1、第第8 8講網(wǎng)絡(luò)后門與網(wǎng)絡(luò)隱身講網(wǎng)絡(luò)后門與網(wǎng)絡(luò)隱身內(nèi)容提要內(nèi)容提要一、建立網(wǎng)絡(luò)后門一、建立網(wǎng)絡(luò)后門為了保持對(duì)已經(jīng)入侵的主機(jī)長(zhǎng)久的控制，需要在主機(jī)上建立網(wǎng)絡(luò)后門，以后可以直接通過(guò)后門入侵系統(tǒng)。二、網(wǎng)絡(luò)隱身二、網(wǎng)絡(luò)隱身當(dāng)入侵主機(jī)以后，通常入侵者的信息就被記錄在主機(jī)的日志中，比如IP地址、入侵的時(shí)間以及做了哪些破壞活動(dòng)等等。為了入侵的痕跡被發(fā)現(xiàn)，需要隱藏或者清除入侵的痕跡三、實(shí)現(xiàn)隱身的方法三、實(shí)現(xiàn)隱身的方法n設(shè)置代理跳板n清除系統(tǒng)日志網(wǎng)絡(luò)后門網(wǎng)絡(luò)后門 是保持對(duì)目標(biāo)主機(jī)長(zhǎng)久控制的關(guān)鍵策略。可以通過(guò)建立服務(wù)端口建立服務(wù)端口和克隆管理員帳號(hào)克隆管理員帳號(hào)來(lái)實(shí)現(xiàn)。留后門的藝術(shù)：留后門的藝術(shù)：1、只要能不通過(guò)

2、正常登錄進(jìn)入系統(tǒng)的途徑都稱之為網(wǎng)絡(luò)后門。后門的好壞取決于被管理員發(fā)現(xiàn)的概率。2、只要是不容易被發(fā)現(xiàn)的后門都是好后門。3、讓管理員看了感覺(jué)沒(méi)有任何特別的。例例1 遠(yuǎn)程啟動(dòng)遠(yuǎn)程啟動(dòng)Telnet服務(wù)服務(wù)l 利用主機(jī)的Telnet服務(wù)，有管理員密碼就可以登錄到對(duì)方的命令行，進(jìn)而操作對(duì)方的文件系統(tǒng)。如果Telnet服務(wù)是關(guān)閉的，就不能登錄了。Win2K Server的Telnet默認(rèn)是關(guān)閉的，可運(yùn)行命令開啟本地Telnet服務(wù)。命令窗口輸入：命令窗口輸入：tlntadmn.exe第1步：開啟本地Telnet服務(wù)啟動(dòng)本地啟動(dòng)本地Telnet服務(wù)服務(wù)遠(yuǎn)程開啟對(duì)方的遠(yuǎn)程開啟對(duì)方的Telnet服務(wù)服務(wù)cscri

3、pt RTCS.vbe 09 administrator 123456 1 23其中：cscript是操作系統(tǒng)自帶的命令uRTCS.vbe是該工具軟件腳本文件uIP地址是要啟動(dòng)Telnet的主機(jī)地址uadministrator是用戶名，123456是密碼u1是登錄驗(yàn)證方式，23是Telnet開放的端口第2步：開啟對(duì)方Telnet服務(wù)遠(yuǎn)程開啟對(duì)方的遠(yuǎn)程開啟對(duì)方的Telnet服務(wù)服務(wù)登錄目標(biāo)主機(jī)登錄目標(biāo)主機(jī)Telnet服務(wù)服務(wù)輸入：Telnet 09因?yàn)門elnet的用戶名和密碼是明文傳遞的，會(huì)出現(xiàn)確認(rèn)發(fā)送信息對(duì)話框等待確認(rèn)。第3步：登錄目標(biāo)主機(jī)Teln

4、et服務(wù)登錄登錄Telnet的用戶名和密碼的用戶名和密碼 l 輸入“y”后再要求輸入用戶名和密碼，將進(jìn)入對(duì)方主機(jī)的命令行。例例2記錄管理員口令修改過(guò)程記錄管理員口令修改過(guò)程當(dāng)入侵到對(duì)方主機(jī)并得到管理員口令以后，就可以對(duì)主機(jī)進(jìn)行長(zhǎng)久入侵了。但是一個(gè)好的管理員一般每隔半個(gè)月左右就會(huì)修改一次密碼，這樣已經(jīng)得到的密碼就不起作用了。可用軟件Win2kPass.exe記錄修改的新密碼。它會(huì)將密碼記錄在Winnttemp目錄下的Config.ini文件中，有時(shí)候文件名可能不是Config，但是擴(kuò)展名一定是ini，該工具軟件是有“自殺”的功能，就是當(dāng)執(zhí)行完畢后，自動(dòng)刪除自己。記錄管理員口令修改過(guò)程記錄管理員口

5、令修改過(guò)程l 首先在對(duì)方系統(tǒng)中執(zhí)行Win2KPass，當(dāng)對(duì)方主機(jī)管理員密碼修改并重啟計(jì)算機(jī)以后，就在Winnttemp目錄下產(chǎn)生一個(gè)ini文件。通過(guò)獲取該文件可獲取新的密碼。例例3 建立建立Web服務(wù)和服務(wù)和Telnet服務(wù)服務(wù) 使用wnc.exe可以在對(duì)方的主機(jī)上開啟兩個(gè)服務(wù)：Web服務(wù)（端口是808 ）Telnet服務(wù)（端口是707 ）只要在對(duì)方的命令行下執(zhí)行一下wnc.exe即可用netstat an查看開啟的端口測(cè)試測(cè)試Web服務(wù)服務(wù) 首先測(cè)試Web服務(wù)808端口，在瀏覽器地址欄中輸入09:80809:808若出現(xiàn)主機(jī)

6、的盤符列表，成功！看密碼修改記錄文件看密碼修改記錄文件 l 可以下載對(duì)方硬盤或光盤上的任意文件（對(duì)于漢字文件名的文件下載有問(wèn)題）l 可到Winnt/temp下查看對(duì)方密碼修改記錄文件。利用利用telnet命令連接命令連接707端口端口 l telnet 09 707登錄到對(duì)方主機(jī)l 注意：不需要任何的用戶名和密碼，就可以登錄對(duì)方主機(jī)的命令行！呵呵，厲害！呵呵，厲害！將其設(shè)為自啟動(dòng)程序?qū)⑵湓O(shè)為自啟動(dòng)程序1.通過(guò)707端口也可以方便的獲得對(duì)方的管理員權(quán)限。2.wnc功能強(qiáng)大，但是不能自動(dòng)執(zhí)行，需要將它加到自啟動(dòng)程序列表中。3.一般將wnc.exe文件放到對(duì)方的winnt目錄或

7、者winnt/system32目錄下（由于它們都是系統(tǒng)環(huán)境目錄，執(zhí)行其中的文件不需要給出具體的路徑）4.將wnc.exe和reg.exe拷貝對(duì)方的winnt目錄下。將將wnc加到自啟動(dòng)列表加到自啟動(dòng)列表 執(zhí)行：reg.exe add HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun /v service /d wnc.exe例例4 讓禁用的讓禁用的Guest具有管理權(quán)限具有管理權(quán)限 操作系統(tǒng)所有的用戶信息都保存在注冊(cè)表中，但是如果直接使用“regedit”命令打開注冊(cè)表，該鍵值是隱藏的。但可用psu.exe得到該鍵值的查看和編輯權(quán)將它拷貝對(duì)方主機(jī)的C盤

8、下，并在任務(wù)管理器查看對(duì)方主機(jī)winlogon.exe進(jìn)程的ID號(hào)或者使用pulist.exe文件查看該進(jìn)程的ID號(hào)。 psu -p regedit -i pid （此處pid為192 ）在執(zhí)行該命令的時(shí)候必須將注冊(cè)表關(guān)閉，執(zhí)行完命令以后，自動(dòng)打開了注冊(cè)表編輯器，查看SAM下的鍵值。查看查看winlogon.exe的進(jìn)程號(hào)的進(jìn)程號(hào) 192查看查看SAM鍵值鍵值 在Win2K server中：Administrator為0 x1f4guest一般為0 x1f5拷貝管理員配置信息拷貝管理員配置信息 l 根據(jù)“0 x1f4”和“0 x1f5”找到Administrator和guest帳戶的配置信息。

9、l 雙擊“000001F4”目錄下鍵值“F”，可以看到該鍵值的二進(jìn)制信息，將這些二進(jìn)制信息全選，并拷貝到出來(lái)。l 將拷貝出來(lái)的信息全部覆蓋到“000001F5”目錄下的“F”鍵值中保存鍵值保存鍵值 l Guest帳戶已經(jīng)具有管理員權(quán)限了。為使它能在禁用狀態(tài)登錄，下一步將Guest帳戶信息導(dǎo)出注冊(cè)表。l 選擇User目錄，選擇菜單欄“注冊(cè)表”下 “導(dǎo)出注冊(cè)表文件”，將該鍵值保存為一個(gè)配置文件。刪除刪除Guest帳戶信息帳戶信息 l 打開“計(jì)算機(jī)管理”對(duì)話框，刪除Guest帳戶l 打開注冊(cè)表，刪除“00001F5”兩個(gè)目錄。l 刷新對(duì)方主機(jī)的用戶列表，出現(xiàn)用戶找不到的對(duì)話框修改修改Guest帳戶的

10、屬性帳戶的屬性 l 然后再將剛才導(dǎo)出的信息文件，再導(dǎo)入注冊(cè)表。再刷新用戶列表就不會(huì)出錯(cuò)了。l 在對(duì)方主機(jī)的命令行下命令行下修改Guest的用戶屬性。l 首先修改Guest帳戶的密碼，并將Guest帳戶開啟和停止.c:net user guest 123456c:net user guest /active:yesc:net user guest /active:no利用禁用的利用禁用的guest帳戶登錄帳戶登錄 l 查看Guest帳戶，發(fā)現(xiàn)該帳戶使禁用的，但卻能登錄l 注銷退出系統(tǒng)，然后用用戶名：“guest”，密碼：“123456”登錄系統(tǒng)，一定成功！連接終端服務(wù)的軟件連接終端服務(wù)的軟件 l

11、 終端服務(wù)是Windows系統(tǒng)自帶的，可以遠(yuǎn)程通過(guò)圖形界面操縱服務(wù)器。默認(rèn)情況下終端服務(wù)的端口是3389。可以在系統(tǒng)服務(wù)中查看終端服務(wù)是否啟動(dòng)。l netstat an來(lái)查看該端口是否開放連接到終端服務(wù)連接到終端服務(wù) l 管理員為了遠(yuǎn)程操作方便，該服務(wù)一般都是開啟的。黑客同樣可以遠(yuǎn)程圖形化界面來(lái)操作該主機(jī)！l 目前有三種常用方法連接到對(duì)方主機(jī)：n 使用Win2K的遠(yuǎn)程桌面連接工具。n 使用WinXP的遠(yuǎn)程桌面連接工具。n 使用基于瀏覽器方式的連接工具。例例5 5 三種方法連接到終端服務(wù)三種方法連接到終端服務(wù) l 第一種：利用Win2K自帶的終端服務(wù)工具：mstsc.exe。只需設(shè)置要連接主機(jī)的

12、IP和連接桌面的分辨率就可以。終端服務(wù)終端服務(wù)如果目標(biāo)主機(jī)的終端服務(wù)是啟動(dòng)的，可以直接登錄到對(duì)方的桌面，在登錄框輸入用戶名和密碼就可以在圖形化界面種操縱對(duì)方主機(jī)了。終端服務(wù)終端服務(wù)l 第二種：使用Win XP自帶的終端服務(wù)連接器：mstsc.exe。只要輸入對(duì)方的IP就可以。Web方式連接方式連接l 第三種：使用Web方式連接。該工具包含幾個(gè)文件，需要將這些文件配置到IIS的站點(diǎn)中去。配置配置Web站點(diǎn)站點(diǎn) l 將這些文件拷貝到本地本地IISIIS默認(rèn)Web站點(diǎn)的根目錄在瀏覽器中連接終端服務(wù)在瀏覽器中連接終端服務(wù) l 在瀏覽器中輸入：http:/localhostl 輸入對(duì)方的IP并選擇連接窗

13、口的分辨率，可登錄例例6 安裝并啟動(dòng)終端服務(wù)安裝并啟動(dòng)終端服務(wù)l 假設(shè)對(duì)方不僅沒(méi)有開啟終端服務(wù)，而且沒(méi)有安裝終端服務(wù)所需要的軟件。l 使用工具軟件djxyxs.exe，可以給對(duì)方安裝并開啟該服務(wù)。在該工具軟件中已經(jīng)包含了安裝終端服務(wù)所需要的所有文件。l 將該文件上傳并拷貝到對(duì)方服務(wù)器的Winnttemp目錄下（必須放置在該目錄下，否則安裝不成功！）。1.執(zhí)行djxyxs.exe，會(huì)自動(dòng)進(jìn)行解壓將文件全部放置到當(dāng)前的目錄下；2.在當(dāng)前目錄下執(zhí)行解壓出來(lái)的程序azzd.exe，將自動(dòng)在對(duì)方服務(wù)器上安裝并啟動(dòng)終端服務(wù)。3.完成后服務(wù)器會(huì)重啟，之后可用終端服務(wù)連接軟件登錄到對(duì)方服務(wù)器了。例例6 安裝并

14、啟動(dòng)終端服務(wù)安裝并啟動(dòng)終端服務(wù)木馬木馬l 木馬是一種可以駐留在對(duì)方系統(tǒng)中的一種程序。l 木馬一般由兩部分組成：服務(wù)器端和客戶端。l 駐留在對(duì)方服務(wù)器的稱之為木馬的服務(wù)器端，遠(yuǎn)程的可以連到木馬服務(wù)器的程序稱之為客戶端。l 木馬的功能是通過(guò)客戶端可以操縱服務(wù)器，進(jìn)而操縱對(duì)方的主機(jī)。l 木馬程序在表面上看上去沒(méi)有任何的損害，實(shí)際上隱藏著可以控制用戶整個(gè)計(jì)算機(jī)系統(tǒng)、打開后門等危害系統(tǒng)安全的功能。常見木馬的使用常見木馬的使用l 常見的簡(jiǎn)單木馬有：1、NetBus遠(yuǎn)程控制2、冰河3、PCAnyWhere遠(yuǎn)程控制“冰河”包含兩個(gè)程序文件： 服務(wù)器端(win32.exe) 客戶端(Y_Client.exe)例

15、例7 7 使用使用“冰河冰河”進(jìn)行遠(yuǎn)程控制進(jìn)行遠(yuǎn)程控制l 將win32.exe在遠(yuǎn)程計(jì)算機(jī)上執(zhí)行以后，通過(guò)Y_Client.exe文件來(lái)控制遠(yuǎn)程得服務(wù)器。選擇配置菜單選擇配置菜單 l 將服務(wù)器程序種到對(duì)方主機(jī)之前需對(duì)服務(wù)器程序做一些設(shè)置：比如連接端口，連接密碼等。選擇菜單欄“設(shè)置”下的菜單項(xiàng)“配置服務(wù)器程序”。設(shè)置設(shè)置“冰河冰河”服務(wù)器配置服務(wù)器配置 查看注冊(cè)表查看注冊(cè)表 l 點(diǎn)擊按鈕“確定”以后，就將“冰河”的服務(wù)器種到某一臺(tái)主機(jī)上了。執(zhí)行完win32.exe文件以后，系統(tǒng)沒(méi)有任何反應(yīng)，其實(shí)已經(jīng)更改了注冊(cè)表，并將服務(wù)器端程序和文本文件進(jìn)行了關(guān)聯(lián)，當(dāng)用戶雙擊一個(gè)擴(kuò)展名為txt的文件的時(shí)候，就會(huì)

16、自動(dòng)執(zhí)行冰河服務(wù)器端程序。l沒(méi)有中冰河時(shí)，該注冊(cè)表項(xiàng)應(yīng)該是使用notepad.exe文件來(lái)打開txt文件，中冰河后是用SYSEXPLR.EXE來(lái)打開txt文件，其實(shí)它就是“冰河”的服務(wù)器端程序！使用冰河客戶端添加主機(jī)使用冰河客戶端添加主機(jī) l 目標(biāo)主機(jī)中了冰河了，可以利用客戶端程序來(lái)連接服務(wù)器端程序。在客戶端添加主機(jī)的IP及密碼。查看對(duì)方的目錄列表查看對(duì)方的目錄列表 查看并控制遠(yuǎn)程屏幕的菜單查看并控制遠(yuǎn)程屏幕的菜單 l 可以在對(duì)方計(jì)算機(jī)上進(jìn)行任意的操作，除此以外還可以查看并控制對(duì)方的屏幕等等。網(wǎng)絡(luò)代理跳板網(wǎng)絡(luò)代理跳板 l 當(dāng)從本地入侵其他主機(jī)的時(shí)候，自己的IP會(huì)暴露給對(duì)方。通過(guò)將某一臺(tái)主機(jī)設(shè)置

17、為代理，通過(guò)該主機(jī)再入侵其他主機(jī)，這樣就會(huì)留下代理的IP地址，這樣就可以有效的保護(hù)自己的安全。二級(jí)代理的基本結(jié)構(gòu)圖。代理服務(wù)器一本地計(jì)算機(jī)代理服務(wù)器二被入侵的主機(jī)l 本地通過(guò)兩級(jí)代理入侵某一臺(tái)主機(jī)，這樣在被入侵的主機(jī)上，就不會(huì)留下的自己的信息。可以選擇更多的代理級(jí)別，但考慮到網(wǎng)絡(luò)帶寬的問(wèn)題，一般選擇兩到三級(jí)較合適。l 選擇代理服務(wù)的原則是選擇不同地區(qū)的主機(jī)作為代理。l 可以選擇做代理的主機(jī)有一個(gè)先決條件，必須先安裝相關(guān)的代理軟件，一般都是將已經(jīng)被入侵的主機(jī)作為代理服務(wù)器。 網(wǎng)絡(luò)代理跳板網(wǎng)絡(luò)代理跳板 網(wǎng)絡(luò)代理跳板工具的使用網(wǎng)絡(luò)代理跳板工具的使用 l Snake是比較常用而且功能比較強(qiáng)大的代理工具

18、。l Snake的代理跳板，支持TCP/UDP代理，支持多個(gè)（最多達(dá)到255）跳板。l 程序文件為：SkSockServer.exe，代理方式為Sock5，并自動(dòng)打開默認(rèn)端口1813監(jiān)聽。使用使用Snake代理跳板代理跳板 l 使用Snake代理跳板需要首先在每一級(jí)跳板主機(jī)上安裝Snake代理服務(wù)器。程序文件是SkSockServer.exe，將該文件拷貝到目標(biāo)主機(jī)上。l 一般首先將本地計(jì)算機(jī)設(shè)置為一級(jí)代理，將文件拷貝到C盤根目錄下，然后將代理服務(wù)安裝到主機(jī)上。Sksockserver的配置的配置1 1：sksockserver install將代理服務(wù)安裝在主機(jī)中2 2：sksockserv

19、er -config port 1122將代理服務(wù)的端口設(shè)置為1122（也可為其他數(shù)值）3 3：sksockserver -config starttype 2 將該服務(wù)的啟動(dòng)方式設(shè)置為自動(dòng)啟動(dòng)4 4：net start skserver 啟動(dòng)代理服務(wù) 后用“netstat -an” 查看1122端口是否開放代理級(jí)別配置工具代理級(jí)別配置工具 l 本地設(shè)置完畢以后，在網(wǎng)絡(luò)上其他的主機(jī)上設(shè)置二級(jí)代理（如在09的主機(jī)上，類同）l 使用本地代理配置工具：SkServerGUI.exel “配置”-“經(jīng)過(guò)的SKServer”，設(shè)置代理的順序，第一級(jí)代理是本地的1122端口，IP地址

20、是，第二級(jí)代理是09，端口是1122端口，注意將復(fù)選框“允許”選中。設(shè)置經(jīng)過(guò)的代理服務(wù)器設(shè)置經(jīng)過(guò)的代理服務(wù)器 設(shè)置可以訪問(wèn)代理的客戶端設(shè)置可以訪問(wèn)代理的客戶端 之后在命令下“啟動(dòng)”該代理跳板安裝程序和漢化補(bǔ)丁安裝程序和漢化補(bǔ)丁 l 該程序啟動(dòng)以后監(jiān)聽的端口是“1913”。下面需要安裝代理的客戶端程序，該程序包含兩個(gè)程序，一個(gè)是安裝程序，一個(gè)漢化補(bǔ)丁（如果不安裝補(bǔ)丁程序?qū)⒉荒苁褂茫ＴO(shè)置設(shè)置Socks代理代理 l 安裝sc32r231+SC32231-Ronnier后進(jìn)行配置。設(shè)置需要代理的應(yīng)用程序設(shè)置需要代理的應(yīng)用程序 l 添加需要代理的應(yīng)用程序，點(diǎn)擊工

21、具欄圖標(biāo)“新建”，比如現(xiàn)在添加Internet Explore添加進(jìn)來(lái)。運(yùn)行IEIE中連接中連接0909查看使用代理的情況查看使用代理的情況 l 在IE的連接過(guò)程中，查看代理跳板的對(duì)話框，可以看到連接的信息。這些信息在一次連接會(huì)話完畢后會(huì)自動(dòng)消失，必須在連接的過(guò)程中查看清除日志清除日志 l 清除日志是黑客入侵的最后的一步，黑客能做到來(lái)無(wú)蹤去無(wú)影，這一步起到?jīng)Q定性的作用。 清除清除IIS日志日志清除主機(jī)日志清除主機(jī)日志清除清除IIS日志日志l 當(dāng)用戶訪問(wèn)某個(gè)IIS服務(wù)器以后，無(wú)論是正常的訪問(wèn)還是非正常的訪問(wèn)，IIS都會(huì)記錄訪問(wèn)者的IP地址以及訪問(wèn)時(shí)間等信息。這些信息記錄在WinntSystem32logFiles目錄下。 IIS日志的格式日志的格式 l IIS日志記錄了用戶訪問(wèn)的服務(wù)器文件、用戶登錄時(shí)間、用戶的IP、用戶瀏覽器、操作系統(tǒng)的版本號(hào)。清除清除I