标签：植入 IPC windows IP 实验 木马 服务器

实验简介

实验所属系列：信息安全基础

实验对象： 本科/专科信息安全专业

相关课程及专业：计算机网络、网络攻击与防御技术、渗透测试技术

实验时数（学分）：4学时

实验类别：实践实验类

实验目的

1、掌握利用 IPC$入侵目标计算机（windows XP 或 windows 2003）的方法；

2、制作并植入远控木马来达到远程控制对方计算机；

预备知识

IPC

IPC(Inter-Process Communication) 进程间通信，是共享"命名管道"的资源，它是为了让进程间通信而开放的命名管道，通过提供可信任的用户名和口令，连接双方可以建立安全的通道并以此通道进行加密数据的交换，从而实现对远程计算机的访问。IPC是NT/2000的一项新功能，它有一个特点，即在同一时间内，两个IP之间只允许建立一个连接。NT/2000在提供了IPC功能的同时，在初次安装系统时还打开了默认共享，即所有的逻辑共享(C,D,E……)和系统目录winnt或windows(admin)共享。

空会话

空会话是在没有信任的情况下与服务器建立的会话，对于一个空会话，LSA提供的令牌的SID（空会话的SID）是S-1-5-7，用户名是：ANONYMOUS LOGON（系统内置的帐号），该访问令牌包含下面伪装的组：Everyone和Network。

IPC建立的过程

1.会话请求者（客户）向会话接收者（服务器）传送一个数据包，请求安全隧道的建立；

2.服务器产生一个随机的64位数（实现挑战）传送回客户；

3.客户取得这个由服务器产生的64位数，用试图建立会话的帐号的口令打乱它，将结果返回到服务器（实现响应）；

4.服务器接受响应后发送给本地安全验证（LSA），LSA通过使用该用户正确的口令来核实响应以便确认请求者身份。

木马

利用计算机程序漏洞侵入后窃取文件的程序程序被称为木马。它是一种具有隐藏性的、自发性的可被用来进行恶意行为的程序，多不会直接对电脑产生危害，而是以控制为主。

实验环境

本实验环境的网络拓扑如下图：

说明：

1）网络由两个设备组成，一台靶机、一台攻击机；

2）靶机上装的系统是windows 2003，ip地址：10.1.1.2；

3）攻击机是windows系统，其上有cmd命令行工具、远控木马、metasploit；

4）防火墙内部接口的IP和服务器的IP都已经配好。

实验内容和步骤

在开始本实验的任务前，通过下述步骤确定实验环境已经准备就绪。

1：登录到自己分配到的攻击机上，在"开始"-->"程序"中查看是否安装了Metasploit工具，C盘里是否有“2013最新免杀远程”压缩包，系统是否有CMD命令行工具。

2：命令行下ping靶机IP：10.1.1.2，确认靶机存在。

利用IPC共享漏洞上传并执行木马

本任务将利用IPC共享漏洞上传并执行木马。试验者登录攻击机以后的实验步骤如下：

1、利用远控木马生成服务端

解压C盘下tools文件夹里的“2013最新免杀远程”压缩包，并运行bin文件夹内Client2013.exe：

点击“选项”--> “创建客户”，如下图：

 

 

会出现如下对话框：

 

 

说明：

域名/IP：填写木马安装后向木马监控者发出信息的指定IP，一般为攻击者的IP，但是必须要受害者访问得到；

服务信息：伪装为某服务；

自删除：运行后会自己把自己删除，以消灭痕迹；

选择图标：生成木马文件后的图标。

点击“生成”后，根据提示找到生成的木马文件，本例中会在当前文件夹生成，如下图：

 

 

 

将生成的木马文件移动到c盘下，不需要退出该程序。

2、利用Metasploit扫描目标主机ipc的弱口令，操作如下图所示

在msf提示符下输入use  auxiliary/scanner/smb/smb_login，以加载利用模块。输入show  options查看设置选项，如下图：

 

 

 

 

 

（图中user.txt为自己创建）

简单对参数进行了设置：

第一行：设置目标主机的ip

第二行： 设置用户名文件

第三行：设置密码文件

第四行：设置当成功时停止运行

然后输入“run”开始运行爆破

 

 

当成功时会自动停止，得到信息为： administrator ：123456。

3、利用得到的用户名和密码，与目标主机建立空连接

依次点击：“开始”->“运行”->输入“CMD”打开CMD窗口，并输入如下命令与远程服务器建立连接。

依次输入下图命令：

 

 

命令说明：

第一行，cd \ 切换到C盘根目录下；

第二行的net use 命令与远程10.1.1.2建立连接。

将我们刚刚生成的服务端，上传到目标主机上去：

 

 

4、使用metasploit执行木马程序

输入下列命令调用执行模块：

输入下列命令设置参数：

 

 

 

这个时候就可以等待木马的上线，上线后的情形见下图：

 

 

标签：植入,IPC,windows,IP,实验,木马,服务器
来源： https://www.cnblogs.com/xumin1026/p/15400768.html

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。