实验三 留后门与清脚印的防范.docx
- 文档编号:5395967
- 上传时间:2022-12-15
- 格式:DOCX
- 页数:12
- 大小:276.32KB
实验三 留后门与清脚印的防范.docx
《实验三 留后门与清脚印的防范.docx》由会员分享,可在线阅读,更多相关《实验三 留后门与清脚印的防范.docx(12页珍藏版)》请在冰豆网上搜索。
实验三留后门与清脚印的防范
实验三 留后门与清脚印的防范
【实验目的】
●了解帐号后门以及防范手段
●掌握手工克隆帐号原理
●掌握日志清除的防范方法
【实验需求】
●计算机两台,要求安装Windows2000操作系统
●交换机一台、直连线两根
●权限提升工具PSU.exe
【实验步骤】
预步骤:
建立IPC连接,映射驱动器,上传PSU.exe到目标主机
一、设置隐藏帐号
1、试运行权限提升工具PSU.exe测试结果如图
2、进入任务管理器,查看SYSTEM的PID号如图PID为8
3、使用PSU工具把它加载到注册表中
4、在注册表中找到存放系统帐号名称以及配置信息的注册项。
5、找到Administrator查看他的类型如图.它的类型为0x1f4
6、打开系统管理员的权限里面的F项把里面的16进制数据复制出来
7、使用刚才的方法找到GUEST用户打开相同的项把刚才复制的16进制数据粘贴进去
8为了隐蔽性我们把GUEST帐号禁用首先在命令行模式下键入”netuserguest/active:
no。
9下面我们来看下当前Guest帐号的状态在命令行下输入“netuserGuest”。
由图3-10可以看出Guest用户只属于Guest组,接下来打开计算机管理中的帐号中的帐号管理可以发现Guest用户已经被禁用了。
10注销后用Guest帐号登陆发现桌面配置与Administrator用户完全一样,下面我们用这个帐号执行一个只有系统管理员才有权执行的操作,如果成功那表示这个帐号后门可用
二、清除日志:
1、首先制作一个DOS下的批处理文件用于删除所有的日志,把它保存为.bat文件
2置它的运行时间
3通过检查被攻击主机的日志信息,可以发现内容为空
在入侵到对方的服务器之后,IIS将会详细地记录下入侵者入侵的全部过程。
在IIS中,WWW日志默认的存储位置是C:
\windows\system32\logfiles\w3svc1\,每天都产生一个新日志。
可以在命令提示符窗口中通过"del*.*"命令来清除日志文件,但这个方法删除不掉当天的日志,这是因为w3svc(即WorldWideWebPublishing)服务还在运行着。
(1)可以用“netstopw3svc”命令把这个服务停止之后,
(2)再用“del*.*”命令,就可以清除当天的日志了,
(3)最后用“netstartw3svc”命令再启动w3svc服务就可以了。
注意:
删除日志前要先停止相应的服务,再进行删除,日志删除后务必要记得再打开相应的服务。
也可修改目标计算机中的日志文件,其中WWW日志文件存放在w3svc1文件夹下,FTP日志文件存放在msftpsvc文件夹下,每个日志都是以exXXXXXX.log为命名的(其中xxxxxx代表日期)。
FTP日志的默认存储位置为C:
\windows\system32\logfiles\msftpsvc1\,其清除方法WWW日志的方法类似,只是所要停止的服务不同:
(1)在命令提示符窗口中运行"netstopmstfpsvc"命令即可停掉msftpsvc服务。
(2)运行"del*.*"命令或找到日志文件,并将其内容删除。
(3)最后通过运行"netstartmsftpsvc"命令,再打开msftpsvc服务即可
三、安全解决方案
1、杜绝Guest帐户的入侵。
可以禁用或彻底删除Guest帐户,但在某些必须使用到Guest帐户的情况下,就需要通过其它途径来做好防御工作了。
首先要给Guest设一个强壮的密码,然后详细设置Guest帐户对物理路径的访问权限(注意磁盘必须是NTFS分区)。
例如禁止Guest帐户访问系统文件夹。
可以右击“WINNT”文件夹,在弹出菜单中选择“安全”标签,从中可看到可以访问此文件夹的所有用户。
删除管理员之外的所有用户即可
2、日志文件的保护。
首先找出日志文件默认位置,以管理员身份登录进系统,并在该系统的桌面中依次单击“开始”-“运行”命令,在弹出的系统运行对话框中,输入字符串命令“compmgmt.msc”,单击“确定”按钮后打开服务器系统的计算机管理窗口。
3、其次在该管理窗口的左侧显示窗格中,用鼠标逐一展开“系统工具”-“事件查看器”分支项目,在“事件查看器”分支项目下面我们会看到“系统”、“安全性”以及“应用程序”这三个选项。
要查看系统日志文件的默认存放位置时,我们可以直接用鼠标右键单击“事件查看器”分支项目下面的“应用程序”选项,从随后弹出的快捷菜单中执行“属性”命令。
在该窗口的常规标签页面中,我们可以看到本地日志文件的默认存放位置为“C:
\WINDOWS\system32\config\AppEvent.Evt”
4、做好日志文件挪移准备,为了让服务器的日志文件不被外人随意访问,我们必须让日志文件挪移到一个其他人根本无法找到的地方,例如可以到E分区的一个“E:
\aaa\”目录下面创建一个“bbb”目录
5、正式挪移日志文件,将对应的日志文件从原始位置直接拷贝到新目录位置“E:
\aaa\bbb\”下
6、修改系统注册表做好服务器系统与日志文件的关联,依次单击系统桌面中的“开始”-“运行”命令,在弹出的系统运行对话框中,输入注册表编辑命令“regedit”,单击回车键后,打开系统的注册表编辑窗口;用鼠标双击“HKEY_LOCAL_MACHINE”注册表子键,在随后展开的注册表分支下面依次选择“SYSTEM”、“CurrentControlSet”、“Services”、Eventlog”项目,在对应“Eventlog”项目下面我们会看到“System”、“Security”、“Application”这三个选项
7、在对应“System”注册表项目的右侧显示区域中,用鼠标双击“File”键值,打开如图2所示的数值设置对话框,然后在“数值数据”文本框中,输入“E:
\aaa\bbb\SysEvent.Evt”字符串内容,也就是输入系统日志文件新的路径信息,最后单击“确定”按钮;同样地,我们可以将“Security”、“Application”下面的“File”键值依次修改为“E:
\aaa\bbb\SecEvent.Evt”、“E:
\aaa\bbb\AppEvent.Evt”,最后按一下键盘中的F5功能键刷新一下系统注册表,就能使系统日志文件的关联设置生效了
实验小结
1.账号克隆是什么意思?
在注册表中有两处保存了账号的SID相对标志符,一处是注册表HKEY_LOCAL_MACHINE\SAM\AMDomains\AccountUsers下的子键名,另一处是该子键的子项F的值。
但微软犯了个不同步它们的错误,登录时用的是后者,查询时用前者。
当用Administrator的F项覆盖其他账号的F项后,就造成了账号是管理员权限,但查询还是原来状态的情况,这就是所谓的克隆账号。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 实验三 留后门与清脚印的防范 实验 后门 脚印 防范