halo~我是bay_Tong桐小白
本文内容是桐小白个人对所学知识进行的总结和分享,知识点会不定期进行编辑更新和完善,了解最近更新内容可参看更新日志,欢迎各位大神留言、指点
【学习网络安全知识,维护绿色网络环境】
【步入网络安全第一步,了解《*网络安全法》。从自身做起,做一名努力贡献绵力的红白帽】
【学习实践目的为熟悉掌握相关知识,理解操作原理思考防护措施,务必在虚拟机环境下操作,坚决杜绝病毒传播与恶意操作】
Windows环境下针对445端口漏洞爆破IPC$链接进行木马植入的模拟与防护
【更新日志】
最近更新:
- 暂无编辑记录,持续更新中……
实践先导
-
特洛伊木马:是指寄宿在计算机里的一种非授权的远程控制程序,是一种典型的网络病毒。它以隐蔽的方式进入到目标机器,对目标机器中的私密信息进行收集和破坏,再通过互联网,把收集到的私密信息反馈给攻击者,从而实现其目的的一种新型病毒
-
特洛伊木马的特性:隐蔽性、自动运行性、欺骗性、顽固性、易植入性
-
特洛伊木马的组成:一个完整的木马系统由硬件部分、软件部分和具体的连接部分组成
硬件部分:建立木马连接所必须的硬件实体,分为控制端、服务端和Internet
软件部分:实现远程控制所必须的软件程序,包括控制端程序、木马程序、嵌入服务端内部和木马配置程序
具体连接部分:包括控制端端口、木马端口及网络地址 -
特洛伊木马的危害:窃取用户文件、接受木马释放者的指令、篡改文件和数据、删除文件和数据、施放病毒、使系统自毁等
-
常见征兆:电脑莫名其妙死机或重启、硬盘在无操作情况下频繁被访问、系统无端搜索软驱光驱、系统速度异常缓慢、系统资源占用率过高等
-
常见传播途径:利用下载进行传播、利用系统漏洞进行传播、利用邮件进行传播、利用远程连接进行传播、利用网页进行传播、利用蠕虫病毒进行传播等
-
木马入侵过程概述:ip及端口扫描——密码爆破——连接ipc$——植入木马
实践理论
法律规定
网络安全法相关摘录
445端口
445端口是一个毁誉参半的端口,有了它我们可以在局域网中轻松访问各种共享文件夹或共享打印机,但也正是因为有了它,黑客们才有了可乘之机,他们能通过该端口偷偷共享你的硬盘,甚至会在悄无声息中将你的硬盘格式化掉。2017年10月,由于病毒“坏兔子”来袭,国家互联网应急中心等安全机构建议用户及时关闭计算机以及网络设备上的445和139端口(引用自百度百科)
IPC$空链接
IPC$ (Internet Process Connection) 是共享 " 命名管道 "的资源,它是为了让进程间通信而开放的命名管道,通过提供可信任的用户名和口令,连接双方可以建立安全的通道并以此通道进行加密数据的交换,从而实现对远程计算机的访问。IPC$ 是 NT/2000 的一项新功能,它有一个特点,即在同一时间内,两个 IP 之间只允许建立一个连接。 NT/2000 在提供了 ipc$ 功能的同时,在初次安装系统时还打开了默认共享,即所有的逻辑共享(c$ ,d$ ,e$ ……)和系统目录 winnt 或windows( admin$ )共享。所有的这些,微软的初衷都是为了方便管理员的管理,但在有意无意中,导致了系统安全性的降低(引用自百度百科)
实践任务
传统黑客入侵过程中最直接的一种攻击可划分为ip及端口扫描、密码爆破、获取访问权限、窃取信息、木马植入几个步骤,本实践采用VMware在虚拟局域网内进行简单的黑客木马植入模拟,深入理解黑客攻击过程,并作出针对性防范部署
实践环境
利用本地虚拟机搭建好的虚拟网络环境进行实验(局域网简单环境部署详见本栏文章《Windows环境下公司局域网的简单模拟部署》)
实践平台:VMware Workstation Pro 15.5
实践网络:虚拟网络 vmnet1
主机操作系统及配置:
- 被入侵端:
操作系统:Windows Server 2003 Enterprise Edition
防火墙:未开启
IP地址:192.168.0.1
子网掩码:255.255.255.0
开启服务:DHCP、DNS、SMB - 入侵实施端:
操作系统:Windows XP Profession
防火墙:未开启
ip地址:192.168.0.101(通过Windows 2003 Server服务器动态分配)
子网掩码:255.255.255.0
扫描工具:NTscan10
黑客工具:鸽子牧民战天
实践过程
【再次声明:学习实践目的为熟悉掌握木马入侵过程及原理,理解并思考防护措施,务必在虚拟机环境下操作,坚决杜绝病毒传播与恶意操作,切勿在真实机上进行操作尝试】
-
黑客机Windows XP连入目标机所在局域网
-
黑客机使用NTscan进行密码撞库与ip端口扫描
-
将NTscan扫描所得结果,通过DOS命令与目标主机建立IPC$连接
-
使用灰鸽子制作木马,将木马程序生成在本地磁盘上
-
植入木马到目标主机
-
查看目标机系统时间,设置目标主机运行木马的计划任务
-
到达计划任务设定时间时,可观察到目标主机已自动上线,即木马后门程序已自动执行并成功完成隐蔽性控制,且此控制拥有持久性,只要目标机处于网络内上线,控制端就可以进行监控或传输数据修改数据等操作
防范措施(初步)
- 对于很少或几乎不使用445端口进行文件共享功能的终端可关闭和禁用445端口
- 对于服务器而言可进行防火墙的高级入站规则部署
- 不执行来历不明的软件,不随便打开邮件附件,如果非因工作需要,尽量少用或不用共享文件夹,注意千万不要将系统目录设置成共享。多渠道地拒绝木马程序的传播
- 运用已有的木马查杀工具进行实时监控是最好的途径,同时也需要不断升级更新木马程序及杀毒软件,并安装防火墙等软件工具,让自己计算机做到相对高的安全性
感染后措施
- 断网,并把所有的账号和密码马上进行更改,例如拨号连接、ICQ、mIRC、FTP、个人站点、免费邮箱等等
- 使用木马查杀工具进行木马的检查和删除
持续更新中……
我是桐小白,一个摸爬滚打的计算机小白