网络渗透攻击实训教程.docx
《网络渗透攻击实训教程.docx》由会员分享,可在线阅读,更多相关《网络渗透攻击实训教程.docx(94页珍藏版)》请在冰豆网上搜索。
网络渗透攻击实训教程
网络渗透攻击实训项目
PracticalTrainingSystemforNetwork
PenetrationAttacks
长春职业技术学院
第一章实训项目
1.1实训概述
网络渗透攻击事件的发生极为普遍,众多的网络管理员和网络安全工作者却对网络安全环境所面临的严峻考验缺乏足够的认识,因而也未曾采取全面的防范补救措施应对各种攻击行为。
《孙子兵法》曰“知已知彼,百战不殆;不知彼而知已,一胜一负;不知彼不知已,每战必败”。
建立有效的防御体系的惟一障碍是知识的不足。
不论你是一位信息安全技术的爱好者、一位IT专家或一名有经验的信息安全实践者,只要你想建立起一个有效的防御体系,就必须了解黑客们所使用的基本工具和手段。
以“网络渗透攻击”为切入点,就是要让实训对象认清网络安全环境和网络渗透入侵的一些普遍规律,并有针对性的补充知识和采取全面的防范补救措施,为网络防御提供事件依据和需求来源。
力争打破常规实训体系,不同于普通实训书籍或培训机构的教学模式,实现由浅入深、由意识到技术分而治之的教学模式。
1.2事件回顾
1.2.1新闻转载
【“天才黑客”窃取网络虚拟财产,谁之过?
】
2006年8月,X市警方成功破获“黑客”攻击Z网络服务公司事件,犯罪嫌疑人Y某被成功抓获。
前不久,X市公安局网监大队接到报案,Z公司称近期发现公司内部OA管理系统、客服系统、虚拟币卡管理系统、游戏后台管理系统等八十个系统被人入侵,内部13台服务器被植入木马病毒,该公司计算机信息系统被严重破坏。
经过警方的调查,最终将犯罪嫌疑人Y某抓获。
经Y某交代,自7月份以来,他利用自己发现的Z公司的系统漏洞,非法入侵Z公司的计算机信息系统,并通过数据流监听的方式,逐步取得公司域密码及其他重要资料,进而取得多台服务器及PC的控制权,以及OA管理系统、客服系统、虚拟币卡管理系统、游戏后台管理系统等多个系统数据库的超级用户权限,在13台服务器中植入木马程序,并利用所获得的数据管理权限,先后修改多个用户号码的密码及密码保护资料,窃取了价值较大的网络虚拟财产,甚至威胁到了Z公司的生存。
犯罪嫌疑人Y某将其入侵的过程完整的进行记录,通过打电话和发短信的方式向Z公司进行敲诈勒索。
警方介绍,根据《刑法》相关规定,Y某构成破坏计算机信息系统罪被刑事拘留。
【千里之堤毁于蚁穴】
让我们回到2006年5月,犯罪嫌疑人Y某将Z公司已发布的软件工具与灰鸽子木马捆绑在一起,以帖子附件的形式发布到了Z公司官方的论坛上,帖子名为“版主请进,发现贵公司软件工具漏洞xxxxxx”。
其后官方论坛的版主回复说已将漏洞工具提交到技术部门进行处理,然而其仅仅是将该工具下载到本地主机运行了一下,并没有将其真正提交到技术部门。
该版主是Z公司的一位客服,由于运行了捆绑木马的工具,因此其主机被木马感染并控制。
Y某发现该公司客服主机被控制后,开始渗透入侵该公司。
首先利用MS06040溢出漏洞对某台服务器进行远程溢出,得到了内网中的第一台服务器的控制权,并从服务器中ASP.NET代码中得到网络SQL数据库的连接密码。
然后利用工具成功连接到数据库服务器。
在数据库服务器上发现了公司的所有网站、游戏等服务和业务系统的数据库。
有了这两台肉鸡,Y某继续对其他内部主机进行攻击。
利用远程溢出攻击了部分电脑,并上传了灰鸽子木马程序,对电脑进行屏幕监控等。
之后开始嗅探内网通信数据,获取了Z公司门户网站的超级管理员权限,最终对该网站发布信息进行了篡改。
1.3感知事件
【MS06035漏洞利用演示】
1.将同组的主机A、B、C、D、E、F的网线跳到网络拟攻击系统所在区域网络(区域4,具体参见项目模式下项目准备中的项目条件内容),并设置与网络拟攻击系统同网段(72.30.n.m,其中n为是实训组ID,m为11-16(A-F)。
子网掩码为255.255.0.0。
)的IP(注意不要产生IP地址冲突)。
2.学生机打开IE浏览器在URL中输入“”,进入网络拟攻击系统主页面。
3.进入“拟攻击”页面,选择攻击类型“利用型攻击”,选择攻击方法“MS06035漏洞攻击”。
单击“攻击”按钮,客户机蓝屏。
4.重启系统后,再次访问网络拟攻击系统,进入“打补丁”页面,手动下载补丁(MS06035漏洞补丁)并安装,再次进行MS06035攻击,没响应,补丁安装成功。
【MS10002漏洞利用演示】
1. 将同组的主机A、B、C、D、E、F的网线跳到网络拟攻击系统所在区域网络(区域4,具体参见项目模式下项目准备中的项目条件内容),并设置与网络拟攻击系统同段(72.30.n.m,其中n为是实训组ID,m为11-16(A-F)。
子网掩码为255.255.0.0。
)的IP(注意不要产生IP地址冲突)。
2.学生机打开IE浏览器在URL中输入“”,进入网络拟攻击系统主页面。
3.进入“拟攻击”页面,选择攻击类型为“利用型攻击”,选择攻击方法为“MS10002漏洞攻击”,选择木马行为为“打开记事本”。
4.学生机再打开一个IE浏览器,并在URL中输入拟攻击页面显示的“挂马网址”,观察页面成功访问后的现象。
5.更改木马行为,输入相应的“挂马网址”,观察访问后的现象。
6.进入“打补丁”页面,手动下载补丁(MS10002漏洞补丁)并安装,再次进行MS10002攻击,没响应,补丁安装成功。
第二章项目模式
项目模式,即项目实践。
以突出实践能力培养为目标,注重实践应用、实践过程。
项目模式中提供了充足的指导信息,包括项目目的与要求、项目组织与形式、项目准备(包括项目条件、场景还原和预备知识)、项目内容与任务、项目进度与计划、策略制定与实施和结果测评。
项目实施过程是将项目按事件发生顺序分解为若干个可行的任务,然后在任务的驱动下,逐步完成任务操作。
2.1项目目的与要求
2.1.1项目目的
通过实训使学生全面了解典型的网络渗透过程,掌握网络渗透各阶段的“本质”内容,从入侵攻击中学会安全防守,使“学”有真正的实践应用。
实训不仅使学生掌握社会工程学、木马植入与控制、木马免杀与捆绑、主机发现、端口扫描、漏洞扫描、缓冲区溢出、网络嗅探、网页篡改等理论知识,更重要的是让学生学会如何将知识应用到实践中去。
实训环境完全模拟了真实的作业环境,实训操作内容来源实际工作操作需要,以团队为单位进行实训操作,培养学生的工程规划、团队协作、解决问题的能力。
2.1.2项目要求
(1)掌握实训知识;
(2)完成实训内容;
(3)提交实训报告;
(4)达到实训目的的要求。
2.2项目组织与形式
(1)实训内容由团队(实训组)完成,6人一实训组,每组指派一位组长。
(2)每实训组均拥有独立的、可操作的网络设备(二层交换机、路由器和UTM网关)和软件集合。
(3)实训组成员间以E-mail方式,通过Web邮箱转发文件。
(4)实训过程中所用参考文档、软件工具均从Web资源库中下载。
(5)实训由组长负责组织分析实训内容,制定实施策略,下放实训任务和实训报告。
组成员可单人、二人、多人为一小组,实施下放的实训任务。
(6)小组成员在实训报告中详细记录任务实施过程,记录实训中所遇到的问题。
(7)小组成员完成下放任务后,将实训报告提交给本组组长,由组长将各实训报告进行整合,并组织验证报告的正确性。
(8)实训报告验证无误后,可向管理信息系统进行提交,作为此次实训的成果物。
(9)每个实训任务的策略方案都不唯一,可根据评测标准进行评分。
2.3项目准备
2.3.1项目条件
【网络结构】
实训组内硬件组成包括:
二层交换机(1个)、路由器(1个)、UTM网关(1个)。
其中交换机出厂前已完成4个VLAN的划分(实验中无需重新划分VLAN),划分情况如下:
VLANID
端口
网络区域
说明
vlan1
1、3、5、7、9、11
区域1
与UTM端口1同处一网段
vlan2
2、4、6、8、10、12
区域2
与UTM端口2同处一网段
vlan3
13、15、17、19、21、23
区域3
与路由器TP0同处一网段
vlan4
14、16、18、20、22、24
区域4
与路由器TP1同处一网段
网络连接如下图所示:
为实训场景提供6台主机,由UTM网关(边界设备)和路由器隔离出四个网络区域,网络区域间默认访问策略(UTM缺省访问控制策略)如下:
禁止区域3、4访问区域1;
允许区域3、4访问区域2;
允许区域1访问区域2;
允许区域1访问区域3、4;
禁止区域2访问区域1;
允许区域2访问区域3、4。
【硬件连接】
【软件条件】
(1)实训操作系统WindowsServer2003SP1。
(2)Web资源库:
。
(3)Web邮箱:
。
注:
为了提高邮件安全性,邮件禁止发送exe格式附件。
(4)Z公司门户网站:
。
(5)Z公司论坛:
。
(6)网络拟攻击系统:
。
(7)管理信息系统:
(8)Z公司内网服务器、Z公司内网SQL数据库。
2.3.2场景还原
【场景描述】
Z公司网络部署是一个标准的企业网络结构,即由内部网络、DMZ区和安全区域边界组成。
内部网络是安全区域边界内的网络,是Z公司的核心计算区域,部署着大量的PC终端、服务器和数据库,存储着最有价值的资源,这些资源是绝对不能够对外公开的。
DMZ区是安全区域边界内的网络,是Z公司的对外计算区域,部署着诸多服务器,这其中包括BBS聊天服务器和Z公司的门户网站服务器,这些服务器对外提供业务和信息。
外部网络是安全区域边界外的网络(通常为Internet)。
安全区域边界则是内部网络与外部网络通信的唯一通道。
主机实训角色对应如下:
主机
角色
操作系统
A
Z公司内网工作站
(论坛客服和WWW网站远程维护)
Windows
B
Z公司内网服务器
Windows
C
Z公司论坛服务器
Windows
D
Z公司WWW服务器
Windows
E
Z公司内网SQL数据库
Windows
F
攻击者(Y某)
Windows
【还原内容】
「说明」以下n表示实训组别ID(1-32)。
实验设备
还原内容
路由器
路由器出厂前对各端口IP已设置完成,具体:
TP0(以太网口1)IP218.30.n.1/24
TP1(以太网口2)IP72.30.n.1/16
SLOT1(以太网口3)IP220.30.n.1/24
UTM
UTM端口1默认IP地址:
172.16.n.253/16,其中n为实训组ID。
还原后的UTM配置情况如下:
端口1IP172.16.n.253/16
端口2IP192.168.n.253/24
端口3IP1220.30.n.253/24
端口3IP2220.30.n.252/24
端口3指定网关220.30.n.1(路由器SL0T1口)
首选DNS:
72.30.33.254(公网应用服务器)
备选DNS:
218.30.n.16(主机F)
访问控制策略:
允许1访问2,允许1访问3,允许2访问3,禁止2访问1,允许3访问2,禁止3访问1
主机A
主机IP:
172.16.n.11/16
默认网关:
172.16.n.253(UTM端口1)
首选DNS服务器:
72.30.33.254(公网应用服务器)
备选DNS服务器:
218.30.n.16(主机F)
主机B
主机IP:
172.16.n.12/16
默认网关:
172.16.n.253(UTM端口1)
首选DNS服务器:
72.30.33.254(公网应用服务器)
备选DNS服务器:
218.30.n.16(主机F)
主机C
主机IP:
192.168.n.13/24
默认网关:
192.168.n.253(UTM端口2)
首选DNS服务器:
72.30.33.254(公网应用服务器)
备选DNS服务器:
218.30.n.16(主机F)
主机D
主机IP:
192.168.n.14/24
默认网关:
192.168.n.253(UTM端口2)
首选DNS服务器:
72.30.33.254(公网应用服务器)
备选DNS服务器:
218.30.n.16(主机F)
主机E
主机IP:
172.16.n.15/16
默认网关:
172.16.n.253(UTM端口1)
首选DNS服务器:
72.30.33.254(公网应用服务器)
备选DNS服务器:
218.30.n.16(主机F)
主机F
主机IP:
218.30.n.16/24
默认网关:
218.30.n.1(路由器TP0)
首选DNS服务器:
72.30.33.254(公网应用服务器)
备选DNS服务器:
218.30.n.16(主机F)
【还原操作】
一.UTM设备还原
1.登陆UTM设备
由区域1内主机配置UTM(https:
//172.16.n.253:
10443),用户名:
admin;密码:
jlcssadmin。
2.还原UTM配置
成功登录UTM后,单击“系统”页面下的备份按钮。
如下图:
在“备份集”中选择已经存在名为“JLCSS-EtpNPA”的还原策略。
如下图所示:
单击策略恢复按钮
,完成UTM设备还原。
3.测试
UTM设备还原后,设备会自动重新启动。
区域1内主机通过ping命令(ping172.16.n.253),测试UTM设备是否重启完毕。
二.主机场景还原
单击实验平台下方工具栏的“场景还原”按钮,打开“场景还原”工具,依据本机在实训所扮演的角色,在“角色选择”区域选择对应的角色,在“拓扑联动显示区”就会突出显示该主机,单击“确定”按钮完成某角色的实训场景还原,单击“取消”按钮恢复主机初始状态。
2.3.3预备知识
2.3.3.1知识一社会工程学
一.“社会工程学”概述
“社会工程学(SocialEngineering)”是一种通过对受害者的心理弱点、本能反应、好奇心、信任和贪婪等心理陷阱,来骗取用户的信任以获取机密信息和系统设置等不公开资料,为黑客攻击和病毒感染创造了有利条件。
二.“社会工程学”的欺骗特点
网络安全技术发展到一定程度后,起决定因素的不再是技术问题,而是人。
由于安全产品的技术越来越完善,使用这些技术的人,就成为整个环节上最为脆弱的部分,加上人具有贪婪、自私、好奇和信任等心理弱点,因此通过恰当的方法和方式,入侵者完全可以从相关人员那里获取入侵所需的信息。
“社会工程学”陷阱通常是以交谈、欺骗、假冒或口语等方式,从合法用户那里套取用户系统的秘密。
“社会工程学”并不等同于一般的木马伪装欺骗等攻击手法,“社会工程学”尤其复杂,即使自认为最警惕最小心的人,一样会被高明的“社会工程学”手段损害利益。
“社会工程学”是一种与普通的欺骗和诈骗不同层次的手法,它需要搜集大量的信息,针对对方的实际情况来进行相应的心理战术。
从人性及心理的方面来讲,“社会工程学”是一种利用人性的弱点和贪婪等心理表现进行攻击的,是防不胜防的。
很多表面上看起来一点用都没有的信息,如一个电话号码、一个人的名字和在某个论坛注册的信息等,都可能会被攻击者利用起来进行渗透。
三.“社会工程学”的3个欺骗步骤
利用“社会工程学”进行攻击,主要分为以下3个步骤。
(1)信息刺探
尽量收集利用所有可能会用到的信息,以便在欺骗过程中可以应对各种突发事件。
例如,在对某公司网络进行入侵时,需要了解此公司的各种规章、制度、职能和人事信息等。
以免在欺骗过程中由于犯下常识性的错误而被目标识破。
攻击者大多采取各种手段进入目标内部,然后利用各种便利条件进行观察或窃听,以得到自己所需要的信息,或者与相关人员进行侧面沟通,逐步取得信任,从而获取情报。
(2)心理学的应用
由上面的内容可知人性的弱点在“社会工程学”中是重要的一部分。
实际上,这是一种心理学的应用。
攻击者通过获得的各种信息来制定种种针对性的欺骗方案,并且利用各种手段获取目标的信任,从而达成自己的目的。
(3)反查技术
所谓反查技术,就是反侦查技术。
在基于技术的入侵攻击中,最重要的内容不仅是成功侵入主机,还包括清除痕迹,不要让管理者发现被入侵及数据被伪造。
同理,“社会工程学”也有这样的概念,如何在欺骗目标后,让目标根本就不将攻击者作为怀疑对象,或者让目标无法再联系或追查到攻击者。
2.3.3.2知识二木马免杀
一.木马免杀概述
免杀,也就是反病毒(AntiVirus)与反间谍(AntiSpyware)的对立面,英文为Anti-AntiVirus(简写VirusAV),逐字翻译为“反-反病毒”,我们可以翻译为“反杀毒技术”。
木马免杀可以将其看为一种能使木马避免被杀毒软件查杀的技术。
木马免杀技术的涉猎面非常广,涉及反汇编、逆向工程甚至系统漏洞的发掘等其他顶级黑客技术。
二. 木马免杀原理
(1)杀毒原理
当前杀毒软件对病毒的查杀主要有特征代码法和行为监测法两种。
特征码就是能识别一个程序是病毒的一段不大于64字节的特征串。
特征码定位法分为文件查杀和内存查杀,杀毒软件公司拿到病毒的样本以后,定义一段病毒特征码到病毒库中,然后与扫描的文件比对,如果一致则认为是病毒。
内存查杀则是载入内存后再比对。
行为检测法是新出现的一种定义病毒的方法,它利用的原理是某些特定的病毒会有某些特定的行为来做出是否为病毒的判断。
(2)木马免杀原理
免杀在某种程度上可以说是杀毒软件的对立面。
杀毒软件通过特征码查杀病毒,相应的,通过修改特征码的方法来实现木马免杀。
特征码修改方法:
方法一:
直接修改特征码的十六进制法
●修改方法:
把特征码所对应的十六进制改成数字差1或差不多的十六进制。
●适用范围:
一定要精确定位特征码所对应的十六进制,修改后一定要测试一下文件能否正常使用。
方法二:
修改字符串大小写法
●修改方法:
如果特征码所对应的内容是字符串,只要把大小字互换一下就可以了。
●适用范围:
特征码所对应的内容必须是字符串,否则不能成功。
方法三:
等价替换法
●修改方法:
把特征码所对应的汇编指令,替换成功能类似的指令。
●适用范围:
特征码中必须有可以替换的汇编指令,比如JE,JNE换成JMP等。
方法四:
指令顺序调换法
●修改方法:
把具有特征码的代码顺序互换一下。
●适用范围:
具有一定的局限性,代码互换后必须不能影响程序的正常执行。
方法五:
通用跳转法
●修改方法:
把特征码移到零区域(指代码的空隙处)执行后,使用JMP指令无条件调回原代码处继续执行下一条指令。
●适用范围:
通用的改法,建议大家要掌握这种改法(在【学习模式】的【应用再现】中使用的就是该方法)。
三. 木马免杀的实现步骤
第一步:
用特征码定位器(如MYCCL)来准确定位杀毒软件内存特征码的具体位置。
第二步:
用特征码修改工具(如OllyDbg)打开木马文件,定位到特征码所在位置(在第一步完成),找出适合的方法,进行特征码修改。
四. 制作木马免杀的常用工具
名称
描述
CCL
特征码定位器,由于杀软的升级,现已过时
MYCCL
特征码定位器,由程序员Tanknight在CCL的基础上改进
OllyDbg
特征码的修改,可用于反汇编
C32ASM
特征码的修改,也可用于反汇编
OC
用于计算从文件偏移地址到内存地址的小工具
UltaEdit-32
十六进制编辑器,用于特征码的手工准确定位或修改
2.3.3.3知识三木马捆绑
一.木马捆绑概述
鉴于木马的危害性,很多人对木马知识还是有一定了解的,这对木马的传播起了一定的抑制作用,这是木马设计者所不愿见到的,因此他们开发了多种功能来伪装木马,其中捆绑文件是常用的手段之一。
这种伪装手段是将木马捆绑到一个安装程序上,当安装程序运行时,木马在用户毫无察觉的情况下,偷偷的进入了系统。
至于被捆绑的文件一般是可执行文件即EXE、COM一类的文件。
二.木马捆绑原理
为了将两个可执行程序结合在一起,攻击者会使用一个包装工具。
这些工具包括包装工具(Wrappers)、绑定工具(binders)、打包工具(packers)、EXE绑定工具(EXEbinders)和EXE结合工具(EXEjoiner)等。
下图说明了攻击者如何使用包装程序。
本质上,这些包装器允许攻击者使用任何可执行后门程序,并将其与任何的合法程序结合起来,不用写一行新代码就可以创建一个特洛伊木马。
2.3.3.4知识四木马植入
一.木马植入的方式
使用木马程序的第一步是将木马的“服务器程序”放到远程被监控主机上,这个过程成为木马的植入过程。
常见的植入过程有如下几种方法。
●邮件收发:
将木马的“服务器程序”放入电子邮件中植入到远程主机。
●网页浏览:
将木马的“服务器程序”放入网页中植入到远程主机。
●文件下载:
将木马的“服务器程序”和被下载的文件捆绑到一起植入到远程主机。
二.木马的运行
服务端用户运行木马或捆绑木马的程序后,木马就会自动进行安装。
首先将自身拷贝到WINDOWS的系统文件夹中(C:
WINDOWS或C:
WINDOWS\SYSTEM目录下),然后在注册表,启动组,非启动组中设置好木马的触发条件,这样木马的安装就完成了。
安装后就可以启动木马了。
1.自启动激活木马
(1)注册表:
打开HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion下的Run主键,在其中寻找可能是启动木马的键值。
(2)WIN.INI:
C:
\WINDOWS目录下有一个配置文件win.ini,用文本方式打开,在[windows]字段中有启动命令load=和run=,在一般情况下是空白的,如果有启动程序,可能是木马。
(3)SYSTEM.INI:
C:
\WINDOWS目录下有个配置文件system.ini,用文本方式打开,在[386Enh],[mci],[drivers32]中有命令行,在其中寻找木马的启动命令。
(4)Autoexec.bat和Config.sys:
在C盘根目录下的这两个文件也可以启动木马。
但这种加载方式一般都需要控制端用户与服务端建立连接后,将已添加木马启动命令的同名文件上传到服务端覆盖这两个文件才行。
(5)*.INI:
即应用程序的启动配置文件,控制端利用这些文件能启动程序的特点,将制作好的带有木马启动命令的同名文件上传到服务端覆盖这同名文件,这样就可以达到启动木马的目的了。
(6)启动菜单:
在“开始---程序---启动”选项下也可能有木马的触发条件。
(7)通过将自身注册成系统服务,并添加注册表服务项,常驻内存。
2.3.3.5知识五远程控制
一.远程控制的概念
这里的远程不是字面意思的远距离,一般指通过网络控制远端电脑。
早期的远程控制往往指在局域网中的远程控制而言,随着互联网的普及和技术革新,现在的远程控制往往指互联网中的远程控制。
当操作者使用主控端电脑控制
升级会员 