项目3远程命令的执行及注册表的入侵.ppt

《项目3远程命令的执行及注册表的入侵.ppt》由会员分享，可在线阅读，更多相关《项目3远程命令的执行及注册表的入侵.ppt（35页珍藏版）》请在三一办公上搜索。

1、学习情境二:网络的认证攻击与防范,项目3 远程命令的执行及注册表的入侵,项目3 远程命令的执行及注册表的入侵,课题引入远程命令的执行远程进程查、杀入侵注册表,课题引入项目背景,基于认证入侵的方式远程文件操作远程屏幕检视远程命令执行远程进程管理远程计算机管理远程注册表修改远程登录主机获取认证密码,课题引入项目分析,完成本项目需要解决的问题：如何执行远程的命令如何进行远程进程的查杀？入侵注册表需要注意哪些问题？,课题引入教学目标,完成本项目需要实现的教学目标：进行远程命令的执行（重点掌握）对远程进程查、杀（重点掌握）入侵注册表（掌握）,课题引入应达到的职业能力,能够熟练掌握执行远程命令的方法能够掌

2、握远程进程查、杀的的方法能够入侵注册表,项目问题1 远程命令的执行,能够远程执行命令，也就完全控制了远程主机。使用Telnet执行远程命令就是其中一种主要方法。使用工具PSEXEC可以不用Telnet实现远程命令的执行。使用方法PSEXEC computer-u user-p password-s-i-c-f-d cmd arguments,项目问题1 PSEXEC参数说明,-u 登陆远程主机的用户名-p 登陆远程主机的密码-i 与远程主机交互执行-c 拷贝本地文件到远程主机系统并执行-f 拷贝本地文件到远程主机系统目录并执 行，如果远程主机已经存在该文件，则覆盖-d 不等待程序结束,PSEX

3、EC使用实例一,通过PSEXEC实现与Telnet登录同样的功能使用命令psexec 192.168.0.106 u administrator p“”cmd,PSEXEC使用实例二,使用PSEXEC，将本地可执行程序拷贝到远程主机执行,PSEXEC使用方式说明,如果要在远程主机建立后门帐号，可以使用命令psexec 192.168.0.106 u administrator p“”net user abc abc/add如果将本地文件拷贝到远程主机并执行过程中，远程主机存在同名文件，则使用-f选项-i选项一般不使用，否则在本地执行的命令远程主机也能看到,项目问题2 远程进程查、杀,入侵者对远

4、程主机的彻底控制包括远程察看、杀死远程主机的进程。使用PSEXEC和Aproman可以实现这一过程Aproman的使用回顾Aproman.exe p：显示端口进程关联关系Aproman.exe t PID：杀掉指定进程号的进程Aproman.exe f FileName 把进程及模块信息存入文件,使用PSEXEC和Aproman查、杀进程,步骤一：将Aproman.exe拷贝到本机磁盘步骤二：使用PSEXEC将Aproman.exe拷贝到目的主机并执行步骤三：通过指定进程号杀死远程主机的进程。使用命令 psexec 192.168.0.106 u administrator p“”d apro

5、man t 1280,使用pslist和pskill实现进程查杀,pslist.exe是命令行方式下远程查看进程的工具，其使用方法为：pslist-t-m-x computer-u username-p password name/pid-t显示线程-m 显示内存细节-x 显示进程、内存和线程 name 列出指定用户的进程 pid 显示指定PID的进程信息,使用pslist和pskill实现进程查杀,pskill.exe是命令行方式下远程杀进程的工具，其使用方式为：pskill computer-u 用户名进程号/进程名,使用pslist和pskill查杀calc实例,远程执行命令总结,计划任

6、务方式获得帐号和密码建立IPC$连接开放计划任务服务Telnet方式获得帐号和密码开放telnet服务去掉NTLM验证,远程执行命令总结,PSEXEC方式获得帐号和密码需要IPC$连接的支持开放Server服务,项目问题3 入侵注册表,在早期的DOS系统中，系统通过使用BAT文件来为DOS系统加载驱动程序。Windwos3.x中，系统通过Win.ini、System.ini、Control.ini、program.ini等INI文件来保存操作系统的软、硬件的配置信息和驱动程序（INI文件最大64KB）从Windows95开始，通过注册表，用户便可以轻易的添加、删除、修改系统内的软、硬件配置信息

7、和驱动程序,开启远程主机的注册表,入侵者通过远程控制和入侵注册表需要的条件建立IPC$连接开启远程注册表服务,开启远程主机的注册表,开启远程注册表服务的过程如下：建立IPC$连接打开“计算机管理”，用“计算机管理”管理远程计算机开启远程注册表服务关闭“计算机管理”，断开IPC$连接,连接远程主机的注册表（一）,入侵者可以通过Windows自带的工具连接远程主机的注册表并进行修改。步骤一：执行regedit来打开注册表编辑器步骤二：建立IPC$连接步骤三：连接远程主机注册表（选择“注册表”连接网络注册表”）步骤四：断开网络注册表,注册表reg文件的编辑,入侵者除了使用注册表编辑器编辑注册表外，还

8、可以通过手工倒入reg文件修改远程主机的注册表reg文件是Windows系统中一种特定格式的文本文件，它是为注册表的信息编辑而设计的文件。通过reg可以修改注册表的任意一项，但是通过网络连接珠册表编辑器一般只能看到三个根项,使用reg文件修改注册表实例,步骤一：打开记事本，然后编辑添加主键，在记事本中写入：REGEDIT4 HKEY_CURRENT_USERSSoftwareHACK,使用reg文件修改注册表实例,保存文件为test1.reg，双击该文件，便建立了HACK主键。,使用reg文件修改注册表实例,为HACK主键建立一个名字为“NAME”，类型为“DWORD”，值为“00000000

9、”的键值项。打开记事本，写入：REGEDIT4 HKEY_CURRENT_USERSoftwareHACK“NAME”=dword:00000000 保存为TEST2.REG文件，然后双击导入。,使用reg文件修改注册表实例,删除键值项 REGEDIT4 HKEY_CURRENT_USERSoftwareHACK“NAME”=-删除主键 REGEDIT4-HKEY_CURRENT_USERSSoftwareHACK,命令行导入,上面实例中通过双击导入注册表，容易被远程主机管理员发现，因为每次导入都会有提示对话框,命令行导入,通过命令行倒入使用专门的注册表导入工具使用windows系统自带的导入

10、工具windows自带的导入工具使用命令：regedit/s regedit是系统自带的命令，不使用任何工具。/s表示不需要询问，直接倒入,远程关机方法一,远程关机方法一打开计算机管理（本地）在控制台树中，右键单击“计算机管理”，然后单击“连接到另一台计算机”在“选择计算机”对话框“名称”下，选择要重新启动或关闭的计算机，然后单击“确定”。右键单击远程计算机“计算机管理”，然后选择“属性”在“高级”选项卡上，单击“启动和故障恢复”中的“设置”按钮,远程关机方法一,远程关机方法一单击“关闭”按钮，打开“关闭”对话框在“操作”栏中，选择要在连接的计算机上执行的操作在“强制应用程序关闭”栏中，选择关

11、闭或重新启动计算机时是否强制关闭程序，然后单击“确定”按钮,远程关机方法二,使用Windows2003/XP中的shutdown命令远程关机。对于没有该命令的系统（如windows2000），可以将shutdown.exe工具拷贝到windows2000的系统文件夹，就可以使用了shutdown经常使用的参数s:关闭计算机r：重新启动计算机m ip：指定被操作的远程计算机t xx：指定多少时间后关闭或者重新启动计算机,远程关机方法二,使用shutdown关闭远程计算机，必须先建立IPC$连接，例如：shutdown s m192.168.0.106 t 00实现远程关闭。,总 结,完成本项目的学习之后，我们已经掌握了基于认证入侵的方法。具体内容如下：掌握了执行远程命令的方法掌握对远程进程查、杀的方法能够入侵注册表,作 业,对学校网络进行考察，完成以下两个题目：1.对本机房服务器执行远程命令？2.查、杀远程机房服务器的进程3.入侵远程机房服务器的注册表,