網(wǎng)絡安全實驗教程（第2版）課件 電子 第6、7章 惡意代碼、內(nèi)部網(wǎng)絡滲透

第六章惡意代碼建議學時：4內(nèi)部網(wǎng)絡滲透目錄content手工脫殼實驗2木馬程序的配置與使用實驗1基于沙箱的惡意代碼檢測實驗3手工查殺惡意代碼實驗431木馬程序的配置與使用實驗實驗原理Metasploit包括漏洞掃描、漏洞利用、木馬生成、木馬操作等多個模塊，通過不同的參數(shù)設置可實現(xiàn)較為完整的滲透測試過程。Metasploit由msfvenom前端和msfconsole后端構(gòu)成，前端用于生成木馬或shellcode，后端用于掃描、漏洞利用和木馬的操控。實驗目的了解Metasploit如何配置和生成木馬、植入木馬，了解木馬程序遠程控制功能。結(jié)合Nmap掃描和Metasploit漏洞利用功能，了解網(wǎng)絡攻擊從利用漏洞獲取權(quán)限到木馬植入控守的完整過程。41.1實驗設計實驗方法實驗工具使用Metasploit：（1）掃描目標主機，利用ms17_010漏洞獲取目標主機的權(quán)限（2）配置生成可執(zhí)行木馬trbackdoor.exe

（3）利用獲取的目標權(quán)限植入木馬，并對主機進行遠程控制Metasploit：免費的滲透測試框架。Kali集成Nmap：使用最廣泛的掃描工具之一。Kali集成51.1實驗設計實驗環(huán)境實驗環(huán)境為兩臺虛擬機組建的局域網(wǎng)絡，其中虛擬機網(wǎng)絡選擇NAT模式虛擬機1模擬目標主機，其操作系統(tǒng)為Windows7，需關(guān)閉防火墻虛擬機2模擬攻擊主機，其操作系統(tǒng)為KaliLinux61.2實驗步驟環(huán)境準備，啟動虛擬機1和2通過msfvenom工具配置一款用于x64的Windows主機的可執(zhí)行木馬trbackdoor.exe利用Nmap對目標靶機4進行掃描，查看端口及漏洞情況使用Metasploit的輔助模塊對漏洞情況進行驗證選擇相應的漏洞利用模塊進行攻擊，獲取遠程主機的權(quán)限利用upload命令將之前配置好的木馬trbackdoor.exe上傳到遠程主機并啟動從漏洞利用得到的shell中退出，選擇exploit/multi/handler監(jiān)聽模塊并進行設置，與木馬一致進行攻擊，獲取遠程主機的權(quán)限010203040506070872手工脫殼實驗實驗原理惡意代碼分析技術(shù)可分為靜態(tài)分析和動態(tài)分析兩類。惡意代碼的靜態(tài)分析是指不執(zhí)行惡意代碼程序，通過結(jié)構(gòu)分析、控制流分析、數(shù)據(jù)流分析等技術(shù)對程序代碼進行掃描，確定程序功能，提取特征碼的惡意代碼分析方法；靜態(tài)分析技術(shù)最大的挑戰(zhàn)在于代碼采用了加殼、混淆等技術(shù)阻止反匯編器正確反匯編代碼，因此對加殼的惡意代碼正確脫殼是靜態(tài)分析的前提。對于一些通用的軟件殼，通用脫殼軟件就可以方便地將其還原為加殼前的可執(zhí)行代碼，但是對于自編殼或者是專用殼，就需要進行人工調(diào)試和分析。實驗目的利用調(diào)試工具、PE文件編輯工具等完成一個加殼程序的手工脫殼，掌握手工脫殼的基本步驟和主要方法。82.1實驗設計實驗方法實驗環(huán)境對于給定的加過UPX殼的病毒樣本程序email-worm.win32.mydoom.exe，首先利用查殼工具PEiD確定軟件殼類型，然后通過動態(tài)調(diào)試工具OllyICE和PE文件編輯工具LordPE等完成樣本的手工脫殼實驗在單機環(huán)境下完成，使用Windows10系統(tǒng)靶機92.1實驗設計實驗工具PEiD：著名的查殼工具，可以檢測幾乎所有軟件殼類型。除了檢測加殼類型外，它還自帶Windows平臺下的自動脫殼器插件，可以實現(xiàn)部分加殼程序的自動脫殼。OllyICE：OllyDBG的漢化版本，它將靜態(tài)分析工具IDA與動態(tài)調(diào)試工具SoftICE結(jié)合起來，工作在Ring3級。此外它還支持插件擴展功能。LoadPE：一款PE文件編輯工具，主要功能包括：查看、編輯可執(zhí)行文件，從內(nèi)存中導出程序內(nèi)存映像，程序優(yōu)化和分析等。ImportREConstructor：ImpREC，一款重建導入表的工具。對由于程序加殼而形成的雜亂的導入地址表IAT，可以重建導入表的描述符、IAT和所有的ASCII函數(shù)名。用它配合手動脫殼工具，可以實現(xiàn)UPX、CDilla1、PECompact、PKLite32、Shrinker、ASPack、ASProtect等的脫殼。UPX：一款壓縮殼，其主要功能是壓縮PE文件（如exe、dll等文件），也常被惡意代碼用于逃避檢測102.2實驗步驟利用PEiD確定email-worm.win32.mydoom.exe加殼類型使用OllyICE尋找程序的OEP（原始入口點），此時運行的程序已經(jīng)處于脫完殼的狀態(tài)使用LoadPE工具將運行的程序從內(nèi)存轉(zhuǎn)存到磁盤使用ImpREC工具重建導入表修改OEP信息，查找IAT信息獲得IAT信息，修訂PE文件完成脫殼工作0102030405112.3問題討論1、在6.4節(jié)，針對UPX殼介紹了一種利用常見指令定位OEP位置的方法，還有沒有可適用于其他類型殼的定位OEP位置的通用方法？123基于沙箱的惡意代碼檢測實驗實驗原理惡意代碼的動態(tài)分析則是將代碼運行在沙箱、虛擬機等受控的仿真環(huán)境中，通過監(jiān)控運行環(huán)境的變化、代碼執(zhí)行的系統(tǒng)調(diào)用等來判定惡意代碼及其實現(xiàn)原理。實驗目的通過安裝、配置和使用沙箱，熟練掌握沙箱的基本使用方法；結(jié)合沙箱分析器工具BSA（BusterSandboxAnalysis）掌握利用沙箱分析惡意代碼行為的基本原理和主要方法。133.1實驗設計Sandboxie：Sandboxie會在系統(tǒng)中虛擬出一個與系統(tǒng)完全隔離的空間，稱為沙箱環(huán)境。在這個沙箱環(huán)境內(nèi)，運行的一切程序都不會對實際操作系統(tǒng)產(chǎn)生影響。BSA：一款監(jiān)控沙箱內(nèi)進程行為的工具。它通過分析程序行為對系統(tǒng)環(huán)境造成的影響，確定程序是否為惡意軟件。通過對Sandboxie和BSA的配置，可以監(jiān)控程序?qū)ξ募到y(tǒng)、注冊表、端口甚至API函數(shù)等的操作實驗方法實驗工具實驗在單機環(huán)境下完成，使用Windows10系統(tǒng)靶機實驗環(huán)境安裝配置沙箱Sandboxie和沙箱分析器工具BSA，對給出的惡意代碼wdshx.exe（Trojan.SalityStub）進行分析，并生成對該惡意代碼行為的分析報告。143.2實驗步驟安裝與配置Sandboxie和BSA監(jiān)控木馬程序“wdshx.exe”在沙箱內(nèi)運行的行為啟動BSA進行監(jiān)控在沙箱內(nèi)加載木馬程序wdshx.exe通過BSA記錄的結(jié)果，觀察木馬程序的具體行為010203153.3問題討論1、在利用沙箱動態(tài)分析惡意代碼的過程中，除了可觀察惡意代碼對文件系統(tǒng)、注冊表等操作外，還能監(jiān)控惡意代碼執(zhí)行的API函數(shù)，利用這些函數(shù)能夠做什么？164手工查殺惡意代碼實驗實驗原理對于普通的計算機用戶，在主機上安裝主機防火墻和具有實時更新功能的殺毒軟件是防范惡意代碼的基本配置。但是采用了免殺技術(shù)的惡意代碼有時依然能夠穿透防線，順利地植入主機并加載運行。有一定經(jīng)驗的用戶通過主機系統(tǒng)的異常可發(fā)現(xiàn)可疑的進程，再借助第三方分析工具，如文件系統(tǒng)監(jiān)控、注冊表監(jiān)控和進程監(jiān)控等，分析惡意代碼進程，終止其運行并使系統(tǒng)恢復正常。實驗目的借助進程檢測和注冊表檢測等系統(tǒng)工具，終止木馬程序運行，消除木馬程序造成的影響，掌握手工查殺惡意代碼的基本原理和主要方法。174.1實驗設計ProcessMonitor：精確監(jiān)控某一指定進程對文件系統(tǒng)和注冊表的操作。ProcessExplorer：可以強制關(guān)閉任何進程（包括系統(tǒng)級別的進程）。Autoruns：它能夠從系統(tǒng)的菜單、計劃任務、服務、注冊表等多個位置找出開機自啟動的程序或模塊，為用戶查找惡意代碼的自啟動方式提供幫助。實驗方法實驗工具實驗在單機環(huán)境下完成，使用Windows10系統(tǒng)靶機實驗環(huán)境對于給定的木馬程序arp.exe，利用進程和注冊表檢測工具ProcessMonitor、ProcessExplore、Autoruns實現(xiàn)對木馬程序進程的定位、終止和清除184.2實驗步驟將干凈的虛擬機進行快照保存創(chuàng)建被感染的系統(tǒng)環(huán)境，運行惡意代碼樣本任務管理器定位木馬進程將虛擬機還原為之前干凈的快照。打開ProcMon，配置過濾規(guī)則為監(jiān)控進程arp.exe和ati2avxx.exe，運行惡意代碼樣本查看木馬進程之間的派生關(guān)系查看目標進程對文件系統(tǒng)和注冊表的操作記錄終止進程及所有子進程，還原系統(tǒng)01020304060507194.3問題討論1、在手工查殺惡意代碼過程中，如何斷定惡意代碼被完全終止了，如何確定惡意代碼被清除干凈了？2、除了隱藏和免殺外，木馬也會采取遞歸自啟的方式頻繁衍生新進程來對抗用戶終止其運行，遇到這種情況，有什么方法可以終止木馬進程呢？3、當前殺毒軟件的功能越來越強大，如果惡意代碼試圖達到免殺的效果，那么它需要采用哪些方法避免被殺毒軟件發(fā)現(xiàn)？附錄工具資源Metasploit、Nmap：Kali默認安裝PEiD：

https:///pcsoft/yingyong/23616.html

OllyICE：

http:///soft/138775.html

LoadPE：http:///soft/226477.html

ImportREC：https:///pcsoft/yingyong/3634.html

UPX：/

Sandboxie：/soft/49367.htm

BSA：https://bsa.isoftware.nl/

ProcessMonitor：http:///soft/10734.htm

ProcessExplorer：https:///soft/19289.htm

Autoruns：https:///soft/21022.htm

惡意代碼清單：trbackdoor.exe、wdshx.exe、arp.exe第七章內(nèi)部網(wǎng)絡滲透建議學時：8內(nèi)部網(wǎng)絡滲透目錄content基于SOCKS的內(nèi)網(wǎng)正向隱蔽通道實驗2本機信息收集實驗1基于SOCKS的內(nèi)網(wǎng)反向隱蔽通道實驗3231本機信息收集實驗實驗原理全面的內(nèi)網(wǎng)信息收集是進行內(nèi)部網(wǎng)絡環(huán)境判斷的基礎(chǔ)，可以分為本機信息收集、內(nèi)網(wǎng)存活主機探測和端口掃描等。如果內(nèi)部網(wǎng)絡為域網(wǎng)絡，還需要進行域相關(guān)信息收集。實驗目的了解本機信息收集實驗的方法，掌握內(nèi)網(wǎng)主機信息收集的相關(guān)命令行工具，并能夠依據(jù)返回結(jié)果判斷內(nèi)部網(wǎng)絡環(huán)境。241.1實驗設計WMIC：Windows管理規(guī)范命令行工具。netsh：Windows系統(tǒng)提供的功能強大的網(wǎng)絡配置命令行工具，可以實現(xiàn)對防火墻等網(wǎng)絡功能進行配置實驗方法實驗工具單臺虛擬機模擬被控內(nèi)網(wǎng)主機，其操作系統(tǒng)為Windows10，64位。實驗環(huán)境使用系統(tǒng)自帶的命令行工具實現(xiàn)對內(nèi)網(wǎng)主機的操作系統(tǒng)、權(quán)限、內(nèi)網(wǎng)IP地址段、殺毒軟件、端口、服務、補丁更新頻率、網(wǎng)絡連接、共享、會話等信息的收集，并依據(jù)結(jié)果進行絡環(huán)境判斷。251.2實驗步驟環(huán)境準備，啟動Windows10虛擬機查詢本機操作系統(tǒng)及軟件信息查詢本機服務和進程信息查看啟動項和計劃任務信息查詢用戶及權(quán)限信息查詢端口、會話和共享信息查看網(wǎng)絡信息查看防火墻配置0102030405060708261.3問題討論1、在本機信息收集實驗中，還可以通過查看系統(tǒng)和應用軟件日志發(fā)現(xiàn)內(nèi)部網(wǎng)絡IP地址段、網(wǎng)絡連接等信息，請通過實驗完成。272基于SOCKS的內(nèi)網(wǎng)正向隱蔽通道實驗實驗原理常用的內(nèi)網(wǎng)隱蔽通信隧道技術(shù)可以分為網(wǎng)絡層隧道技術(shù)、傳輸層隧道技術(shù)和應用層隧道技術(shù)。應用層隧道技術(shù)利用的應用協(xié)議難以被邊界設備禁用，成為主流渠道。SOCKS代理服務能夠支持以多種協(xié)議（包括HTTP、FTP等）與目標內(nèi)網(wǎng)主機進行通信。SOCKS代理一般有正向代理和反向代理兩種模式，正向代理是主動通過代理服務來訪問目標內(nèi)網(wǎng)主機，適用于外網(wǎng)主機能夠訪問受控的內(nèi)網(wǎng)主機/服務器的情況。實驗目的了解基于SOCKS的內(nèi)網(wǎng)隱蔽通信原理，掌握基于SOCKS的內(nèi)網(wǎng)正向隱蔽通道的搭建過程。282.1實驗設計實驗方法實驗工具通過Earthworm和Proxychains工具實現(xiàn)不同情景下的內(nèi)網(wǎng)正向隱蔽通道搭建，驗證和掌握內(nèi)網(wǎng)隱蔽通信原理EarthWorm：一套便攜式的網(wǎng)絡穿透工具。具有SOCKS5服務架設和端口轉(zhuǎn)發(fā)兩大核心功能，能夠以“正向”、“反向”、“多級級聯(lián)”等方式打通一條網(wǎng)絡隧道，在復雜網(wǎng)絡環(huán)境下完成網(wǎng)絡穿透。Proxychains：一款在Linux下實現(xiàn)全局代理的軟件，支持HTTP、SOCKS4、SOCKS5類型的代理服務器。在Kali2021.2中默認安裝4.14版本Putty：一款免費開源的遠程登錄客戶端軟件，本實驗中使用的是最新的0.76版本292.1實驗設計實驗環(huán)境宿主機模擬DMZ區(qū)服務器，其操作系統(tǒng)為Windows10，64位虛擬機1模擬外網(wǎng)攻擊主機，其操作系統(tǒng)為Kali2021.2，64位虛擬機2模擬內(nèi)網(wǎng)主機，其操作系統(tǒng)為Windows10，64位虛擬機3模擬內(nèi)網(wǎng)服務器，其操作系統(tǒng)為Ubuntu21.04，64位302.2實驗步驟環(huán)境準備，按照實驗網(wǎng)絡拓撲配置宿主機與虛擬機1、2、3，并判斷網(wǎng)絡連通性內(nèi)網(wǎng)一級正向隧道搭建宿主機上使用ew的ssocksd方式構(gòu)建正向SOCKS代理，虛擬機1上進行proxychains配置，添加宿主機為代理服務器在虛擬機1上通過proxychains使用nmap對虛擬機2進行掃描在3389端口開放的條件下，通過proxychains使用rdesktop連接虛擬機2的遠程桌面虛擬機1對內(nèi)部網(wǎng)絡虛擬機3嘗試進行SSH連接，被虛擬機3拒絕0102312.2實驗步驟內(nèi)網(wǎng)二級正向隧道搭建在虛擬機2上啟動putty，能夠?qū)μ摂M機3進行SSH訪問在虛擬機2上使用ew的ssocksd方式構(gòu)建正向SOCKS代理，宿主機上采用lcx_tran方式監(jiān)聽本地端口接收代理請求，轉(zhuǎn)交給代理提供主機虛擬機2虛擬機1上進行proxychains配置，添加宿主機為代理服務器在虛擬機1通過proxychains使用SSH連接虛擬機3，輸入虛擬機3的用戶口令后正常登錄。接下來，可以將虛擬機2作為跳板，對內(nèi)網(wǎng)進行下一步滲透03322.3問題討論1、基于SOCKS的內(nèi)網(wǎng)隱蔽通道實驗中，若宿主機沒有外網(wǎng)地址（即DMZ區(qū)服務器沒有公網(wǎng)IP地址，該情況實際中也較常見），則需運用EarthWorm工具的rcsocks和rssocks模式搭建反彈SOCKS代理服務器實現(xiàn)內(nèi)網(wǎng)隱蔽通信，請通過實驗完成。333基于SOCKS的內(nèi)網(wǎng)反向隱蔽通道實驗實驗原理SOCKS代理一般有正向代理和反向代理兩種模式，正向代理是主動通過代理服務來訪問目標內(nèi)網(wǎng)主機，適用于外網(wǎng)主機能夠訪問受控的內(nèi)網(wǎng)主機/服務器的情況；反向代理是指目標內(nèi)網(wǎng)主機通過代理服務主動進行連接，適用于防火墻只允許受控的內(nèi)網(wǎng)主機/服務器數(shù)據(jù)進出的情況。實驗目的了解基于SOCKS的內(nèi)網(wǎng)隱蔽通信原理，掌握基于SOCKS的內(nèi)網(wǎng)反向隱蔽通道搭建的實現(xiàn)過程。343.1實驗設計Frp：一款高性能的反向代理工具EarthWorm、Proxychains、Putty實驗方法實驗工具同7.4基于SOCKS的內(nèi)網(wǎng)正向隱蔽通道實驗實驗環(huán)境通過Frp、Earthworm和Proxychains工具實現(xiàn)不同情景下的內(nèi)網(wǎng)反向隱蔽通道搭建，驗證和掌握內(nèi)網(wǎng)隱蔽通信原理353.2實驗步驟環(huán)境準備同7.4基于SOCKS的內(nèi)網(wǎng)正向隱蔽通道實驗內(nèi)網(wǎng)一級反向隧道搭建在虛擬機1上使用frp