IPC$远程植入木马
Posted 草莓味蒙脱石散
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了IPC$远程植入木马相关的知识,希望对你有一定的参考价值。
实验所属系列:信息安全基础
实验对象: 本科/专科信息安全专业
相关课程及专业:计算机网络、网络攻击与防御技术、渗透测试技术
实验时数(学分):4学时
实验类别:实践实验类
1、掌握利用 IPC$入侵目标计算机(windows XP 或 windows 2003)的方法;
2、制作并植入远控木马来达到远程控制对方计算机;
IPC
IPC(Inter-Process Communication) 进程间通信,是共享"命名管道"的资源,它是为了让进程间通信而开放的命名管道,通过提供可信任的用户名和口令,连接双方可以建立安全的通道并以此通道进行加密数据的交换,从而实现对远程计算机的访问。IPC是NT/2000的一项新功能,它有一个特点,即在同一时间内,两个IP之间只允许建立一个连接。NT/2000在提供了IPC功能的同时,在初次安装系统时还打开了默认共享,即所有的逻辑共享(C,D,E……)和系统目录winnt或windows(admin)共享。
空会话
空会话是在没有信任的情况下与服务器建立的会话,对于一个空会话,LSA提供的令牌的SID(空会话的SID)是S-1-5-7,用户名是:ANONYMOUS LOGON(系统内置的帐号),该访问令牌包含下面伪装的组:Everyone和Network。
IPC建立的过程
1.会话请求者(客户)向会话接收者(服务器)传送一个数据包,请求安全隧道的建立;
2.服务器产生一个随机的64位数(实现挑战)传送回客户;
3.客户取得这个由服务器产生的64位数,用试图建立会话的帐号的口令打乱它,将结果返回到服务器(实现响应);
4.服务器接受响应后发送给本地安全验证(LSA),LSA通过使用该用户正确的口令来核实响应以便确认请求者身份。
木马
利用计算机程序漏洞侵入后窃取文件的程序程序被称为木马。它是一种具有隐藏性的、自发性的可被用来进行恶意行为的程序,多不会直接对电脑产生危害,而是以控制为主。
本实验环境的网络拓扑如下图:
说明:
1)网络由两个设备组成,一台靶机、一台攻击机;
2)靶机上装的系统是windows 2003,ip地址:10.1.1.2;
3)攻击机是windows系统,其上有cmd命令行工具、远控木马、metasploit;
4)防火墙内部接口的IP和服务器的IP都已经配好。
在开始本实验的任务前,通过下述步骤确定实验环境已经准备就绪。
1:登录到自己分配到的攻击机上,在"开始"-->"程序"中查看是否安装了Metasploit工具,C盘里是否有“2013最新免杀远程”压缩包,系统是否有CMD命令行工具。
2:命令行下ping靶机IP:10.1.1.2,确认靶机存在。
利用IPC共享漏洞上传并执行木马
本任务将利用IPC共享漏洞上传并执行木马。试验者登录攻击机以后的实验步骤如下:
1、利用远控木马生成服务端
解压C盘下tools文件夹里的“2013最新免杀远程”压缩包,并运行bin文件夹内Client2013.exe:
点击“选项”--> “创建客户”,如下图:
会出现如下对话框:
说明:
域名/IP:填写木马安装后向木马监控者发出信息的指定IP,一般为攻击者的IP,但是必须要受害者访问得到;
服务信息:伪装为某服务;
自删除:运行后会自己把自己删除,以消灭痕迹;
选择图标:生成木马文件后的图标。
点击“生成”后,根据提示找到生成的木马文件,本例中会在当前文件夹生成,如下图:
将生成的木马文件移动到c盘下,不需要退出该程序。
2、利用Metasploit扫描目标主机ipc的弱口令,操作如下图所示
在msf提示符下输入use auxiliary/scanner/smb/smb_login,以加载利用模块。输入show options查看设置选项,如下图:
(图中user.txt为自己创建)
简单对参数进行了设置:
第一行:设置目标主机的ip
第二行: 设置用户名文件
第三行:设置密码文件
第四行:设置当成功时停止运行
然后输入“run”开始运行爆破
当成功时会自动停止,得到信息为: administrator :123456。
3、利用得到的用户名和密码,与目标主机建立空连接
依次点击:“开始”->“运行”->输入“CMD”打开CMD窗口,并输入如下命令与远程服务器建立连接。
依次输入下图命令:
命令说明:
第一行,cd \\ 切换到C盘根目录下;
第二行的net use 命令与远程10.1.1.2建立连接。
将我们刚刚生成的服务端,上传到目标主机上去:
4、使用metasploit执行木马程序
输入下列命令调用执行模块:
输入下列命令设置参数:
这个时候就可以等待木马的上线,上线后的情形见下图:
2017-2018-1 20155232 20155215《信息安全技术》实验四—— 木马及远程控制技术
2017-2018-1 20155232 20155215《信息安全技术》实验四—— 木马及远程控制技术
【实验目的】
- 剖析网页木马的工作原理
- 理解木马的植入过程
- 学会编写简单的网页木马脚本
- 通过分析监控信息实现手动删除木马
【实验内容】
- 木马生成与植入
- 利用木马实现远程控制
- 木马的删除
【实验原理】
- 网页木马原理及相关定义
“网页木马”由其植入方式而得名,是通过浏览网页的方式植入到被控主机上,并对被控主机进行控制的木马。与其它网页不同,木马网页是黑客精心制作的,用户一旦访问了该网页就会中木马。因为嵌入在这个网页中的脚本恰如其分地利用了IE浏览器的漏洞,让IE在后台自动下载黑客放置在网络上的木马并运行(安装)这个木马,这个网页能下载木马到本地并运行(安装)下载到本地电脑上的木马,整个过程都在后台运行,用户一旦打开这个网页,下载过程和运行(安装)过程就自动开始。实际上,为了安全,IE浏览器是禁止自动下载程序特别是运行程序的,但是,IE浏览器存在着一些已知和未知的漏洞,网页木马就是利用这些漏洞获得权限来下载程序和运行程序的。
- 名词解释
MS06014漏洞
存在于Microsoft Data Access Components,利用微软的HTML Object标签的一个漏洞,Object标签主要是用来把ActiveX控件插入到HTML页面里。由于加载程序没有根据描述远程Object数据位置的参数检查加载文件的性质,因此Web页面里面的程序就会不经过用户的确认而自动执行。
iframe标签
iframe也叫浮动帧标签,它可以把一个HTML网页嵌入到另一个网页里实现“画中画”的效果。 被嵌入的网页可以控制宽、高以及边框大小和是否出现滚动条等。如果把宽(width)、高(height)、边框(frameborder)都设置为0,代码插入到首页后,首页不会发生变化,但是嵌入的网页实际上已经打开。
反弹端口型木马
分析防火墙的特性后可以发现,防火墙对于连入的链接往往会进行非常严格的过滤,但是对于连出的链接却疏于防范。于是,与一般的木马相反,反弹端口型木马的服务端(被控制端)使用主动端口,客户端(控制端)使用被动端口。木马定时监测控制端的存在,发现控制端上线后立即弹出端口主动连接控制端打开的被动端口。服务端通常会把打开的端口伪装成应用软件的端口,从而进一步降低被防火墙发现的概率。
网页木马生成脚本
通常网页木马是通过“网马生成器”将木马安装程序的下载地址附加在网页上的,进而达到用户浏览含有木马的网页即自动下载安装程序的目的。
【木马的工作过程】
木马的工作过程可分为四部分:
木马的植入、木马的安装、木马的运行和木马的自启动。
- 植入
- 网页木马就是一个由黑客精心制作的含有木马的HTML网页,因为MS06014漏洞存在,当用户浏览这个网页时就被在后台自动安装了木马的安装程序。所以黑客会千方百计的诱惑或者欺骗人们去打开他所制作的网页,进而达到植入木马的目的。不过随着人们网络安全意识的提高,这种方法已经很难欺骗大家了。
2.还有一种方法就是通过
<iframe>
标签,在一个正常网站的主页上链接网页木马。浏览者在浏览正常的网站主页时,iframe语句就会链接到含有木马的网页,网页木马就被悄悄植入了。这种方法就是大家经常说的“挂马”,而中了木马的主机通常被幽默的称作“肉鸡”。“挂马”因为需要获取网站管理员的权限,所以难度很大。不过他的危害也是十分巨大的,如果黑客获得了一个每天流量上万的知名网站的管理员权限并成功“挂马”,那试想他会有多少“肉鸡”。
- 木马的安装
木马的安装在木马植入后就被立即执行。当网页木马植入后,木马会按照通过网页木马脚本中指向的路径下载木马服务端安装程序,并根据脚本中的设定对安装程序进行重命名。通常会重新命名一个与系统进程相近的名字来迷惑管理员,使安装过程及其留下的痕迹不通过细心查看不易被发觉。安装程序下载完成后,自动进行安装。生成可执行文件C:\\Windows\\hack.com.cn.ini,并修改注册表生成名为windows XP Vista的系统服务。
- 木马的运行
灰鸽子木马服务器安装完成后就会立刻连接网络寻找其客户端,并与其建立连接。这时木马程序会将自己的进程命名为IEXPLORE.EXE,此进程与Windows的IE浏览器进程同名,同样是为了迷惑管理员来伪装自己。当木马服务端与客户端建立连接后,客户端就如同拥有了管理员权限一样,可随意对“肉鸡”进行任何操作。
- 木马的自启动
木马安装时生成系统服务Windows XP
Vista。Windows XP Vista的可执行文件路径:“C:\\WINDOWS\\Hacker.com.cn.ini。”描述:“灰鸽子服务端程序,远程监控管理。”启动类型:“自动。”很明显可以看出灰鸽子是通过此系统服务执行hack.com.cn.ini文件来自启动木马服务器。存在于系统目录下的Hack.com.cn.ini文件被设置成一个隐藏的受保护的操作系统文件,很难被人发现。
灰鸽子木马的基本功能。
(1)反向连接
(2)文件管理
(3)注册表管理
(4)系统信息查看
(5)剪贴板查看
(6)进程管理
(7)服务管理
(8)共享管理
(9)Telnet
(10)配置代理服务器
(11)插件功能
(12)命令广播
(13)捕获屏幕
(14)视频语音
木马的删除
木马的“客户端程序”可以控制木马的“服务器程序”的删除工作。另一种方法是通过手动删除。
实验步骤及部分截图
(一)木马的生成与植入
1.生成网页木马
(1)主机A首先通过Internet信息服务(IIS)管理器启动“木马网站”。
(2)主机A进入实验平台在工具栏中单击“灰鸽子”按钮运行灰鸽子远程监控木马程序。
(3)主机A生成木马的“服务器程序”。
(4)主机A编写生成网页木马的脚本。
2.完成对默认网站的“挂马”过程
(1)主机A进入目录“C:\\Inetpub\\wwwroot”,使用记事本打开“index.html”文件。
(2)对“index.html”进行编辑。在代码的底部加上<iframe>语句。
3. 木马的植入
(1)主机B设置监控。
启动协议分析器,单击菜单“设置”|“定义过滤器”,在弹出的“定义过滤器”对话框中选择“网络地址”选项卡,设置捕获主机A与主机B之间的数据。
新建捕获窗口,点击“选择过滤器”按钮,确定过滤信息。在捕获窗口工具栏中点击“开始捕获数据包”按钮,开始捕获数据包。
主机B启动IE浏览器,访问“http://主机A的IP地址”。
(2) 主机A等待“灰鸽子远程控制”程序主界面的“文件管理器”属性页中“文件目录浏览”树中出现“自动上线主机”时通知主机B。
(3) 主机B查看“进程监控”、“服务监控”、“文件监控”和“端口监控”所捕获到的信息。(观察木马服务器端安装程序的运行结果与配置服务器时的设置是否一致。)
在“进程监控”|“变化视图”中查看是否存在“进程映像名称”为“Hacker.com.cn.ini”的新增条目。
- Hacker.com.cn.ini文件是由哪个进程创建的: ++进程ID 3240++ ;
- Windows XP vista服务的执行体文件是: ++C:\\WINDOWS\\Hacker.com.cn.ini++ ;
- 8000服务远程地址(控制端)地址: ++172.16.0.84++ ;
(4) 主机B查看协议分析器所捕获的信息。
(二) 木马的功能
1. 文件管理
(1) 主机B在目录“D:\\Work\\Trojan”下建立一个文本文件,并命名为“Test.txt”。
(2) 主机A操作“灰鸽子远程控制”程序来对主机B进行文件管理。
单击“文件管理器”属性页,效仿资源管理器的方法在左侧的树形列表的“自动上线主机”下找到主机B新建的文件“D:\\Work\\Trojan\\Test.txt”。在右侧的详细列表中对该文件进行重命名操作。
(3) 在主机B上观察文件操作的结果。
2. 系统信息查看
主机A操作“灰鸽子远程控制”程序查看主机B的操作系统信息。单击“远程控制命令”属性页,选中“系统操作”属性页,单击界面右侧的“系统信息”按钮,查看主机B操作系统信息。
3. 进程查看
(1) 主机A操作“灰鸽子远程控制”程序对主机B启动的进程进行查看
单击“远程控制命令”属性页,选中“进程管理”属性页,单击界面右侧的“查看进程”按钮,查看主机B进程信息。
(2) 主机B查看“进程监控”|“进程视图”枚举出的当前系统运行的进程,并和主机A的查看结果相比较。
4. 注册表管理
主机A单击“注册表编辑器”属性页,在左侧树状控件中“远程主机”(主机B)注册表的“HKEY_LOCAL_MACHINE\\Software” 键下,创建新的注册表项;对新创建的注册表项进行重命名等修改操作;删除新创建的注册表项,主机B查看相应注册表项。
进行重命名操作:
5. Telnet
主机A操作“灰鸽子远程控制”程序对主机B进行远程控制操作,单击菜单项中的“Telnet”按钮,打开Telnet窗口,使用“cd c:”命令进行目录切换,使用“dir”命令显示当前目录内容,使用其它命令进行远程控制。
(三) 木马的删除
1. 自动删除
主机A通过使用“灰鸽子远程控制”程序卸载木马的“服务器”程序。具体做法:选择上线主机,单击“远程控制命令”属性页,选中“系统操作”属性页,单击界面右侧的“卸载服务端”按钮,卸载木马的“服务器”程序。
2. 手动删除
(1) 主机B启动IE浏览器,单击菜单栏“工具”|“Internet 选项”,弹出“Internet 选项”配置对话框,单击“删除文件”按钮,在弹出的“删除文件”对话框中,选中“删除所有脱机内容”复选框,单击“确定”按钮直到完成。
(2) 双击“我的电脑”,在浏览器中单击“工具”|“文件夹选项”菜单项,单击“查看”属性页,选中“显示所有文件和文件夹”,并将“隐藏受保护的操作系统文件”复选框置为不选中状态,单击“确定”按钮。
(3) 关闭已打开的Web页,启动“Windows 任务管理器”。单击“进程”属性页,在“映像名称”中选中所有“IEXPLORE.EXE”进程,单击“结束进程”按钮。
(4) 删除“C:\\Widnows\\Hacker.com.cn.ini”文件。
(5) 启动“服务”管理器。选中右侧详细列表中的“Windows XP Vista”条目,单击右键,在弹出菜单中选中“属性”菜单项,在弹出的对话框中,将“启动类型”改为“禁用”,单击“确定”按钮。
(6) 启动注册表编辑器,删除“HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\Windows XP Vista”节点。
(7) 重新启动计算机。
(8) 主机A如果还没卸载灰鸽子程序,可打开查看自动上线主机,已经不存在了。
实验中遇到的问题
- 问题
在主机A等待“灰鸽子远程控制”程序主界面的“文件管理器”属性页中“文件目录浏览”树中没有出现“自动上线主机”,一直显示的是没有自动上线功能。
- 解决
按照老师给的文档中在新建捕获窗口,点击“选择过滤器”按钮,确定过滤信息。在捕获窗口工具栏中点击“开始捕获数据包”按钮,开始捕获数据包。主机B启动IE浏览器,访问“http://主机A的IP地址”。是无法自动上线的,改成访问==http://本机IP:9090/Trojan.htm==即可解决,显示主机上线。
思考题
- 列举出几种不同的木马植入方法。
木马的植入最常见的方法
1、通过网页的植入,比如某带木马代码的网站,你登录后,他就自动加载在你的系统里了。一般他们会把木马放在图片里
2、木马可以通过程序的下载进行植入
例如通过提供免费的下载或者下载列表里下载的程序和实际你搜索到的程序不同,提供的是木马程序,或者干脆在程序里添加木马
3、人工植入,
早期很多人针对网游投放木马,而网游人数最密集的地方就是网吧,通常会有人带U盘到网吧,植入,或者通过自己建的某个带有木马的网站,在网吧登录木马网站进行木马的侵入
4、通过破解防火墙,指定IP进行攻击的植入
5.把木马文件转换为图片格式
6.利用WinRar制作成自释放文件
7.基于DLL和远程线程插入的木马植入技术
8.利用共享和Autorun文件
参考木马常见植入方法大曝光里面有具体的详细介绍
- 列举出几种不同的木马防范方法。
1、不到不受信任的网站上下载软件运行
2、不随便点击来历不明邮件所带的附件
3、及时安装相应的系统补丁程序
4、为系统选用合适的正版杀毒软件,并及时升级相关的病毒库
5、为系统所有的用户设置合理的用户口令
6.把个人防火墙设置好安全等级,防止未知程序向外传送数据。 3
7.可以考虑使用安全性比较好的浏览器和电子邮件客户端工具。
8.如果使用IE浏览器,应该安装卡卡安全助手,防止恶意网站在自己电脑上安装不明软件和浏览器插件,以免被木马趁机侵入。
9.将资源管理器配置成始终显示扩展名
将Windows资源管理器配置成始终显示扩展名,一些文件扩展名为vbs、 shs、pif的文件多为木马病毒的特征文件,如果碰到这些可疑的文件扩展名时就应该引起注意。
10.尽量少用共享文件夹
如果因工作等原因必须将电脑设置成共享,则最好单独设置一个共享文 件夹,把所有需共享的文件都放在这个共享文件夹中,注意千万不要将系统目录设置成共享。
11.运行反木马实时监控程序
木马防范重要的一点就是在上网时最好运行反木马实时监控程序,The Cleaner等软件一般都能实时显示当前所有运行程序并有详细的描述信息。此外再加上一些专业的最新杀毒软件、个人防火墙等进行监控基本就可以放心了。
【实验体会】
我觉得这次实验非常有趣,因为感受到了通过浏览网页的方式植入到被控主机上,并对被控主机进行控制的神奇之处,当网页木马植入后,木马会按照通过网页木马脚本中指向的路径下载木马服务端安装程序,并根据脚本中的设定对安装程序进行重命名来迷惑管理员,就可以进入系统对系统进行远程控制。通过这次实验理解了整个木马植入的过程是通过IE浏览器的一些已知和未知的漏洞,然后网页木马利用这些漏洞获得权限来下载程序和运行程序达到植入的效果。
以上是关于IPC$远程植入木马的主要内容,如果未能解决你的问题,请参考以下文章
2017-2018-1 20155232 20155215《信息安全技术》实验四—— 木马及远程控制技术
2017-2018-1 20155207&20155308《信息安全技术》实验四-木马及远程控制技术