4木馬攻擊實驗

1、木馬攻擊實驗【實驗內容】灰鴿子木馬是網絡上常見的并且功能強人的遠程后門軟件。采用dll注入技術，開啟服 務程序，從而實現(xiàn)遠程控制的冃的。本實驗以灰鴿子木馬為例進行如下實驗內容：(1)木馬制作木馬種植(3) 查看木馬驗證和系統(tǒng)狀態(tài)(4) 卸載灰鴿子木馬【實驗原理】木馬，全稱為特洛伊木馬(trojan horse)o “特洛伊木馬”這一詞最早出先在希臘神話傳 說中。計算機木馬程序一般具有以下幾個特征：主程序有兩個，一個是服務端，另一個是控制端。服務端需要在主機執(zhí)行。當控制端連接服務端主機后，控制端會向服務端主機發(fā)出命令。陽服務端主機在接受命 令后，會執(zhí)行相應的任務?；银澴邮菄鴥纫豢铙缑箝T軟件,是

2、國內后門軟件的集大成者。具有豐富而強人的功能、 靈活多變的操作、良好的隱藏性?？蛻舳撕喴妆憬莸牟僮魇箘側腴T的初學者都能充當黑 客。當使用在合法悄況下時，灰鴿了是一款優(yōu)秀的遠程控制軟件。但如果拿它做一些非 法的事，灰鴿子就成了很強大的黑客工具?！緦嶒灜h(huán)境】windows實驗臺所需工貝：灰鴿子客八端軟件【實驗步驟】啟動windows實驗臺，并設置實驗臺的ip地址，以實驗臺為1=1標.1：機進行實驗。個別實驗 學生可以以2人一組的形式，互為攻擊方和被攻擊方來進行。一、木馬制作(1)根據(jù)攻防實驗制作灰鴿了木馬，配置安裝冃錄，如圖2.4.3-1所示。 啟動項配置，如圖2.43-2所示。圖 2.4.3-1

3、圖 2.43-2高級設置，選擇使用瀏覽器進程啟動。并生成服務器程序，如圖2.4.33所示。r圖2.4.33二、木馬種植(1) 通過漏洞或溢岀得到遠程主機權限，上傳并運行灰鴿子木馬。(2) 本地對植入灰鴿子的主機進行連接，看是否能連接灰鴿子。三、木馬分析(1)察看端口瓷甞的眷戶端服務器啟動z后，會發(fā)現(xiàn)本地灰鴿子客戶端冇主機上線，說明灰鴿了已繹 啟動成功，如圖2.43-4所示。圖2434查看遠程主機的開放端口如圖2.43-5所示，肉雞192.168.50.151止在與木地192.168.50.40連接，表示肉雞已經上線，可以對英進行控制。c：tcp0.0.0.0：10290.0.0.0:0list

4、eningtcp0.0.0.0：14330.0.0.0:0listeningtcp192.168.50.151:1390.0.0.0:0listeningtcp192.168.50.151:445192.168.50.40:1429establishedtcp192.168.50.151:1031192.168.50.1:139timeuaittcp192.168.50.151:1034192.168.50.1:139time.waittcp192.168.50.151:1036192.168.50.40:8000establishedudp0.0.0.0：445*： *udp0.0.0.0：

5、500udp0.0.0.0：1026m： mudp0.0.0.0：1030m： mudp0.0.0.0：1434*： *udp0.0.0.0：3456m： mudp0.0.0.0：4500m： mudp127.0.0.1:53m： mudp127.0.0.1:123*： *udp127.0.0.1:1025udp127.0.0.1:1032m： mudp127.0.0.1:3456m： mudp192.168.50.151:53*： *udp192.168.50.151:123udp192.168.50.151:137m： mudp192.168.50.151:138m： m|c： docun

6、ents andsett ingsrtdninistratoi*>exe圖 2a3-5(2)查看進程啟動icesword檢查開放進程,進程中多出t iexplore.exe進程,如圖2.43-6所示；這個進 程即為啟動灰鴿子木馬的進程，起到了隱藏灰鴿子自身程序的目的。文件轉儲插件外觀幫助一 x需log國功能進程：31進程 炳口啟動組進程映像名稱進程id i程序名稱i基本憂先級| eprocess | isvcmdst. exe908c: wlim0wssystefn32svch0st. exe80x821066d02jsvcwjst.exe972c: wnrd0wssystem32svc

7、h0st. exe80x822s6d88gfmsdtc.exe1188c: villd0wssystem32msdtc. exe80x8215cb58lmscorsw. exe1304c:hhdoismicrosoft. netframworkv2.0.50720.80x821dd558_3dhs.exe1344c: wlimowssystefn32dns. exe80x8212s3e0221inetinfo.exe1388c: wnrd0wssystem32inetsrvinetimf0. exe80x8213fs78口sql2ervr exe1424c:program filesmicro

8、soft sql servermssqlbin.80x820cb4b8/ explorer exe1476c:ran)owsexpldrer. exe80x821c94703svch3st.exe'icesword. exe1488c:wlhd0vssystem32svch0st.exe80x8213fbf01548c： 'documents and settingsadmimstratorm面工80x8221f6ao3tdifv exe1592c:wlnd0wssystem32tdifw.exe80x81cbed88vboxtray exe1696c： vind0wssyst

9、eih32vboxtray. exe80x820df720彳ctfmon. exe1752c： tfihd0wssystefn32ctfm0n. exe80x821102d0口sqlmangr一 exe1768c:program filesvhicrosoft sql server80tools.80x82302380二jtlntsvr. exe1808c: wlmd0wssystem32ti2rrsvr. exe80x81c87940 mssearch exe1864c:program filesco<nmon filessystemmssearchb.80x81c7e7f0svcic

10、st. exe1972c：tfihd0wssystem32svch0st. exe80x81c2dcf0fllexpixire exe2924c:program filesvinternet exploreriexplore. exe80x820dd688"iwmipryse exe3532c : wlmd0wssystem32wbemwmiprvse. exe80x8221c970內核模塊服務z1注冊表 文件圖2436(3)查看服務進入控制面板的“服務”，增加了一個名為huigezi的服務，如圖2.43-7所示；該服務為啟 動計算機時，灰鴿子的啟動程序。圖 2.4.3-7四、卸載灰

11、鴿子(1)停止當前運行的iexplore程序和huigezi服務。 將windows目錄下的huigezi.exe文件刪除，重新啟動計算機即可卸載灰鴿了程序。simplelses信息安全實驗教學系統(tǒng)“沁。關于已蜀錄：阻名用戶曰倍息系統(tǒng)安全，桂作系飯安全 s數(shù)jb庫安全6 sol swvers全 sqlserver安全配董 sqlserver»»«s 份 £ sqlserver 全畝計 feflysqls 全哄叱全配且 wysqu&«庫備份與喪名 wysqls全審計®計且機炳屋dll®入型病去實孩 木馬戎擊實驗 引耳型痂6 pe型痂e實駿 coi炳莓實驗 郵件