计算机，你就发现设置为“隐藏”属性的文件可以彻底隐身了，即使是在“文件夹选项”窗口中选择“显示所有文件”，隐藏的文件也不会显示出来了。使用attrib命令为文件添加“隐藏”和“系统”属性。命令格式为：attrib+h+s文件参数说明：+h给文件添加隐藏属性+s给文件添加系统属性设置了“隐藏”和“系统”属性的文件或文件夹，只有在“文件夹选项”中同时设置“显示所有文件和文件夹”及“隐藏受保护的操作系统文件（推荐）”，才可以看到。（2）利用专用文件夹隐藏文件在windows系统中，可以双击“计划任务”、“控制面板”、“回收站”等图标来实现一些系统操作，实际上也可以把这些图标看成文件夹，与普通文件夹不同的是，该类文件夹属于系统专用。实际上这些文件夹也可以用来存放文件，而且十分的隐蔽。例如：将c盘中的“黑客攻防指南.chm”文件复制到“字体”中。第六章隐藏技术5/20（3）自建专用文件夹例如：把文件夹变成“网上邻居”将要隐藏的文件夹改名为：网上邻居.{208D2C60-3AEA-1069-A2D7-08002B30309D}，回车后你将看到熟悉的“网上邻居”图标，双击后看一看，和桌面上的“网上邻居”一模一样。第六章隐藏技术6/20原理说明：Windows系统下有多种固定的类标识符代表系统文件，它在文件夹尾部时在windows下是不显示的，但在DOS下可见。Windows中的文件标识符，其英文名称是CLSID，也称类标识符，位于注册表的[HKEY_LOCAL_MACHINE\Software\Classes\CLSID]下，通常由32个十六进制数构成，其一般格式是“{八位数-四位数-四位数-四位数-十二位数}”。Windows中的每一个系统级应用程序（如“我的电脑”、“网上邻居”等）都有唯一的类标识符与之相对应。我们操作电脑时，会对系统程序名称发出指令，Windows则通过对该程序的文件标识符识别而做出响应。因此，文件标识符与系统程序是一一对应的关系。第六章隐藏技术7/20常用的文件标识符：计划任务：.{d6277990-4c6a-11cf-8d87-00aa0060f5bf}网上邻居:.{208D2C60-3AEA-1069-A2D7-08002B30309D}我的电脑:.{20D04FE0-3AEA-1069-A2D8-08002B30309D}我的文档:.{450D8FBA-AD25-11D0-98A8-0800361B1103}拨号网络:.{992CFFA0-F557-101A-88EC-00DD010CCC48}控制面板:.{21EC2020-3AEA-1069-A2DD-08002B30309D}打印机:.{2227A280-3AEA-1069-A2DE-08002B30309D}记事本:.{1FBA04EE-3024-11D2-8F1F-0000F87ABD16}回收站:.{645FF040-5081-101B-9F08-00AA002F954E}公文包:.{85BBD920-42A0-1069-A2E4-08002B30309D}字体:.{BD84B380-8CA2-1069-AB1D-08000948F534}Web文件夹:.{BDEADF00-C265-11d0-BCED-00A0C90AB50F}Excel文件:.{00020811-0000-0000-c000-000000000046}WAV文件:.{00020C01-0000-0000-C000-000000000046}如果需要恢复该文件夹，可采取两种方法：方法1：在命令提示符下，使用ren命令将该文件夹重命名。第六章隐藏技术8/20方法2：用WINRAR打开该文件夹所在的目录，然后将该文件夹重命名。（3）创建一个既无法删除、又无法打开的文件夹演示：创建一个既无法删除、又无法打开、大小为0KB的文件夹演示：建立别人无法轻易访问和删除的100个文件夹，文件夹名称为1.到100.for/l%%cin(1,1,100)domd%%c..\附演示：vbs整人代码二、扫描隐藏技术入侵的第一步就是信息搜集，信息搜集中最有效的方法就是扫描。如何隐藏扫描，不让远程服务器发现真实IP地址是入侵者的关键任务。通常，入侵者通过制作“扫描代理肉鸡”的方法来隐藏自己的扫描行为。第六章隐藏技术9/201、手工制作扫描代理手工制作扫描代理是入侵者们制作扫描型肉鸡的通用方法，其思路就是把扫描器传输到肉鸡内部，然后入侵者通过远程控制使该肉鸡执行扫描程序。入侵者通过这样方法能够实现“多跳”扫描，唯一的缺点就是操作比较麻烦，需要手工来敲入一条条命令来完成。例如：上传扫描器、登录、执行扫描、下载扫描结果步骤：（1）上传扫描器，如X-Scan（2）登录。可以使用Telnet登录到肉鸡。（3）执行扫描。使用X-Scan的命令行工具。（4）下载扫描结果。当扫描结束后，使用rar32对扫描结果进行打包。完成打包后，在本地打开TFTP服务器，等待传输文件。（5）完成后，删除过渡文件。2、流光Sensor流光Sensor是集成在流光扫描器中的工具，用来管理、制作扫描型肉鸡，功能非常强大。只要获得远程主机的NT弱口令，入侵者便可以通过流光扫描器把该主机加入到流光Sensor中成为扫描型肉鸡，并能够对这些扫描型肉鸡进行统一管理。演示：添加NT弱口令主机到流光Sensor，利用肉鸡扫描，获取扫描结果步骤：（1）添加NT弱口令主机到流光Sensor，也就是将该主机做成了“扫描型肉鸡”，专门用来代替入侵者执行扫描任务。（2）利用肉鸡进行扫描操作方法：（1）“工具”—“FluxaySensor工具”—“安装FluxaySensor…”第六章隐藏技术10/20（2）单击“安装”，安装成功后，菜单“文件”—“高级扫描向导…”（3）点击“选项”按钮。第六章隐藏技术11/20三、入侵隐藏技术入侵者为了隐藏自己，尽量不去直接与远程主机接触。“代理”或“跳板”技术就是入侵者惯用的隐藏手段。入侵者如何在入侵中隐藏自己？1、什么是跳板？跳板可称之为“入侵代理”或“入侵型肉鸡”。它用来代替入侵者对远程主机建立网络连接或者漏洞溢出，这种间接的连接方式可以避免入侵者与远程主机的直接接触，从而实现了入侵的隐藏。2、跳板结构第六章隐藏技术12/20入侵者通过跳板一、跳板二与远程主机建立连接，也就是说，入侵者与远程主机之间的数据包都是通过“跳板一”、“跳板二”传输的，与远程主机直接接触的只有“跳板二”主机，因此，即使入侵行为被远程主机发觉，能够直接查出的也就只有“跳板二”主机，实现了入侵中的隐藏。3、手工制作跳板如何通过Windows系统自带的命令手工制作跳板？演示一：一级跳板（入侵者与远程主机之间只有一个肉鸡用来充当入侵跳板）的制作任务分析：入侵者要实现的目的是隐藏自己的IP地址。可以通过远程控制肉鸡的方法来实现，Telnet便可以实现远程控制的目的。入侵者的最终目的是成功获取远程主机的最高权限，无论采用何种入侵方式，都免不了使用一些入侵工具，入侵者在正式入侵远程主机之前，需要将一些入侵工具传输到一级跳板上。当入侵者在完成任务的时候，还需要清除留下的入侵痕迹。在入侵者离开一级跳板之前，还要删除入侵工具、清除远程主机以及跳板上的日志文件。总结：入侵者利用一级跳板对远程主机进行入侵的时候，需要先后实现“登录肉鸡”、“上传工具”、“执行入侵任务”、“删除工具”、“清除日志”等任务。演示步骤：（1）登录肉鸡利用opentelnet打开肉鸡的Telnet服务、修改Telnet端口，去除NTLM验证，然后利用telnet命令登录肉鸡。（2）上传工具方法一：TFTP方式首先在本地（入侵者的电脑）建立TFTP服务器，然后在一级跳板中使用tftp命令将所需的工具下载到指定的文件夹中。方法二：copy命令首先在本地（入侵者的电脑）与一级跳板之间建立IPC$连接，然后使用copy或xcopy命令将所需的工具复制到一级跳板中指定的文件夹中。（3）执行入侵任务（4）删除入侵工具第六章隐藏技术13/20（5）清除日志文件。演示二：二级跳板的制作对于二级或二级以上的跳板网络，在实现过程中有以下几点需要注意。（1）由于跳板网络的制作过程只能在命令行的方式下进行，因此，不能使用图形界面方式的远程控制与入侵工具。（2）对于上传到肉鸡跳板的入侵工具，需要尽可能压缩体积。（3）当跳板网络级数很大的时候，最好使用bat文件来简化一条条命令的输入与执行。（4）