实验目的
学习并了解木马的相关概念 理解木马植入的方法与原理 掌握植入木马的方法 实现实验所提到的命令和工具,得到实验结果
实验原理
木马的植入: 木马的植入是指让木马的服务端在目标系统内运行起来的过程。木马之所以能够成功地植入,归根结底是利用了目标系统存在的各种漏洞,包括技术上的漏洞和人员方面的疏漏。技术上的漏洞是指计算机系统因设计不周而导致的系统或软件存在的缺陷,从而使攻击者在触发漏洞的情况下可以对系统进行非授权访问或破坏,从触发的机理上主要分为数据处理和文档解析两大类。 直接植入: 所谓直接植入,是指攻击者直接将木马服务端送达到目标系统内并使之运行起来的过程。该方式的特点是,攻击者主动参与,而目标用户未参与不知情,目标明确,针对性强。其原理通常是,攻击目标系统中存在的远程网络安全漏洞,使得攻击者可以在远程目标系统上执行任意代码,从而植入木马。目标系统的远程网络安全漏洞主要包括三种类型:软件系统漏洞、web系统漏洞、网络配置漏洞。 间接植入: 间接植入主要是指,攻击者没有明确的目标,没有与目标用户接触,没有直接将木马服务端或恶意代码发送到目标系统,而是存放在第三方服务器上,用户访问时由于不知情或浏览器存在漏洞,在自己的操作中使木马服务端或恶意代码得到运行,完成了木马的植入。攻击者通常会选择访问量较多的公共网站作为第三方服务器,撒网式地捕获目标,从某种意义上看,木马是被用户自己植入到系统中的。该植入过程的特点是,攻击者未直接参与,目标用户主动参与,目标的产生具有很大的随机性。该类型植入的目标并不是网站本身,而是访问网站的目标用户,尤其当网站为热门的论坛社区、求职网站、政府网站时,危害巨大。第三方网站一般原本不具有攻击性,之所以包含了木马服务端或恶意代码,一是网站系统本身被攻击导致内容被感染,二是攻击者通过网站的正常功能提交了恶意内容,具体情况包括:软件捆绑木马、网页恶意脚本、木马的再感染。
实验内容
介绍木马相关的基本概念与原理 理解冰河木马的特征与功能 初步掌握木马植入的方法与原理
实验环境描述
1、 学生机与实验室网络直连;
2、 VPC与实验室网络直连;
3、学生机与VPC物理链路连通;
PC1:172.16.1.130 PC2:172.16.1.131 控制机器:H007002004win02 被控制机器:H007002004win2003
实验步骤
1、学生单击实验拓扑按钮,进入实验场景,进入目标主机
2、学生输入账号administrator ,密码123456
3、本次实验是实现本机对虚拟机或虚拟机对虚拟机的植入木马
VM虚拟机安全策略配置(在被控制机器)
1)、配置方法如下图所示,控制面板->管理工具->本地安全设置->本地策略->安全选项,将“账户:使用空白密码的本地账户只允许进行控制台登陆”设置为禁用,如下图所示:
2)、同样在安全选项中将网络访问:本地账户的共享和安全模式调整为经典模式,如下图,这样在登录时可以使用管理员账户获取到最大权限,否则只能以guest模式运行,导致文件无法上传。
4、上传冰河木马服务端(控制机向被控制机可以通过ipc管道漏洞进行传输)
1)、在控制端上解压桌面上Glacier,获得冰河木马的客户端与服务端程序,在控制端上运行G_CLIENT.EXE,即
客户端程序,点击起始地址的小电脑图标自动搜索进行主机扫描。
查找IP地址:在“起始域”编辑框中输入要查找的IP地址,如欲搜索IP地址172.16.1.1至172.16.1.150网段的计算机,则“起始域”设为172.16.1,“起始地址”和“终止地址”分别设为1和150,然后点击“开始搜索”按钮,右边列表框中显示检测到网络内计算机的IP地址,如下图:(ip自己设定本次以172.16.1为例)
此时可以看到,搜索结果中目标主机172.16.1.130前是“ERR”,表示这台主机目前无法控制。因此,为了能控制这台主机,需要令该主机感染冰河木马。
2)、本机上以管理员模式开启命令行,并使用如下图所示命令 net use \\目标机ip \ipc$(本次实验的目标机的ip为172.16.1.130),如果目标机设置相应的用户名和密码还要输入相应的用户名和密码。
3)、向目标主机(被控制机)传输冰河木马程序。首先在命令行内获取目标主机的当前时间,如下图:
然后根据该时间设置木马启动事件的时间(确保服务端已经在受控制主机VPC1上,可通过远程桌面或者共享的方式将服务端放到受控制机上,实验已经把服务端放在客户端的桌面上),具体命令如下图:
当目标主机的系统时间到达设定时间之后,G_Server.exe程序自动启动,并且无任何提示
此时,再用G_Client.exe搜索计算机,可得到如下图所示结果:
从搜索结果中可以看到,安装了冰河木马的计算机(IP地址为172.16.1.130)的IP地址前变为“OK”。
5、使用木马客户端连接被攻击计算机
1)、在本机上,右击“文件管理器”中的“172.16.1.130”,并选择“修改”,可以对访问口令进行修改,然后点击
“应用”,即可连接成功,如下图所示:
连接成功,说明木马已成功植入目标计算机,然后可以在“命令控制台”下对目标计算机进行相关的控制操作,例如屏幕控制、弹窗发送消息、进程控制等。
6、实验完毕,关闭虚拟机和所有窗口。