實(shí)驗(yàn)-系統(tǒng)命令、IPC$、服務(wù)及端口的管理

實(shí)驗(yàn)一系統(tǒng)命令、IPC$、服務(wù)及端口的管理實(shí)驗(yàn)1熟悉常見(jiàn)的系統(tǒng)命令【實(shí)驗(yàn)?zāi)康摹空莆粘Ｒ?jiàn)的系統(tǒng)命令使用方法?！緦?shí)驗(yàn)準(zhǔn)備】1.有網(wǎng)絡(luò)連接的PC一臺(tái)。2.安裝有TCP/iP協(xié)議的網(wǎng)絡(luò)操作系統(tǒng)?！咀⒁馐马?xiàng)】1.了解用于作為實(shí)驗(yàn)對(duì)象的域名或IP地址。2.老師指導(dǎo)事先準(zhǔn)備測(cè)試用的系統(tǒng)、FTP、Telnet帳戶?！緦?shí)驗(yàn)步驟】1.在WindowsNT/2000/2003或WindowsXP系統(tǒng),從開(kāi)始菜單里選擇”運(yùn)行”，在”運(yùn)行”窗口的 “打開(kāi)”欄輸入”CMD”,進(jìn)入命令行環(huán)境。2.在CMD環(huán)境下依次測(cè)試以下命令。1)ping命令它是用來(lái)檢查網(wǎng)絡(luò)是否通暢或者網(wǎng)絡(luò)連接速度的命令。它所利用的原理是這樣的:網(wǎng)路上的機(jī)器都有唯一確定的iP地址,我們給自標(biāo)lP地址發(fā)送一個(gè)數(shù)據(jù)包,對(duì)方就要返回一個(gè)同樣大小的數(shù)據(jù)包,根據(jù)返回的數(shù)據(jù)包我們可以確定目標(biāo)主豐凡的存在,可以初步判斷目標(biāo)主機(jī)的操作系統(tǒng)等。在CMD下面輸入c:\ping/h即可得到ping的命令介紹,其他命令通過(guò)在命令名稱后空格加“/h”,也可得到相關(guān)使用幫助。-t表示將不間斷向目標(biāo)lP發(fā)送數(shù)據(jù)包,直到我們強(qiáng)迫其停止 (Ctrl+C進(jìn)行終止)。-l定義發(fā)送數(shù)據(jù)包的大小,默認(rèn)為32字節(jié),我們利用它可以最大定義到65500字節(jié)。-n定義向目標(biāo)IP發(fā)送數(shù)據(jù)包的次數(shù),默認(rèn)為3次。如果網(wǎng)絡(luò)速度比較慢,定義1次即可。這里time=175表示從發(fā)出數(shù)據(jù)包到接收到返回?cái)?shù)據(jù)包所用的時(shí)間是175毫秒,從這里可以判斷網(wǎng)絡(luò)連接速度的大小。從TTL的返回值可以初步判斷被ping主機(jī)的操作系統(tǒng),之所以說(shuō)“初步判斷”是因?yàn)檫@個(gè)值是可以修改的。這里TTL=46表示操作系統(tǒng)可能是非Windows系統(tǒng)。(小知識(shí):如果TTL=128,則表示目標(biāo)主機(jī)可能是Win2000:如果TTL=250,則目標(biāo)主機(jī)可能是Unix)通常利用ping命令可以快速查找網(wǎng)絡(luò)故障,可以快速判斷服務(wù)器連接速度。如果目標(biāo)服務(wù)器安全防護(hù)性能差且出口帶寬窄,也可能被攻擊者通過(guò)ping進(jìn)行攻擊。2)nbtstat命令該命令使用TCP/IP上的NETBIOS顯示協(xié)議統(tǒng)計(jì)和當(dāng)前TCP/IP連接,使用這個(gè)命令你可以得到遠(yuǎn)程主機(jī)的NETBIOS信息,比如用戶名、所屬的工作組、網(wǎng)卡的MAC地址等。在此我們就有必要了解凡個(gè)基本的參數(shù)。進(jìn)行實(shí)驗(yàn)前,需要在“本地連接”屬性里“安裝”,選擇“協(xié)議”,確保安裝了以下選項(xiàng)：NwLinkIPX/SPX/NetBIOSCompatibieTranspor-a使用這個(gè)參數(shù),只要你知道了遠(yuǎn)程主機(jī)的機(jī)器名稱,就可以得到它的NETBIOS信息。-A這個(gè)參數(shù)也可以得到遠(yuǎn)程主機(jī)的NETBIOS信息,但需要你知道它的IP。-n列出本地機(jī)器的NETBlOS信息。攻擊者當(dāng)?shù)玫搅藢?duì)方的iP或者機(jī)器名的時(shí)候,就可以使用nbtstat命令來(lái)進(jìn)一步得到對(duì)方的信息了,增加了攻擊者入侵的成功系數(shù)。3)netstat命令這是一個(gè)用來(lái)查看網(wǎng)絡(luò)狀態(tài)的命令,操作簡(jiǎn)便，功能強(qiáng)大。-a查看本地機(jī)器的所有開(kāi)放端口,通過(guò)端口可以了解本地開(kāi)放服務(wù)，也可以有效發(fā)現(xiàn)和預(yù)防木馬,可以知道機(jī)器所開(kāi)的服務(wù)等信息,如下圖:這里可以看出本地機(jī)器開(kāi)放有FTP服務(wù)、Telnet服務(wù)、郵件服務(wù)、WEB服務(wù)等。用法:netstat–a。-r列出當(dāng)前的路由信息,告訴我們本地機(jī)器的網(wǎng)關(guān)、子網(wǎng)掩碼等信息。用法:netstat-r4)tracert命令跟蹤路由信息,使用此命令可以查出數(shù)據(jù)從本地機(jī)器傳輸?shù)侥繕?biāo)主機(jī)研經(jīng)過(guò)的所有途徑,這對(duì)我們了解網(wǎng)絡(luò)布局和結(jié)構(gòu)很有幫助。(圖)這里說(shuō)明數(shù)據(jù)從本地機(jī)器傳輸?shù)降臋C(jī)器上,中間沒(méi)有經(jīng)過(guò)任何中轉(zhuǎn),說(shuō)明這兩臺(tái)機(jī)器是在同一段局域網(wǎng)內(nèi)。用法:tracertIP5)net命令這個(gè)命令是網(wǎng)絡(luò)命令中最重要的一個(gè),必須透徹掌握它的每一個(gè)子命令的用法,首先讓我們來(lái)看一看它都有哪些子命令,鍵入net/h回車。6)netview使用此命令查看遠(yuǎn)程主機(jī)的所以共享資源。命令格式為netview\\lp。7)netuseC:\Netuse\\9\ipc$"pass"/user:"admin"C:\Netusez:\\9\C$"aaa"/user:"bbb"上面第一個(gè)命令表示與9建立一個(gè)IPC$連接,第二個(gè)表示將192.168.199的C盤(pán)影射成本機(jī)的Z:\盤(pán)。建立了IPC$連接并且影射后,就可以從本地機(jī)向目標(biāo)機(jī)器拷貝文件了:copyc:\test-exez:\hack.exe表示把本地目錄下的test.exe傳到遠(yuǎn)程主機(jī)并命名成hack.exe8)netstart使用它來(lái)啟動(dòng)主機(jī)上的服務(wù)。當(dāng)你和遠(yuǎn)程主機(jī)建立連接并且取得Shell后,如果發(fā)現(xiàn)它的相關(guān)服務(wù)沒(méi)有啟動(dòng),而你又想利用此服務(wù)就可以考慮使用此方法了。用法:netstartservername,如netstartSchedule表示啟動(dòng)計(jì)劃任務(wù)。9)netstop如果希望停掉某個(gè)服務(wù),使用netstopservername即可,例如停掉telnet服務(wù),netstoptelnet10)netuser查看和賬戶有關(guān)的情況,包括新建脹戶、刪除賬戶、查看特定賬戶、激活賬戶、賬戶禁用等。鍵入不帶參數(shù)的netuser,可以查看所有用戶,包括已經(jīng)禁用的。下面分別介紹。1.netuserabcd1234/add,新建一個(gè)用戶名為abed,密碼為1234的賬戶,默認(rèn)為user組成員。2.netuserabcd/del,將用戶名為abcd的用戶刪除。3.netuserabcd/active;no,將用戶名為abcd的用戶禁用。4.netuserabed/active:yes,激活用戶名為abcd的用戶。5.netuserabcd,查看用戶名為abed的用戶的情況。netlocalgroup查看所有和用戶姐有關(guān)的信息和進(jìn)行相關(guān)操作。11)nettime這個(gè)命令可以查看遠(yuǎn)程主機(jī)當(dāng)前的時(shí)間。用法:nettime\\IP,可以與Windows的計(jì)劃任務(wù)命令配合啟動(dòng)某個(gè)計(jì)劃任務(wù)。12)at這個(gè)命令的作用是安排在特定日期或時(shí)間執(zhí)行某個(gè)特定的命令和程序(需要Schedule是啟動(dòng)狀態(tài)下)。當(dāng)我們知道了遠(yuǎn)程主機(jī)的當(dāng)前時(shí)間,就可以利用此命令讓其在以后的某個(gè)時(shí)間(比如2分鐘后)執(zhí)行某個(gè)程序和命令。用法:attimecommand\\computer。13)ftpftp是用來(lái)與服務(wù)器之間進(jìn)行文件傳輸?shù)膮f(xié)議,網(wǎng)絡(luò)上很多服務(wù)器都提供ftp服務(wù)。在命令行鍵入ftp回車,出現(xiàn)ftp的提示符,這時(shí)候可以鍵入"help"來(lái)查看幫助,我們了解幾個(gè)簡(jiǎn)單的命令。先是登陸過(guò)程,這就要用到open了,直接在ftp的提示符下輸入"open主機(jī)iPftp端口"回車即可,一般ftp端口默認(rèn)都是21,可以不寫(xiě)。接著就是輸入合法的用戶名和密碼進(jìn)行登陸了,這里以匿名ftp為例介紹。用戶名和密碼都是ftp,密碼是不顯示的。當(dāng)提示****loggedin時(shí),就說(shuō)明登陸成功。這里因?yàn)槭轻t(yī)名登陸,所以用戶顯示為Anonymous。接下來(lái)就要介紹具體命令的使用方法了。Dir跟DOS命令一樣,用于查看服務(wù)器的文件,直接敲上dir回車,就可以看到此ftp服務(wù)器上的文件。cd進(jìn)入某個(gè)文件夾。get下載文件到本地機(jī)器。put上傳文件到遠(yuǎn)程服務(wù)器。這就要看遠(yuǎn)程ftp服務(wù)器是否給了你可寫(xiě)的權(quán)限了,如果可以,就可以進(jìn)行文件上傳。delete刪除遠(yuǎn)程ftp服務(wù)器上的文件。這也必須保證你有可寫(xiě)的權(quán)限。bye退出當(dāng)前連接。quit同上。14)telnet遠(yuǎn)程登陸命令,它操作簡(jiǎn)單,熟悉命令行操作,登陸后如同使用自己的機(jī)器一樣,下面介紹一下使用方法,首先鍵入telnet回車,再鍵入help查看其幫助信息。然后在提示符下鍵入openIP回車,這時(shí)就出現(xiàn)了登陸窗口,讓你輸入合法的用戶名和密碼,這里輸入任何密碼都是不顯示的。當(dāng)輸入用戶名和密碼都正確后就成功建立了telnet連接,這時(shí)候你就在遠(yuǎn)程主機(jī)上具有了和此用戶一樣的權(quán)限?！緦?shí)驗(yàn)結(jié)果】要求:保證每個(gè)命令都能執(zhí)行成功。實(shí)驗(yàn)2防范IPC$攻擊【實(shí)驗(yàn)?zāi)康摹靠諘?huì)話通常會(huì)為黑客成功入侵提供跳板,如提供遠(yuǎn)程主機(jī)時(shí)間、用戶列表等,大大增加了黑客入侵的成功機(jī)會(huì)。我們通過(guò)實(shí)驗(yàn),來(lái)限制IPC$連接,增加主機(jī)的安全性?！緦?shí)驗(yàn)準(zhǔn)備】IPC連接是WindowsNT及以上系統(tǒng)中特有的功能,由于其需要用到WindowsNT中很多DLL函數(shù),所以實(shí)驗(yàn)機(jī)器系統(tǒng)必須是WindowsNT內(nèi)核版本如XP/20OO/2003等?！咀⒁馐马?xiàng)】IPC$所使用的端口首先我們來(lái)了解一些基礎(chǔ)知識(shí):1.SMB:(ServerMessageBiock)Windows協(xié)議族,用于文件打印共享的服務(wù):2.NBT:(NETBIOSOverTCP/IP)使用137(UDP)138(UDP)139(TCP)端口實(shí)現(xiàn)基于TCP/IP協(xié)議的NETBlOS網(wǎng)絡(luò)互聯(lián)。3.在WindowsNT中SMB基于NBT實(shí)現(xiàn),即使用139(TCP)端口:而在Windows2000中,SMB除了基于NBT實(shí)現(xiàn),還可以直接通過(guò)445端口實(shí)現(xiàn)。有了這些基礎(chǔ)知識(shí),我們就可以進(jìn)一步來(lái)討論訪問(wèn)網(wǎng)絡(luò)共辜對(duì)端口的選擇了:對(duì)于win2000客戶端(發(fā)起端)來(lái)說(shuō):1.如果在允許NBT的情況下連接服務(wù)器時(shí),客戶端會(huì)閏時(shí)嘗試訪問(wèn)139和445端口,如果445端口有響應(yīng),那么就發(fā)送RST包給139端口斷開(kāi)連接,用455端口進(jìn)行會(huì)話,當(dāng)445端口無(wú)晌應(yīng)時(shí),才使用139端口,如果兩個(gè)端口都沒(méi)帶晌應(yīng)復(fù)則會(huì)話失敗:2.如果在禁止NBT的情況下連接服務(wù)器時(shí),那么客戶端只會(huì)嘗試訪問(wèn)445端口,如果445端口無(wú)響應(yīng),那么會(huì)話失敗。對(duì)于win2000服務(wù)器端來(lái)說(shuō):1.如果允許NBT,那么UDP端口137,138,TCP端口139,445將開(kāi)放〈LISTENING〉:2.如果禁止NBT,那么只有445端口開(kāi)放。我們建立的ipc$會(huì)話對(duì)端口的選擇同樣遵循以上原則c顯而易見(jiàn),如果遠(yuǎn)程服務(wù)器沒(méi)有打開(kāi)139或445端口,ipc$會(huì)話是無(wú)法建立的。【實(shí)驗(yàn)步驟】1、禁止空連接進(jìn)行枚舉(此操作并不能阻止空連接的建立)運(yùn)行regedit,找到如下主鍵[HKEY-LOCAL-MACHINE\SYSTEM\CurrentControlset\Control\LSA]把Restrict\Anonymous=DWORD的鍵值改為:1如果設(shè)置為"1",一個(gè)匿各用戶仍然可以連接到ipc$共享,但無(wú)法通過(guò)這種連接得到列舉SAM帳號(hào)和共享信息的權(quán)限；在Windows2800中增加了“2”,未取得匿各權(quán)的用戶將不能進(jìn)行ipc$空連接。建議設(shè)置為1。如果上面所說(shuō)的主鍵不存在,就新建一個(gè)再改鍵值。如果你覺(jué)得改注冊(cè)表麻煩,可以在本地安全設(shè)置中設(shè)置此項(xiàng)；在本地安全設(shè)童一本地策略一安全選項(xiàng)一‘設(shè)置對(duì)匿名連接的額外限制’。2、禁止默認(rèn)共享1)察看本地共享資源運(yùn)行cmd輸入netshare2)刪除共享(重起后默認(rèn)共享仍然存在)netshareipc$/deletenetshareadmin$/deletenetsharec$/deletenetshared$/delete(如果有e,f,……可以繼續(xù)刪除)3)停止seNer服務(wù)netstopserver/y(重新啟動(dòng)后server服務(wù)會(huì)重新開(kāi)啟)4)禁止自動(dòng)打開(kāi)默認(rèn)共享(此操作并不能關(guān)閉ipc$共享〉運(yùn)行regeditWindows2000sewer版:找到如下主鍵[HKEY-LOCAL-MACHINE\SYSTEM\CurrentControlset\servicesLanrnan\Server\Parameters]把AutoShareServer(DWORD〉的鍵值改為:000000000Windows2000pro版:找到如下主鍵[HKEY-LOCAL-MACHINE\SYSTEM\CurrentControlset\servicesLanrnan\Server\Parameters]把AutoShareWks(DWORD〉的鍵值改為:000000000這兩個(gè)鍵值在默認(rèn)情況下在主機(jī)上是不存在的,需要自己手動(dòng)添加,修改后重啟機(jī)器使設(shè)置生效。3、關(guān)閉ipc$和默認(rèn)共享依賴的服務(wù);server服務(wù)如果你真的想關(guān)閉ipc$共享,禁止server服務(wù)(非停止)是最好的選擇。控制面板-管理工具-服務(wù)-找到server服務(wù)(右擊)–屬性-常規(guī)-啟動(dòng)類型-選已禁用,這時(shí)可能會(huì)有提示說(shuō):XXX服務(wù)也會(huì)關(guān)閉是否繼續(xù),因?yàn)檫€有些次要的服務(wù)要依賴于server服務(wù),不要管它。4、屏蔽139,445端口由于沒(méi)有以上兩個(gè)端口的支持,是無(wú)法建立ipc$的,因此屏蔽139,445端口同樣可以阻止ipc$入侵。1)139端口可以通過(guò)禁止NBT來(lái)屏蔽本地連接一TCP/IP屬性一高級(jí)-WINS一選‘察用了CP/lP上的NETBIOS'一項(xiàng)2)445端口可以通過(guò)修改注冊(cè)表來(lái)屏蔽添加一個(gè)鍵值Hive:HKEY_LOCAL_MACHINEKey:SystemControlsetservicesNetBTParametersName:SMBDeviceEnabledType:REG_DWORDVaiue:0修改完后重啟機(jī)器注意:如果屏蔽掉了以上兩個(gè)端口,你將無(wú)法用ipc$連接到的服務(wù)器。3)安裝防火墻進(jìn)行端口過(guò)濾4)設(shè)置復(fù)雜密碼,防止通過(guò)ipc$窮舉出密碼,增強(qiáng)安全意識(shí),比不停的打補(bǔ)丁要安全的多?！緦?shí)驗(yàn)結(jié)果】目標(biāo)主機(jī)經(jīng)過(guò)以上配置窟,使用lPC$空連接或lPC$倍任連接〈有授權(quán)賬戶名和密碼〉,都無(wú)法連接目標(biāo)主機(jī)。

實(shí)驗(yàn)3監(jiān)聽(tīng)、開(kāi)放或關(guān)閉服務(wù)端口【實(shí)驗(yàn)?zāi)康摹坷枚丝诒O(jiān)控有效地保證系統(tǒng)的安全性,掌握基本的對(duì)端口活動(dòng)實(shí)現(xiàn)監(jiān)控的技能,了解黑客攻擊手段及安置后門(mén)的方法?！緦?shí)驗(yàn)準(zhǔn)備】Plisten和NC,由講師事先準(zhǔn)備好拷給學(xué)生?！咀⒁馐马?xiàng)】確保實(shí)驗(yàn)機(jī)器安裝FTP和IIS服務(wù),下面為三個(gè)獨(dú)立實(shí)驗(yàn),兩臺(tái)機(jī)器一組進(jìn)行,分別完成?！緦?shí)驗(yàn)步驟】在Windows2000/2003下關(guān)閉端口實(shí)驗(yàn)步驟:1、首先,確保能夠通過(guò)HTTP或FTP連接到合作伙伴機(jī)器2、右鍵單擊"本地連接",選取"屬性","常規(guī)",選擇"intenet協(xié)議(TCP/IP)"3、單擊"屬性"按鈕,在彈出的對(duì)話框中單擊"高級(jí)"按鈕4、在"高級(jí)TCP/IP設(shè)置"對(duì)話框中,選擇"選項(xiàng)"5、在"可選"設(shè)置對(duì)話框中,雙擊"TCP/IP篩選",可以通過(guò)"全部允許"和"只允許"選項(xiàng)控制關(guān)閉/打開(kāi)TCP和UDP端口,以及IP協(xié)議6、在"TCP端口"框下選擇"只允許",然后單擊"添加"按鈕,加入80端口7、單擊OK,返回桌面,然后在提示下重新啟動(dòng)計(jì)算機(jī)8、分別通過(guò)Web瀏覽器和FTP方式訪問(wèn)合作伙伴,觀察結(jié)果9、重復(fù)上述步驟，將80端口替換為21端口，再觀察結(jié)果利用這種關(guān)閉端口的方法保護(hù)系統(tǒng)有時(shí)并不是最佳的方法,除非服務(wù)器只是很單一的提供某一種或少數(shù)的服務(wù)時(shí),可以考慮使用上述方法。使用Plisten監(jiān)聽(tīng)端口1、合作者1:打開(kāi)Plisten2、合作者1:選中ListeningOnport復(fù)選項(xiàng),然后輸入端口號(hào)12003、合作者2:啟動(dòng)任意操作系統(tǒng)4、合作者2:使用1200端口Telnet連接上合作伙伴,然后輸入一些文本5、合作者1:注意端口監(jiān)聽(tīng)器監(jiān)昕到的來(lái)自合作者2的連接和輸入的文本6、合作者1:注意監(jiān)聽(tīng)到的IP地址信息,使用這些情患可以跟蹤攻擊者plisten是一個(gè)較小的工具軟件,并且所需要配置的參數(shù)也極少,我們只需