《项目2基于IPC共享连接和Telnet的攻击与防范.ppt》由会员分享,可在线阅读,更多相关《项目2基于IPC共享连接和Telnet的攻击与防范.ppt(55页珍藏版)》请在三一文库上搜索。
1、学习情境二:网络的认证攻击与防范,项目2 基于IPC$共享连接和Telnet的攻击与防范,项目2 基于IPC$共享连接和Telnet的攻击与防范,课题引入 IPC$入侵 Telnet入侵,课题引入项目背景,基于认证入侵的方式 远程文件操作 远程屏幕检视 远程命令执行 远程进程管理 远程计算机管理 远程注册表修改 远程登录主机 获取认证密码,课题引入项目分析,完成本项目需要解决的问题: 如何基于认证实现入侵? IPC$入侵如何实现? Telnet入侵如何实现?,课题引入教学目标,完成本项目需要实现的教学目标: 基于认证入侵的方法(理解) IPC$入侵实现的方法(重点掌握) Telnet入侵方法(
2、重点掌握),课题引入应达到的职业能力,了解基于认证入侵的方法 能够熟练掌握IPC$入侵的方法 能够利用Telnet入侵,项目问题1 IPC$入侵,IPC$是Windows系统特有的一项管理功能,是微软公司为了方便用户使用计算机而设计的,主要用来远程管理计算机。但事实上,使用这项功能最多的人不是网络管理员,而是“入侵者”!他们通过IPC$连接远程主机,并通过IPC$连接可以实现: 建立、拷贝、删除远程计算机文件 在远程计算机上执行命令,项目问题1 远程文件操作(一),什么是IPC$ IPC是英文Internet Process Connection的缩写,可以理解为“命名管道”。IPC后面的“$
3、”表示隐藏符号。 IPC$是Windows2000/XP/2003及Windows NT特有的一项功能。IPC$就好像是挖好的地道,通信程序就通过这个地道访问目标主机。 默认情况下,IPC$共享是开启的,除非手动删除。通过IPC$连接,入侵者就可以实现远程控制目标主机。,项目问题1 远程文件操作(二),Windows操作系统的默认共享 为了配合IPC共享工作,Windows操作系统在安装完成后,自动设置共享的目录为:C盘、D盘、E盘、ADMIN目录。 上述共享是隐藏的,通过“net share”命令查看本机的共享资源,项目问题1 远程文件操作(二),项目问题1 远程文件操作(三),DOS命令
4、DIR命令 CD命令 net user:系统帐号类命令 net localgroup:系统组操作 net use:远程连接、映射操作,项目问题1 远程文件操作(三),DOS命令 net send:信使命令 net time:查看远程主机系统时间 cls:清屏命令 netstat n:查看本机网络连接状态 nbtstat a IP:查看指定IP主机的NetBIOS信息,项目问题1 建立IPC$连接,步骤一:单击“开始”-“运行”,在运行里输入“CMD”。,项目问题1 建立IPC$连接,步骤二:建立IPC$连接 使用命令:net use IPIPC$ “PASSWD” /USER: “ADMIN”
5、与目标主机建立IPC$连接,其中“ADMIN”是管理员帐号。,项目问题1 建立IPC$连接,项目问题1 建立IPC$连接,步骤三:映射网络驱动器 使用命令:net use z:192.168.0.106c$,项目问题1 建立IPC$连接,步骤四:使用指定文件,项目问题1 建立IPC$连接,步骤五:断开连接 键入net use * /del命令断开所有IPC$连接,项目问题1 留后门帐号(一),什么是BAT文件:BAT文件是Windows系统中的一种文件格式,称为批处理文件。将一系列DOS命令按先后顺序写在一个后缀名是BAT的文本文件中。 什么是计划任务:设置一定时间执行相应任务的功能,可以在W
6、indows系统的控制面板中找到。,项目问题1 留后门帐号(一),相关dos命令: copy:文件拷贝 at:用来建立计划任务 net time:查看目标系统时间 net user:查看帐号命令 net user name passwd /add: 建立帐号 net user name passwd /del:删除帐号 net local group:管理工作组,项目问题1 留后门帐号(二),步骤一:编写BAT文件,编写完成保存为“hack.bat”,项目问题1 留后门帐号(三),步骤二:与目标主机建立连接,项目问题1 留后门帐号(四),步骤三:拷贝文件至目标主机,留后门帐号(五),步骤四:通
7、过计划任务执行“hack.bat”文件,项目问题1 留后门帐号(六),步骤五:断开连接,验证后门帐号是否建立,项目问题1 IPC$空连接漏洞,漏洞描述:IPC$本来要求客户机要有足够的权限才能够连接,但是存在IPC$漏洞的计算机使用空用户名、空密码就可以连接,项目问题1 IPC$空连接漏洞,漏洞带来的影响:入侵者可以与目标主机进行空连接,但是无法执行管理类的操作,例如执行驱动器映射、上传文件、执行脚本等。虽然无法通过该漏洞直接获得管理员权限,但是可以探测目标主机的一些关键信息,在信息搜索中发挥一定的作用。 通过net time命令获取主机时间 通过USERINFO获得主机用户帐号 通过X-Sc
8、an扫描主机的用户信息,项目问题1 安全解决方案,删除默认共享:例如建立批处理文件,并写入如下语句:net share ipc$ /del net share admin$ /del net share c$ /del net share d$ /del 通过修改注册表删除默认共享:例如Windows2000服务器版本,Key:HKEY_LOCAL_MACHINESYSTEMCurrentControlServiceslanmanserverparameters 新建Name:AutoShareServer Type:DWORD(双字节),项目问题1 安全解决方案,禁止空连接:有了IPC$空连
9、接作为连接基础,入侵者可以进行反复的试探连接,直到连接成功,获取密码。打开注册表编辑器,在HKEY_LOCAL_MACHINESYSTEMCurrentControlSetLSA中把Restrict Anonymous=DWORD的键值改为00000001或者2,但是改成2可能造成一些服务不能正常工作。,项目问题1 安全解决方案,关闭Server服务:Server服务是IPC和默认共享所依赖的服务,关闭Server服务,IPC和默认共享便不存在,但同时也使服务器丧失其他一些功能,因此该方法不适合服务器,只适合个人计算机使用,项目问题1远程管理计算机,入侵者通过建立IPC$连接就可以通过Wind
10、ows自带的“计算机管理”工具控制远程计算机 计算机管理工具的打开 通过控制面板-管理工具-计算机管理 通过运行对话框-输入“compmgmt.msc /s”命令打开 右击我的电脑-选择管理 必须是Administrators组的成员才能完全使用计算机管理,项目问题2 Telnet概述,Telnet服务:Telnet用于提供远程登录服务,当终端用户登录到提供这种服务的主机时,就会得到一个shell(命令行),通过这个shell,终端用户可以执行远程主机上的任何程序,实现对远程主机的完全控制。 Telnet命令:telnet IP PORT 其中“PORT”是telnet的监听端口,默认是23,
11、如果不填端口,则表示连接到23号端口。,项目问题2 telnet实例分析,步骤一:建立IPC$连接 步骤二:管理远程计算机,项目问题2 telnet实例分析,步骤三:选择操作-连接到另一台计算机,项目问题2 telnet实例分析,步骤四:开启“计划任务”服务,项目问题2 telnet实例分析,步骤五:开启Telnet服务,项目问题2 telnet实例分析,步骤六:断开IPC$连接,查看计算机管理中的信息,项目问题2 telnet实例分析,查看共享会话,项目问题2 telnet实例分析,查看用户和组,通过BAT和计划任务开启telnet,如果入侵者能够使用管理员帐号与远程主机建立IPC$连接,那
12、就可以通过at命令在远程主机上开启telnet服务: 编写bat文件,键入“net start telnet”命令,然后另存为Tel.bat。“net stop”是关闭命令。 建立IPC$连接,把文件拷贝到远程主机 使用net time查看远程主机的时间,然后通过at命令建立计划任务,项目问题2 telnet相关问题,telnet对入侵者的作用 telnet是控制主机的第一手段 用来做跳板 关于NTLM验证:由于telnet功能太强大,而且也是入侵者使用最频繁的登录手段之一,因此微软为telnet添加了身份认证,称为NTLM验证。它要求telnet终端除了需要有telnet服务主机的用户名和密
13、码外,还需要满足NTLM验证。,去掉NTLM验证的方法一,首先,在本地计算机建立一个与远程主机相同的帐号和密码。,去掉NTLM验证的方法一,通过“开始”“程序”“附件”找到“命令提示符”,使用鼠标右键单击“命令提示符”,然后选择“属性”。在“以其他用户身份运行”前面打钩。,去掉NTLM验证的方法一,单击确定后,在MS-DOS界面中进行telnet登录,去掉NTLM验证的方法二,通过修改远程计算机telnet服务设置去除NTLM验证。 首先建立telnet.txt文件,然后写入3,7,y,0,y,0,0 建立批处理文件tel.bat,输入命令tlntadmntelnet.txt。该命令是吧tel
14、net.txt中的内容导入tlntadmn.exe 建立IPC$连接,将telnet.txt和tel.bat拷贝到远程计算机,并通过at命令执行tel.bat,去除NTLM认证,去掉NTLM验证的方法二分析,在命令提示行中输入tlntadmn,项目问题2 Telnet高级入侵过程,步骤一:使用X-Scan扫描NT弱口令主机 步骤二:去除NTLM验证,开启telnet服务 步骤三:使用AProMan查看进程、杀死进程 步骤四:使用Instsrv给目标主机安装服务,项目问题2 AProMan简介,AproMan以命令行方式查看进程、杀死进程,不会被杀毒软件查杀。如果发现目标主机有杀毒软件、防火墙,
15、可以先通过上传AProMan,将杀毒软件和防火墙杀掉。,项目问题2 AProMan简介,使用命令: c:AProMan.exe a 查看进程 c:AProMan.exe p 显示进程关联关系 c:AProMan.exe t PID 杀掉指定进程 c:AProMan.exe f FileName 把进程及模块信息存入文件,项目问题2 Instsrv简介,Instsrv是一款用命令行就可以安装、卸载服务的程序,可以自由指定服务名称和服务所执行的程序 使用方式: Instsrv Instsrv REMOVE,安装隐蔽的telnet服务,Windows执行telnet服务实际上运行的是 C:WinntSystem32tlntsvr.exe,安装隐蔽的Telnet服务,使用instsrv.exe建立一个名为syshealth的服务,安装隐蔽的Telnet服务,总 结,完成本项目的学习之后,我们已经掌握了基于认证入侵的方法。具体内容如下: 了解了基于认证入侵的方法 掌握了IPC$入侵的步骤方法 掌握了Telnet入侵的实现方法,作 业,对学校网络进行考察,完成以下两个题目: 1.对本机房服务器进行IPC$入侵? 2.通过Telnet对服务器进行入侵对结果加以记录,并进行比较.,