IPC$远程植入木马
实验所属系列:信息安全基础
实验对象: 本科/专科信息安全专业
相关课程及专业:计算机网络、网络攻击与防御技术、渗透测试技术
实验时数(学分):4学时
实验类别:实践实验类
1、掌握利用 IPC$入侵目标计算机(windows XP 或 windows 2003)的方法;
2、制作并植入远控木马来达到远程控制对方计算机;
IPC
IPC(Inter-Process Communication) 进程间通信,是共享"命名管道"的资源,它是为了让进程间通信而开放的命名管道,通过提供可信任的用户名和口令,连接双方可以建立安全的通道并以此通道进行加密数据的交换,从而实现对远程计算机的访问。IPC是NT/2000的一项新功能,它有一个特点,即在同一时间内,两个IP之间只允许建立一个连接。NT/2000在提供了IPC功能的同时,在初次安装系统时还打开了默认共享,即所有的逻辑共享(C,D,E……)和系统目录winnt或windows(admin)共享。
空会话
空会话是在没有信任的情况下与服务器建立的会话,对于一个空会话,LSA提供的令牌的SID(空会话的SID)是S-1-5-7,用户名是:ANONYMOUS LOGON(系统内置的帐号),该访问令牌包含下面伪装的组:Everyone和Network。
IPC建立的过程
1.会话请求者(客户)向会话接收者(服务器)传送一个数据包,请求安全隧道的建立;
2.服务器产生一个随机的64位数(实现挑战)传送回客户;
3.客户取得这个由服务器产生的64位数,用试图建立会话的帐号的口令打乱它,将结果返回到服务器(实现响应);
4.服务器接受响应后发送给本地安全验证(LSA),LSA通过使用该用户正确的口令来核实响应以便确认请求者身份。
木马
利用计算机程序漏洞侵入后窃取文件的程序程序被称为木马。它是一种具有隐藏性的、自发性的可被用来进行恶意行为的程序,多不会直接对电脑产生危害,而是以控制为主。
本实验环境的网络拓扑如下图:
说明:
1)网络由两个设备组成,一台靶机、一台攻击机;
2)靶机上装的系统是windows 2003,ip地址:10.1.1.2;
3)攻击机是windows系统,其上有cmd命令行工具、远控木马、metasploit;
4)防火墙内部接口的IP和服务器的IP都已经配好。
在开始本实验的任务前,通过下述步骤确定实验环境已经准备就绪。
1:登录到自己分配到的攻击机上,在"开始"-->"程序"中查看是否安装了Metasploit工具,C盘里是否有“2013最新免杀远程”压缩包,系统是否有CMD命令行工具。
2:命令行下ping靶机IP:10.1.1.2,确认靶机存在。
利用IPC共享漏洞上传并执行木马
本任务将利用IPC共享漏洞上传并执行木马。试验者登录攻击机以后的实验步骤如下:
1、利用远控木马生成服务端
解压C盘下tools文件夹里的“2013最新免杀远程”压缩包,并运行bin文件夹内Client2013.exe:
点击“选项”--> “创建客户”,如下图:
会出现如下对话框:
说明:
域名/IP:填写木马安装后向木马监控者发出信息的指定IP,一般为攻击者的IP,但是必须要受害者访问得到;
服务信息:伪装为某服务;
自删除:运行后会自己把自己删除,以消灭痕迹;
选择图标:生成木马文件后的图标。
点击“生成”后,根据提示找到生成的木马文件,本例中会在当前文件夹生成,如下图:
将生成的木马文件移动到c盘下,不需要退出该程序。
2、利用Metasploit扫描目标主机ipc的弱口令,操作如下图所示
在msf提示符下输入use auxiliary/scanner/smb/smb_login,以加载利用模块。输入show options查看设置选项,如下图:
(图中user.txt为自己创建)
简单对参数进行了设置:
第一行:设置目标主机的ip
第二行: 设置用户名文件
第三行:设置密码文件
第四行:设置当成功时停止运行
然后输入“run”开始运行爆破
当成功时会自动停止,得到信息为: administrator :123456。
3、利用得到的用户名和密码,与目标主机建立空连接
依次点击:“开始”->“运行”->输入“CMD”打开CMD窗口,并输入如下命令与远程服务器建立连接。
依次输入下图命令:
命令说明:
第一行,cd \ 切换到C盘根目录下;
第二行的net use 命令与远程10.1.1.2建立连接。
将我们刚刚生成的服务端,上传到目标主机上去:
4、使用metasploit执行木马程序
输入下列命令调用执行模块:
输入下列命令设置参数:
这个时候就可以等待木马的上线,上线后的情形见下图: