【文章內(nèi)容簡介】 n from User” ，點擊 “ 下一步 ” 按鈕。 (13) 進(jìn)入 “ Configure restart” 頁簽，選擇 “ No restart” 選項，點擊 “ 下一步 ”按鈕。 (14) 進(jìn)入 “ Save Self Extraction Directive” 頁簽，選擇 “ Don39。t save” 選項，點擊 “ 下一步 ” 按鈕。 (15) 進(jìn)入 “ Create package” 頁簽，點擊 “ 下一步 ” 按鈕，完成操作。生成捆綁完成的文件 “ ” 。 3. 將打包生成的程序 B 主機 B 4. 運行打包程序 (1) 主機 B運行主機 A發(fā)送過來的軟件程序 。 (2) 觀察軟件運行過程中出現(xiàn)的現(xiàn)象，能否發(fā)現(xiàn)除 zsoft軟件外其它程序的運行過程。 主機 A 5. 查看肉雞是否上線，若上線嘗試對其進(jìn)行控制 第四章 任務(wù) 4 木馬植入 8 第四章 任務(wù) 4 木馬植入 使用木馬程序的第一步是將木馬的 “ 服務(wù)器程序 ” 放到遠(yuǎn)程被監(jiān)控主機上，這個過程成為木馬的植入過程。常見的植入過程有如下幾種方法。 ● 郵件收發(fā)：將木馬的 “ 服務(wù)器程序 ” 放入電子郵件中植入到遠(yuǎn)程主機。 ● 網(wǎng)頁瀏覽：將木馬的 “ 服務(wù)器程序 ” 放入網(wǎng)頁中植入到遠(yuǎn)程主機。 ● 文件下載：將木馬的 “ 服務(wù)器程序 ” 和被下載的文件捆綁到一起植入到遠(yuǎn)程主機。 木馬的運行方式 服務(wù)端用戶運行木馬或捆綁木馬的程序后，木馬就會自動進(jìn)行安裝。首先將自身拷貝到WINDOWS的系統(tǒng)文件夾中（ C:WINDOWS或 C:WINDOWS\SYSTEM目錄下），然后在注冊表，啟動組，非啟動組中設(shè)置好木馬的觸發(fā)條件，這樣木馬的安裝就完成了。安裝后就可以啟動木馬了。 1. 自啟動激活木馬 (1) 注 冊 表 ： 打 開 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion下的 Run主鍵，在其中尋找可能是啟動木馬的鍵值。 (2) ： C:\WINDOWS目錄下有一個配置文件 ，用文本方式打開，在 [windows]字段中有啟動命令 load=和 run=，在一般情況下是空白的，如果有啟動程序，可能是木馬。 (3) ： C:\WINDOWS 目錄下有個配置文件 ，用文本方式打開，在[386Enh]， [mci]， [drivers32]中 有命令行，在其中尋找木馬的啟動命令。 (4) ：在 C 盤根目錄下的這兩個文件也可以啟動木馬。但這種加載方式一般都需要控制端用戶與服務(wù)端建立連接后，將已添加木馬啟動命令的同名文件上傳到服務(wù)端覆蓋這兩個文件才行。 (5) *.INI：即應(yīng)用程序的啟動配置文件，控制端利用這些文件能啟動程序的特點，將制作好的帶有木馬啟動命令的同名文件上傳到服務(wù)端覆蓋這同名文件，這樣就可以達(dá)到啟動木馬的目的了。 (6) 啟動菜單：在 “ 開始 程序 啟動 ” 選項下也可能有木馬的觸發(fā)條件。 (7) 通過將自身注冊成系統(tǒng)服務(wù)，并添加注冊表服務(wù)項，常駐內(nèi)存。 實驗步驟 實驗操作前實驗主機需從 Web資源庫下載實驗所需木馬程序（灰鴿子）和惡意網(wǎng)頁模板。 方法一 ：網(wǎng)頁木馬與木馬植入 「注」實驗過程兩主機可同步進(jìn)行，即主機 B同時制作網(wǎng)頁木馬，最后主機 A訪問主機B制作的網(wǎng)頁木馬，實現(xiàn)中馬的過程。 1. 生成網(wǎng)頁木馬 (1) 生成木馬的 “ 服務(wù)器程序 ” 。 第四章 任務(wù) 4 木馬植入 9 主機 A 運行 “ 灰鴿子 ” 木馬，參考知識點二配置生產(chǎn)木馬被控制端安裝程序 ， 并 將 其 放 置 于 Inter 信 息 服 務(wù) (IIS) 默 認(rèn) 網(wǎng) 站 目 錄“ C:\Ipub\root” 下。 (2) 編寫生成網(wǎng)頁木馬的腳本。 主機 A在 Web資源庫中下載惡意網(wǎng)頁模板 ，并編輯內(nèi)容，將腳本第 15行 “ 主機 IP 地址 ” 替換成主機 A 的 IP 地址。主機 A 將生成的 “ ” 文件保存到“ C:\Ipub\root” 目錄下 (“ C:\Ipub\root” 為 “ 默認(rèn) ” 的網(wǎng)站空間目錄 )，“ ” 文件就是網(wǎng)頁木馬程序。 「注」注意查看生成的 是否允許 Inter來賓賬戶的讀權(quán)限訪問。 (3) 啟動 WWW服務(wù)。 鼠標(biāo)右鍵單擊 “ 我的電腦 ” ，選擇 “ 管理 ” 。在 “ 計算機管理（本地） ” 中選擇 “ 服務(wù)和應(yīng)用程序 ” ｜ “ 服務(wù) ” ，啟動 “ World Wide Web Publishing Service” 服務(wù)。 2. 木馬的植入 主機 B啟動 IE瀏覽器，訪問 A的 IP 地址 /。 觀察實驗現(xiàn)象是否有變化。 3. 查看肉雞是否上線，并嘗試進(jìn)行控制 主機 A等待 “ 灰鴿子遠(yuǎn)程控制 ” 程序主界面的 “ 文件管理器 ” 屬性頁中 “ 文件目錄瀏覽 ”樹中出現(xiàn) “ 自動上線主機 ” 。 嘗試對被控主機 B進(jìn)行遠(yuǎn)程控制。 4. 主機 B驗證木馬現(xiàn)象 (1) 主機 B查看任務(wù)管理器中有幾個 “ ” 進(jìn)程。 (2) 主機 B查看服務(wù)中是否存在名為 “ Windows XP Vista” 的服務(wù)。 5. 主機 A卸載掉主機 B的木馬器程序 主機 A通過使用“灰鴿子遠(yuǎn)程控制”程序卸載木馬的“服務(wù)器”程序。具體做法：選擇上線主機，單擊“遠(yuǎn)程控制命令”屬性頁，選中“系統(tǒng)操作”屬性頁，單擊界面右側(cè)的“卸載服務(wù)端”按鈕，卸載木馬的“服務(wù)器”程序。 方法二：緩沖區(qū)溢出 與 木馬 植入 攻擊者通 過遠(yuǎn)程緩沖區(qū)溢出攻擊受害者主機后，得到受害者主機的命令行窗口，在其命令行窗口下使用 VBE腳本程序?qū)崿F(xiàn)木馬植入。 下面，由主機 B來重點驗證利用 VBE腳本上傳木馬的過程。（遠(yuǎn)程緩沖區(qū)溢出部分內(nèi)容將在后續(xù)知識學(xué)習(xí)中進(jìn)行詳細(xì)介紹） 1. 生成下載腳本 主機 B在命令行下 逐條輸入如下命令生成木馬自動下載腳本 。 該腳本的作用是：使主機 B自動從主機 A的 WEB服務(wù)器上下載 機 B 的 C:\WINDOWS\system32 目錄下，并重命名為 ，而該程序就是主機 A 要植入的灰鴿子服務(wù)器端。 第四章 任務(wù) 4 木馬植入 10 2. 下載木馬后門 主機 B運行 ，使用命令形式如下： 主機 B運行灰鴿子服務(wù)器程序，使用命令如下： 3. 主機 B驗證木馬現(xiàn)象 (1) 主機 B查看任務(wù)管理器中有幾個 “ ” 進(jìn)程。 (2) 主機 B查看服務(wù)中是否存在名為 “ Windows XP Vista” 的服務(wù)。 4. 主機 B卸載 木馬 程序 (1) 主機 B啟動 IE瀏覽器，單擊菜單欄“工具”｜“ Inter 選項”，彈出“ Inter 選項”配置對話框，單擊“刪除文件”按鈕，在彈出 的“刪除文件”對話框中，選中“刪除所有脫機內(nèi)容”復(fù)選框，單擊“確定”按鈕直到完成。 (2) 雙擊“我的電腦”，在瀏覽器中單擊“工具” |“文件夾選項”菜單項，單擊“查看”屬性頁，選中“顯示所有文件和文件夾”，并將“隱藏受保護(hù)的操作系統(tǒng)文件”復(fù)選框置為不選中狀態(tài)，單擊“確定”按鈕。 (3) 關(guān)閉已打開的 Web頁，啟動“ Windows 任務(wù)管理器”。單擊“進(jìn)程”屬性頁，在“映像名稱”中選中所有“ ”進(jìn)程，單擊“結(jié)束進(jìn)程”按鈕。 (4) 刪除“ C:\Windows\”文件。 (5) 啟動“服務(wù)”管理器。選中右側(cè)詳細(xì)列表中的“ Windows XP Vista”條目，單擊右鍵，在彈出菜單中選中“屬性”菜單項，在彈出的對話框中，將“啟動類型”改為“禁用”，單擊“確定”按鈕。 (6) 啟動注冊表編輯器，刪除“ HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Services\Windows XP Vista”節(jié)點。 (7) 重新啟動計算機。 第五章 任務(wù) 5 緩沖區(qū)溢出 11 第五章 任務(wù) 5 緩沖區(qū)益處 緩沖區(qū)益處概述 緩沖區(qū)是程序員為保 存特定的數(shù)據(jù)而在計算機內(nèi)存中預(yù)分配的一塊連續(xù)的存儲空間。緩沖區(qū)溢出是指在向緩沖區(qū)內(nèi)填充數(shù)據(jù)時，數(shù)據(jù)位數(shù)超過了緩沖區(qū)本身的容量，致使溢出的數(shù)據(jù)覆蓋在合法數(shù)據(jù)上，而引起系統(tǒng)異常的一種現(xiàn)象。操作系統(tǒng)所使用的緩沖區(qū)又被稱為 “ 堆棧 ” 。 在各個操作進(jìn)程之間，指令會被臨時儲存在 “ 堆棧 ” 當(dāng)中， “ 堆棧 ” 也會出現(xiàn)緩沖區(qū)溢出。 緩沖區(qū)溢出是一種非常普遍、非常危險的漏洞，在各種操作系統(tǒng)、應(yīng)用軟件中廣泛存在。一些高明的 “ 黑客 ” 或者病毒制造者利用緩沖區(qū)溢出漏洞，精心編制出 “ 木馬 ” 程序或者病毒，伴隨覆蓋緩沖區(qū)的數(shù)據(jù)侵入被攻擊的電腦，造成 系統(tǒng)破壞、數(shù)據(jù)泄密、甚至可以取得系統(tǒng)特權(quán)，給用戶造成重大的損失。 在緩沖區(qū)溢出中，最為危險的是堆棧溢出，因為入侵者可以利用堆棧溢出，在函數(shù)返回時改變返回程序的地址，讓其跳轉(zhuǎn)到任意地址，帶來的危害一種是程序崩潰導(dǎo)致拒絕服務(wù)，另外一種就是跳轉(zhuǎn)并且執(zhí)行一段惡意代碼，比如得到 shell，然后為所欲為。 緩沖區(qū)溢出攻擊的目的在于擾亂具有某些特權(quán)運行的程序的功能，這樣可以使得攻擊者取得程序的控制權(quán)。為了達(dá)到這個目的，攻擊者必須達(dá)到如下的兩個目標(biāo)： 在程序的地址空間里安排適當(dāng)?shù)拇a； 通過適當(dāng)?shù)某跏蓟拇嫫骱蛢?nèi)存，讓程序 跳轉(zhuǎn)到入侵者安排的地址空間執(zhí)行。 緩沖區(qū)益處危害 緩沖區(qū)溢出漏洞的危害性非常大，與其他一些黑客攻擊手段相比更具破壞力和隱蔽性。主要體現(xiàn)在如下幾個方面： (1) 漏洞普遍存在，而且極容易使服務(wù)程序停止運行、死機甚至刪除數(shù)據(jù)。 (2) 漏洞在發(fā)現(xiàn)之前，一般程序員是不會意識到自己的程序存在漏洞，從而疏忽監(jiān)測。 (3) 黑客通過緩沖區(qū)溢出嵌入的非法程序通常都非常短，而且不像病毒那樣存在多個副本，因此，很難在執(zhí)行過程中被發(fā)現(xiàn)。 (4) 由于漏洞存在于防火墻內(nèi)部，攻擊者所發(fā)送的字符串一般情況下不會受到防火墻的阻 攔，而且，攻擊者通過執(zhí)行核心級代碼所獲得的本來不運行或沒有權(quán)限的操作，在防火墻看來是合法的，因此，防火墻是無法檢測遠(yuǎn)程緩沖區(qū)溢出攻擊的。 (5) 一個完整的核心代碼的執(zhí)行并不一定會使系統(tǒng)報告錯誤，并可能完全不影響正常程序的運行，因此，系統(tǒng)和用戶都很難覺察到攻擊的存在。 (6) 緩沖區(qū)溢出攻擊在沒有發(fā)生攻擊時攻擊程序并不會有任何變化，攻擊的隨機性和不可預(yù)測性都使得防御緩沖區(qū)溢出攻擊變得異常困難。 知識應(yīng)用 1. 黑客滲透視角 利用緩沖區(qū)溢出對目標(biāo)機進(jìn)行攻擊，獲取超級用戶權(quán)限，進(jìn)而控制目標(biāo)機。 例如：黑客李某 在入侵某公司管理員的主機后，為了獲得更多 “ 肉雞 ” ，對內(nèi)網(wǎng)中的其他主機進(jìn)行漏洞掃描，并發(fā)現(xiàn)了緩沖區(qū)溢出漏洞，他立即根據(jù)這些漏洞精心設(shè)計了獲取超級第五章 任務(wù) 5 緩沖區(qū)溢出 12 用戶權(quán)限的溢出程序，開始對存在漏洞的主機實施攻擊，在很隱蔽的情況下得到了超級用戶的權(quán)限，從而實現(xiàn)了對其他主機的控制。 2. 網(wǎng)絡(luò)運維視角 加強網(wǎng)絡(luò)安全意識，采取有效地防范措施，避免系統(tǒng)受緩沖區(qū)溢出的攻擊。 例如：要完全避免緩沖區(qū)溢出造成的安全威脅是不可能的，但系統(tǒng)管理員可以構(gòu)建完善的防范體系來降低緩沖區(qū)溢出攻擊的威脅。目前，有效地防范措施主要有： (1) 通過操作系 統(tǒng)使得緩沖區(qū)不可執(zhí)行，從而阻止攻擊者植入攻擊代碼 (ShellCode)。 (2) 程序開發(fā)人員書寫正確的、安全的代碼。 (3) 利用編譯器的邊界檢查來實現(xiàn)緩沖區(qū)的保護(hù)，使得緩沖區(qū)溢出不可能出現(xiàn)，從而完全消除緩沖區(qū)溢出的威脅。 實驗步驟 實驗操作前實驗主機需從 Web資源庫下載 MS06040漏洞攻擊工具和 NetCat工具。 「注」實現(xiàn)過程中，主機 A和主機 B可同時進(jìn)行以下步驟。 1. 遠(yuǎn)程緩沖區(qū)溢出 (1) 主機 A利用 NetCat在本地監(jiān)聽 60350端口。當(dāng)溢出成功后，漏洞服務(wù)會通過 60350端口與遠(yuǎn)程 主機建立連接。單擊 “ 開始 ” |“ 運行 ” ，輸入 “ cmd” 。進(jìn)入 Netcat目錄。使用命令： 執(zhí)行效果如下： (2) 主機 A 發(fā)起溢出攻擊主機 B，單擊 “ 開始 ” |“ 運行 ” |“ cmd” 。新建一個命令行窗口，進(jìn)入溢出攻擊目錄。利用工具輸入如下命令進(jìn)行遠(yuǎn)程溢出： 上面命令實現(xiàn)向遠(yuǎn)程主機發(fā)起遠(yuǎn)程溢出攻擊，溢出成功后與本地主機通過 60350端口建立連接程序。 (3) 獲取 CmdShell。當(dāng)主機 A成功實現(xiàn)溢出攻擊后，步驟 3 中的控制臺窗口出現(xiàn)如下圖所示界面。 第五章 任務(wù) 5 緩沖區(qū)溢出 13 此時，已經(jīng)獲得了遠(yuǎn)程主機的 CmdShell。輸入 “ ipconfig” 命令驗證主機 B的 IP配置信息。確認(rèn)此時控制臺為遠(yuǎn)程主機 B的 CmdShell（溢出 CmdShell） 。 2. 溢出 CmdShell的利用 (4) 主機 A實現(xiàn)文件上傳到主機 B。主機 A在 溢出 CmdShell 下執(zhí)行如下命令，新建一個用戶。 (5) 將新添加的用戶加入管理組。在 溢出 CmdShell下執(zhí)行如下命令： (6) 將主機 B的 C盤添加默認(rèn)共享。在 溢出 CmdShell下執(zhí)行如下命令： (7) 建立與主機 B的連接。在本機的命令行下執(zhí)行如下命令：