1、 网络安全与维护网络安全与维护 课程设计课程设计 班级:班级: 姓名:姓名: 学号:学号: 1 基于认证的攻击基于认证的攻击设计报告设计报告 一、一、课程设计课程设计目的:目的: 1、熟悉使用端口扫描进行漏洞检测; 2、掌握基于认证的攻击方法; 3、掌握留后门和清脚印的方法。 二、二、课程设计课程设计内容:内容: 、认证漏洞的检测 在物理主机使用 X-Scan 检测自己的虚拟机的密码(虚拟机的密码设置为空密码或者简单的 密码) 、使用 IPC$进行连接,祛除 NTLM 验证 利用相关命令进行 IPC$连接,连接成功后,编写 Bat 文件祛除虚拟机中的 NTML 验证,文 件名自己设定。 、利用
2、 IPC$开启对方的 Telnet 服务 自己编写批处理文件开启虚拟机中的 Telnet 服务。 、利用 Telnet 连接,为对方主机设定 Telnet 服务 Mytel 利用 Telnet 连接和相关的软件,在虚拟机中设立一个服务名称是 Mytel 的服务,且该服务为 开机自启动服务,服务实际巡行程序为 Telnet 关闭原有的 Telnet 服务。 、留下后门账号和清除自己的脚印 自己编写批处理文件, 留下后门账号, 并将前面进行攻击所使用的所有文件和系统日志清除, 并在最后清除批处理文件本身。 、端口扫描 使用端口扫描工具对自己的虚拟机进行端口扫描, 分别使用 Syn 扫描和 Fin
3、扫 描进行探测,比较两种扫描方式的不同点。 三、课程实施方案:三、课程实施方案: 1.认证漏洞检测 利用 x-scan 进行扫描 打开 x-scan 扫描,在“设置”菜单里点击“扫描参数”,进行全局核查建设置。 2 在“检测范围”中的“指定 IP 范围”输入要检测的目标主机的域名或 IP,也可以对一个 IP 段进行检查 在全局设置中,我们可以选择线程和并发主机数量。 在“端口相关设置”中我们可以自定义一些需要检测的端口。检测方式 “TCP” 、 “SYN” 两种。 “SNMP 设置”主要是针对简单网络管理协议(SNMP)信息的一些检测设置。 3 “NETBIOS 相关设置”是针对 WINDOW
4、S 系统的网络输入输出系统(NetworkBasic Input/Output System)信息的检测设置,NetBIOS 是一个网络协议,包括的服务有很多,我 们可以选择其中的一部分或全选。 “漏洞检测脚本设置”主要是选择漏洞扫描时所用的脚本。漏洞扫描大体包括 CGI 漏洞扫 描、POP3 漏洞扫描、FTP 漏洞扫描、SSH 漏洞扫描、HTTP 漏洞扫描等。这些漏洞扫描是基 于漏洞库, 将扫描结果与漏洞库相关数据匹配比较得到漏洞信息; 漏洞扫描还包括没有相应 漏洞库的各种扫描,比如 Unicode 遍历目录漏洞探测、FTP 弱势密码探测、OPENRelay 邮 件转发漏洞探测等,这些扫描通
5、过使用插件(功能模块技术)进行模拟攻击,测试出目标主 机的漏洞信息。 开始扫描 4 设置好参数以后,点击“开始扫描”进行扫描,X-Scan 会对目标主机进行详细的检测。 扫描过程信息会在右下方的信息栏中看到,如图所示: 扫描结果 扫描结束后,默认会自动生成 HTML 格式的扫描报告,显示目标主机的系 统、开放端口及服务、安全漏洞等信息: 可以看到管理员密码为空 2 使用 IPC$进行连接,去除 NTLM 验证 建立 ipc$空连接 建立磁盘映射 5 建立批处理文件 上传至远程主机上传至远程主机 按计划执行文件按计划执行文件 建立开启建立开启 telnet 批处理命令批处理命令 6 传送到远程主
6、机并执行 将 instsrv.exe 上传到远程主机 telnet 连接远程主机后使用 instsrv.exe 建立一个名为 syshealth 的服务 清除痕迹清除痕迹 手工清除服务器日志 入侵者通过多种途径来擦除留下的痕迹, 其中手段之一就是在远程被控主机的 【控制面 7 板】窗口中,打开事件记录窗口,从中对服务器日志进行手工清除。 具体的实现方法如下: (1)入侵者先用 IPC$连接过去之后,在远程主机的【控制面板】窗口中,双击【管理 工具】图标项打开【管理工具】窗口。 (2)双击其中的【计算机管理】图标项,即可打开【计算机管理】窗口。 (3)展开【计算机管理(本地) 】【系统工具】【事件查看器】选项之后,打开事 件记录窗格,其中的事件日志分为三类: “应用程序”日志、 “安全性”日志及“系统”日志, 如图 12-10 所示。 (4)这三类日志分别记录不同种类的事件,右击相应日志,在弹出的快捷菜单中选择 【清除】菜单项,即可清除指定日志。 (5) 如果入侵者想做得更干净一点, 则可以在 【计算机管理】 窗口
