项目2基于IPC共享连接和Telnet的攻击与防范.ppt

学习情境二:网络的认证攻击与防范,项目2 基于IPC$共享连接和Telnet的攻击与防范,项目2 基于IPC$共享连接和Telnet的攻击与防范,课题引入IPC$入侵Telnet入侵,课题引入项目背景,基于认证入侵的方式远程文件操作远程屏幕检视远程命令执行远程进程管理远程计算机管理远程注册表修改远程登录主机获取认证密码,课题引入项目分析,完成本项目需要解决的问题：如何基于认证实现入侵？IPC$入侵如何实现？Telnet入侵如何实现？,课题引入教学目标,完成本项目需要实现的教学目标：基于认证入侵的方法（理解）IPC$入侵实现的方法（重点掌握）Telnet入侵方法（重点掌握）,课题引入应达到的职业能力,了解基于认证入侵的方法能够熟练掌握IPC$入侵的方法能够利用Telnet入侵,项目问题1 IPC$入侵,IPC$是Windows系统特有的一项管理功能，是微软公司为了方便用户使用计算机而设计的，主要用来远程管理计算机。但事实上，使用这项功能最多的人不是网络管理员，而是“入侵者”！他们通过IPC$连接远程主机，并通过IPC$连接可以实现：建立、拷贝、删除远程计算机文件在远程计算机上执行命令,项目问题1 远程文件操作（一）,什么是IPC$IPC是英文Internet Process Connection的缩写，可以理解为“命名管道”。IPC后面的“$”表示隐藏符号。IPC$是Windows2000/XP/2003及Windows NT特有的一项功能。IPC$就好像是挖好的地道，通信程序就通过这个地道访问目标主机。默认情况下，IPC$共享是开启的，除非手动删除。通过IPC$连接，入侵者就可以实现远程控制目标主机。,项目问题1 远程文件操作（二）,Windows操作系统的默认共享 为了配合IPC共享工作，Windows操作系统在安装完成后，自动设置共享的目录为：C盘、D盘、E盘、ADMIN目录。上述共享是隐藏的，通过“net share”命令查看本机的共享资源,项目问题1 远程文件操作（二）,项目问题1 远程文件操作（三）,DOS命令DIR命令CD命令net user：系统帐号类命令net localgroup：系统组操作net use：远程连接、映射操作,项目问题1 远程文件操作（三）,DOS命令net send：信使命令net time：查看远程主机系统时间cls：清屏命令netstat n：查看本机网络连接状态nbtstat a IP：查看指定IP主机的NetBIOS信息,项目问题1 建立IPC$连接,步骤一：单击“开始”-“运行”，在运行里输入“CMD”。,项目问题1 建立IPC$连接,步骤二：建立IPC$连接 使用命令：net use IPIPC$“PASSWD”/USER:“ADMIN”与目标主机建立IPC$连接，其中“ADMIN”是管理员帐号。,项目问题1 建立IPC$连接,项目问题1 建立IPC$连接,步骤三：映射网络驱动器 使用命令：net use z：192.168.0.106c$,项目问题1 建立IPC$连接,步骤四：使用指定文件,项目问题1 建立IPC$连接,步骤五：断开连接 键入net use*/del命令断开所有IPC$连接,项目问题1 留后门帐号（一）,什么是BAT文件：BAT文件是Windows系统中的一种文件格式，称为批处理文件。将一系列DOS命令按先后顺序写在一个后缀名是BAT的文本文件中。什么是计划任务：设置一定时间执行相应任务的功能，可以在Windows系统的控制面板中找到。,项目问题1 留后门帐号（一）,相关dos命令：copy：文件拷贝at：用来建立计划任务net time：查看目标系统时间net user：查看帐号命令net user name passwd/add：建立帐号net user name passwd/del：删除帐号net local group:管理工作组,项目问题1 留后门帐号（二）,步骤一：编写BAT文件，编写完成保存为“hack.bat”,项目问题1 留后门帐号（三）,步骤二：与目标主机建立连接,项目问题1 留后门帐号（四）,步骤三：拷贝文件至目标主机,留后门帐号（五）,步骤四：通过计划任务执行“hack.bat”文件,项目问题1 留后门帐号（六）,步骤五：断开连接，验证后门帐号是否建立,项目问题1 IPC$空连接漏洞,漏洞描述：IPC$本来要求客户机要有足够的权限才能够连接，但是存在IPC$漏洞的计算机使用空用户名、空密码就可以连接,项目问题1 IPC$空连接漏洞,漏洞带来的影响：入侵者可以与目标主机进行空连接，但是无法执行管理类的操作，例如执行驱动器映射、上传文件、执行脚本等。虽然无法通过该漏洞直接获得管理员权限，但是可以探测目标主机的一些关键信息，在信息搜索中发挥一定的作用。通过net time命令获取主机时间通过USERINFO获得主机用户帐号通过X-Scan扫描主机的用户信息,项目问题1 安全解决方案,删除默认共享：例如建立批处理文件，并写入如下语句：net share ipc$/del net share admin$/del net share c$/del net share d$/del通过修改注册表删除默认共享：例如Windows2000服务器版本，Key：HKEY_LOCAL_MACHINESYSTEMCurrentControlServiceslanmanserverparameters 新建Name：AutoShareServer Type：DWORD（双字节）,项目问题1 安全解决方案,禁止空连接：有了IPC$空连接作为连接基础，入侵者可以进行反复的试探连接，直到连接成功，获取密码。打开注册表编辑器，在HKEY_LOCAL_MACHINESYSTEMCurrentControlSetLSA中把Restrict Anonymous=DWORD的键值改为00000001或者2，但是改成2可能造成一些服务不能正常工作。,项目问题1 安全解决方案,关闭Server服务：Server服务是IPC和默认共享所依赖的服务，关闭Server服务，IPC和默认共享便不存在，但同时也使服务器丧失其他一些功能，因此该方法不适合服务器，只适合个人计算机使用,项目问题1远程管理计算机,入侵者通过建立IPC$连接就可以通过Windows自带的“计算机管理”工具控制远程计算机计算机管理工具的打开通过控制面板-管理工具-计算机管理通过运行对话框-输入“compmgmt.msc/s”命令打开右击我的电脑-选择管理必须是Administrators组的成员才能完全使用计算机管理,项目问题2 Telnet概述,Telnet服务：Telnet用于提供远程登录服务，当终端用户登录到提供这种服务的主机时，就会得到一个shell（命令行），通过这个shell，终端用户可以执行远程主机上的任何程序，实现对远程主机的完全控制。Telnet命令：telnet IP PORT 其中“PORT”是telnet的监听端口，默认是23，如果不填端口，则表示连接到23号端口。,项目问题2 telnet实例分析,步骤一：建立IPC$连接步骤二：管理远程计算机,项目问题2 telnet实例分析,步骤三：选择操作-连接到另一台计算机,项目问题2 telnet实例分析,步骤四：开启“计划任务”服务,项目问题2 telnet实例分析,步骤五：开启Telnet服务,项目问题2 telnet实例分析,步骤六：断开IPC$连接，查看计算机管理中的信息,项目问题2 telnet实例分析,查看共享会话,项目问题2 telnet实例分析,查看用户和组,通过BAT和计划任务开启telnet,如果入侵者能够使用管理员帐号与远程主机建立IPC$连接，那就可以通过at命令在远程主机上开启telnet服务：编写bat文件，键入“net start telnet”命令，然后另存为Tel.bat。“net stop”是关闭命令。建立IPC$连接，把文件拷贝到远程主机使用net time查看远程主机的时间，然后通过at命令建立计划任务,项目问题2 telnet相关问题,telnet对入侵者的作用telnet是控制主机的第一手段用来做跳板关于NTLM验证：由于telnet功能太强大，而且也是入侵者使用最频繁的登录手段之一，因此微软为telnet添加了身份认证，称为NTLM验证。它要求telnet终端除了需要有telnet服务主机的用户名和密码外，还需要满足NTLM验证。,去掉NTLM验证的方法一,首先，在本地计算机建立一个与远程主机相同的帐号和密码。,去掉NTLM验证的方法一,通过“开始”“程序”“附件”找到“命令提示符”，使用鼠标右键单击“命令提示符”，然后选择“属性”。在“以其他用户身份运行”前面打钩。,去掉NTLM验证的方法一,单击确定后，在MS-DOS界面中进行telnet登录,去掉NTLM验证的方法二,通过修改远程计算机telnet服务设置去除NTLM验证。首先建立telnet.txt文件，然后写入3，7，y，0，y，0，0建立批处理文件tel.bat，输入命令tlntadmntelnet.txt。该命令是吧telnet.txt中的内容导入tlntadmn.exe建立IPC$连接，将telnet.txt和tel.bat拷贝到远程计算机，并通过at命令执行tel.bat，去除NTLM认证,去掉NTLM验证的方法二分析,在命令提示行中输入tlntadmn,项目问题2 Telnet高级入侵过程,步骤一：使用X-Scan扫描NT弱口令主机步骤二：去除NTLM验证，开启telnet服务步骤三：使用AProMan查看进程、杀死进程步骤四：使用Instsrv给目标主机安装服务,项目问题2 AProMan简介,AproMan以命令行方式查看进程、杀死进程，不会被杀毒软件查杀。如果发现目标主机有杀毒软件、防火墙，可以先通过上传AProMan，将杀毒软件和防火墙杀掉。,项目问题2 AProMan简介,使用命令：c:AProMan.exe a 查看进程c:AProMan.exe p 显示进程关联关系c:AProMan.exe t PID 杀掉指定进程c:AProMan.exe f FileName 把进程及模块信息存入文件,项目问题2 Instsrv简介,Instsrv是一款用命令行就可以安装、卸载服务的程序，可以自由指定服务名称和服务所执行的程序使用方式：Instsrv Instsrv REMOVE,安装隐蔽的telnet服务,Windows执行telnet服务实际上运行的是 C:WinntSystem32tlntsvr.exe,安装隐蔽的Telnet服务,使用instsrv.exe建立一个名为syshealth的服务,安装隐蔽的Telnet服务,总 结,完成本项目的学习之后，我们已经掌握了基于认证入侵的方法。具体内容如下：了解了基于认证入侵的方法掌握了IPC$入侵的步骤方法掌握了Telnet入侵的实现方法,作 业,对学校网络进行考察，完成以下两个题目：1.对本机房服务器进行IPC$入侵？2.通过Telnet对服务器进行入侵对结果加以记录，并进行比较.,