网安--第六章 网络后门与网络隐身

第六章 网络后门与网络隐身
内容提要
为了保持对已经入侵的主机长久的控制，需要在主机上建立网络后门，以后可以直接通过后门入侵系统。

当入侵主机以后，通常入侵者的信息就被记录在主机的日志中，比如IP地址、入侵的时间以及做了哪些破坏活动等等

为了入侵的痕迹被发现，需要隐藏或者清除入侵的痕迹

实现隐身有两种方法：
设置代理跳板
清除系统日志。
网络后门
网络后门是保持对目标主机长久控制的关键策略。可以通过建立服务端口和克隆管理员帐号来实现。

留后门的艺术
只要能不通过正常登录进入系统的途径都称之为网络后门。后门的好坏取决于被管理员发现的概率。只要是不容易被发现的后门都是好后门。留后门的原理和选间谍是一样的，让管理员看了感觉没有任何特别的。
案例6-1 远程启动Telnet服务
利用主机上的Telnet服务，有管理员密码就可以登录到对方的命令行，进而操作对方的文件系统。如果Telnet服务是关闭的，就不能登录了。

默认情况下，Windows 2000 Server的Telnet是关闭的，可以在运行窗口中输入tlntadmn.exe命令启动本地Telnet服务，如图6-1所示。
启动本地Telnet服务
在启动的DOS窗口中输入4就可以启动本地Telnet服务了，如图6-2所示。
远程开启对方的Telnet服务
利用工具RTCS.vbe可以远程开启对方的Telnet服务，使用该工具需要知道对方具有管理员权限的用户名和密码。

命令的语法是：“cscript RTCS.vbe 172.18.25.109 administrator 123456 1 23”，
其中cscript是操作系统自带的命令
RTCS.vbe是该工具软件脚本文件
IP地址是要启动Telnet的主机地址
administrator是用户名
123456是密码
1是登录系统的验证方式
23是Telnet开放的端口

该命令根据网络的速度，执行的时候需要一段时间，开启远程主机Telnet服务的过程如图6-3所示。
远程开启对方的Telnet服务
 确认对话框
执行完成后，对方的Telnet服务就被开启了。在DOS提示符下，登录目标主机的Telnet服务，首先输入命令“Telnet 172.18.25.109”，因为Telnet的用户名和密码是明文传递的，首先出现确认发送信息对话框，如图6-4所示。
登录Telnet的用户名和密码
输入字符“y”，进入Telnet的登录界面，需要输入主机的用户名和密码，如图6-5所示。
登录Telnet服务器
如果用户名和密码没有错误，将进入对方主机的命令行，如图6-6所示。
记录管理员口令修改过程
当入侵到对方主机并得到管理员口令以后，就可以对主机进行长久入侵了，但是一个好的管理员一般每隔半个月左右就会修改一次密码，这样已经得到的密码就不起作用了。

利用工具软件Win2kPass.exe记录修改的新密码，该软件将密码记录在Winnt\temp目录下的Config.ini文件中，有时候文件名可能不是Config，但是扩展名一定是ini，该工具软件是有“自杀”的功能，就是当执行完毕后，自动删除自己。
记录管理员口令修改过程
首先在对方操作系统中执行Win2KPass.exe文件，当对方主机管理员密码修改并重启计算机以后，就在Winnt\temp目录下产生一个ini文件，如图6-7所示。
案例6-3 建立Web服务和Telnet服务
使用工具软件wnc.exe可以在对方的主机上开启两个服务：Web服务和Telnet服务。其中Web服务的端口是808，Telnet服务的端口是707。执行很简单，只要在对方的命令行下执行一下wnc.exe就可以，如图6-9所示。
建立Web服务和Telnet服务
执行完毕后，利用命令“netstat -an”来查看开启的808和707端口，如图6-10所示。
测试Web服务
说明服务端口开启成功，可以连接该目标主机提供的这两个服务了。首先测试Web服务808端口，在浏览器地址栏中输入“http://172.18.25.109:808”，出现主机的盘符列表，如图6-11所示。
看密码修改记录文件
可以下载对方硬盘设置光盘上的任意文件（对于汉字文件名的文件下载有问题），可以到Winnt/temp目录下查看对方密码修改记录文件，如图6-12所示。
利用telnet命令连接707端口
可以利用“telnet 172.18.25.109 707”命令登录到对方的命令行，执行的方法如图6-13所示。
登录到对方的命令行
不用任何的用户名和密码就可以登录对对方主机的命令行，如图6-14所示。
自启动程序
通过707端口也可以方便的获得对方的管理员权限。
wnc.exe的功能强大，但是该程序不能自动加载执行，需要将该文件加到自启动程序列表中。
一般将wnc.exe文件放到对方的winnt目录或者winnt/system32目下，这两个目录是系统环境目录，执行这两个目录下的文件不需要给出具体的路径。
将wnc.exe加到自启动列表
首先将wnc.exe和reg.exe文件拷贝对方的winnt目录下，利用reg.exe文件将wnc.exe加载到注册表的自启动项目中，命令的格式为：
“reg.exe add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v service /d wnc.exe”执行过程如图6-15所示。
修改后的注册表
如果可以进入对方主机的图形界面，可以查看一下对方的注册表的自启动项，已经被修改，如图6-16所示。
案例6-4 让禁用的Guest具有管理权限
操作系统所有的用户信息都保存在注册表中，但是如果直接使用“regedit”命令打开注册表，该键值是隐藏的，如图6-17所示。

查看winlogon.exe的进程号
可以利用工具软件psu.exe得到该键值的查看和编辑权。将psu.exe拷贝对方主机的C盘下，并在任务管理器查看对方主机winlogon.exe进程的ID号或者使用pulist.exe文件查看该进程的ID号，如图6-18所示。
执行命令
该进程号为192，下面执行命令“psu -p regedit -i pid”其中pid为Winlogon.exe的进程号，如图6-19所示。
查看SAM键值
在执行该命令的时候必须将注册表关闭，执行完命令以后，自动打开了注册表编辑器，查看SAM下的键值，如图6-20所示。
查看帐户对应的键值
查看Administrator和guest默认的键值，在Windows 2000操作系统上，Administrator一般为0x1f4，guest一般为0x1f5，如图6-21所示。
帐户配置信息
根据“0x1f4”和“0x1f5”找到Administrator和guest帐户的配置信息，如图6-22所示。
拷贝管理员配置信息
在图6-22右边栏目中的F键值中保存了帐户的密码信息，双击“000001F4”目录下键值“F”，可以看到该键值的二进制信息，将这些二进制信息全选，并拷贝到出来，如图6-23所示。
覆盖Guest用户的配置信息
将拷贝出来的信息全部覆盖到“000001F5”目录下的“F”键值中，如图6-24所示。
保存键值
Guest帐户已经具有管理员权限了。为了能够使Guest帐户在禁用的状态登录，下一步将Guest帐户信息导出注册表。选择User目录，然后选择菜单栏“注册表”下的菜单项“导出注册表文件”，将该键值保存为一个配置文件，如图6-25所示。
删除Guest帐户信息
打开计算机管理对话框，并分别删除Guest和“00001F5”两个目录，如图6-26所示。
刷新用户列表
这个刷新对方主机的用户列表，会出现用户找不到的对话框，如图6-27所示。
修改Guest帐户的属性
然后再将刚才导出的信息文件，再导入注册表。再刷新用户列表就不在出现该对话框了。
下面在对方主机的命令行下修改Guest的用户属性，注意：一定要在命令行下。
首先修改Guest帐户的密码，比如这里改成“123456”，并将Guest帐户开启和停止，如图6-28所示。
查看guest帐户属性
再查看一下计算机管理窗口中的Guest帐户，发现该帐户使禁用的，如图6-29所示。
利用禁用的guest帐户登录
注销退出系统，然后用用户名：“guest”，密码：“123456”登录系统，如图6-30所示。
连接终端服务的软件
终端服务是Windows操作系统自带的，可以远程通过图形界面操纵服务器。在默认的情况下终端服务的端口号是3389。可以在系统服务中查看终端服务是否启动，如图6-31所示。
查看终端服务的端口
服务默认的端口是3389，可以利用命令“netstat -an”来查看该端口是否开放，如图6-32所示。
连接到终端服务
管理员为了远程操作方便，服务器上的该服务一般都是开启的。这就给黑客们提供一条可以远程图形化操作主机的途径。

利用该服务，目前常用的有三种方法连接到对方主机：

1、使用Windows 2000的远程桌面连接工具。
2、使用Windows XP的远程桌面连接工具。
3、使用基于浏览器方式的连接工具。
案例6-5 三种方法连接到终端服务
第一种方法利用Windows 2000自带的终端服务工具：mstsc.exe。该工具中只要设置要连接主机的IP地址和连接桌面的分辨率就可以，如图6-33所示。
终端服务
如果目标主机的终端服务是启动的，可以直接登录到对方的桌面，在登录框输入用户名和密码就可以在图形化界面种操纵对方主机了，如图6-24所示。
终端服务
第二种方法是使用Windows XP自带的终端服务连接器：mstsc.exe。界面比较简单，只要输入对方的IP地址就可以了，如图6-25所示。
Web方式连接
第三种方法是使用Web方式连接，该工具包含几个文件，需要将这些文件配置到IIS的站点中去，程序列表如图6-26所示。
配置Web站点
将这些文件设置到本地IIS默认Web站点的根目录，如图6-27所示。
在浏览器中连接终端服务
然后在浏览器中输入“http://localhost”打开连接程序，如图6-28所示。
浏览器中的终端服务登录界面
在服务器地址文本框中输入对方的IP地址，再选择连接窗口的分辨率，点击按钮“连接”连接到对方的桌面，如图6-29所示。

案例6-6 安装并启动终端服务
假设对方不仅没有开启终端服务，而且没有安装终端服务所需要的软件。
使用工具软件djxyxs.exe，可以给对方安装并开启该服务。在该工具软件中已经包含了安装终端服务所需要的所有文件，该文件如图6-30所示。
上传程序到指定的目录
将该文件上传并拷贝到对方服务器的Winnt\temp目录下（必须放置在该目录下，否则安装不成功！），如图6-31所示。
目录列表
然后执行djxyxs.exe文件，该文件会自动进行解压将文件全部放置到当前的目录下，执行命令查看当前目录下的文件列表，如图6-32所示。
木马
木马是一种可以驻留在对方系统中的一种程序。
木马一般由两部分组成：服务器端和客户端。
驻留在对方服务器的称之为木马的服务器端，远程的可以连到木马服务器的程序称之为客户端。
木马的功能是通过客户端可以操纵服务器，进而操纵对方的主机。
木马和后门的区别
木马程序在表面上看上去没有任何的损害，实际上隐藏着可以控制用户整个计算机系统、打开后门等危害系统安全的功能。

木马来自于“特洛伊木马”，英文名称为Trojan Horse。传说希腊人围攻特洛伊城，久久不能攻克，后来军师想出了一个特洛伊木马计，让士兵藏在巨大的特洛伊木马中部队假装撤退而将特洛伊木马丢弃在特洛伊城下，让敌人将其作为战利品拖入城中，到了夜里，特洛伊木马内的士兵便趁着夜里敌人庆祝胜利、放松警惕的时候从特洛伊木马里悄悄地爬出来，与城外的部队里应外合攻下了特洛伊城。由于特洛伊木马程序的功能和此类似，故而得名。
常见木马的使用
常见的简单得木马有NetBus远程控制、“冰河”木马、PCAnyWhere远程控制等等。这里介绍一种最常见的木马程序：“冰河”。

案例6-7 使用“冰河”进行远程控制
“冰河”包含两个程序文件，一个是服务器端，另一个是客户端。“冰河8.2”得文件列表如图6-33所示。

“冰河”的客户端
win32.exe文件是服务器端程序，Y_Client.exe文件为客户端程序。将win32.exe文件在远程得计算机上执行以后，通过Y_Client.exe文件来控制远程得服务器，客户端的主界面如图6-34所示
选择配置菜单
将服务器程序种到对方主机之前需要对服务器程序做一些设置，比如连接端口，连接密码等。选择菜单栏“设置”下的菜单项“配置服务器程序”，如图6-35所示。
设置“冰河”服务器配置
在出现的对话框中选择服务器端程序win32.exe进行配置，并填写访问服务器端程序的口令，这里设置为“1234567890”，如图6-36所示。
查看注册表
点击按钮“确定”以后，就将“冰河”的服务器种到某一台主机上了。执行完win32.exe文件以后，系统没有任何反应，其实已经更改了注册表，并将服务器端程序和文本文件进行了关联，当用户双击一个扩展名为txt的文件的时候，就会自动执行冰河服务器端程序。前面章节对此已经做了介绍，当计算机感染了“冰河”以后，查看被修改后的注册表，如图6-37所示。
使用冰河客户端添加主机
没有中冰河的情况下，该注册表项应该是使用notepad.exe文件来打开txt文件，而图中的“SYSEXPLR.EXE”其实就是“冰河”的服务器端程序。

目标主机中了冰河了，可以利用客户端程序来连接服务器端程序。在客户端添加主机的地址信息，这里的密码是就是刚才设置的密码“1234567890”如图6-38所示。
查看对方的目录列表
点击按钮“确定”以后，查看对方计算机的基本信息了，对方计算机的目录列表如图6-39所示。
 查看并控制远程屏幕的菜单
从图中可以看出，可以在对方计算机上进行任意的操作。除此以外还可以查看并控制对方的屏幕等等，如图6-40所示。
网络代理跳板
当从本地入侵其他主机的时候，自己的IP会暴露给对方。通过将某一台主机设置为代理，通过该主机再入侵其他主机，这样就会留下代理的IP地址，这样就可以有效的保护自己的安全。二级代理的基本结构如图6-41所示。

本地通过两级代理入侵某一台主机，这样在被入侵的主机上，就不会留下的自己的信息。可以选择更多的代理级别，但是考虑到网络带宽的问题，一般选择两到三级代理比较合适。

选择代理服务的原则是选择不同地区的主机作为代理。比如现在要入侵北美的某一台主机，选择南非的某一台主机作为一级代理服务器，选择北欧的某一台计算机作为二级代理，再选择南美的一台主机作为三级代理服务器，这样很安全了。

可以选择做代理的主机有一个先决条件，必须先安装相关的代理软件，一般都是将已经被入侵的主机作为代理服务器。
网络代理跳板工具的使用
常用的网络代理跳板工具很多，这里介绍一种比较常用而且功能比较强大的代理工具：Snake代理跳板。

Snake的代理跳板，支持TCP/UDP代理，支持多个（最多达到255）跳板。

程序文件为：SkSockServer.exe，代理方式为Sock5，并自动打开默认端口1813.监听。
使用Snake代理跳板
使用Snake代理跳板需要首先在每一级跳板主机上安装Snake代理服务器。程序文件是SkSockServer.exe，将该文件拷贝到目标主机上。
一般首先将本地计算机设置为一级代理，将文件拷贝到C盘根目录下，然后将代理服务安装到主机上。安装需要四个步骤，如图6-42所示。
查看开放的1122端口
第一步执行“sksockserver -install”将代理服务安装主机中
第二步执行“sksockserver -config port 1122”将代理服务的端口设置为1122，当然可以设置为其他的数值，
第三步执行“sksockserver -config starttype 2”将该服务的启动方式设置为自动启动。第四步执行“net start skserver”启动代理服务。设置完毕以后使用“netstat -an”命令查看1122端口是否开放，如图6-43所示。
代理级别配置工具
本地设置完毕以后，在网络上其他的主机上设置二级代理，比如在IP为172.18.25.109的主机上也设置和本机同样的代理配置。
使用本地代理配置工具：SkServerGUI.exe，该配置工具的主界面如图6-44所示。
设置经过的代理服务器
选择主菜单“配置”下的菜单项“经过的SKServer”，在出现的对话框中设置代理的顺序，第一级代理是本地的1122端口，IP地址是127.0.0.1，第二级代理是172.18.25.109，端口是1122端口，注意将复选框“允许”选中，如图6-45所示。
设置可以访问代理的客户端
设置可以访问该代理的客户端，选择主菜单“配置”下的菜单项“客户端”，这里只允许本地访问该代理服务，所以将IP地址设置为127.0.0.1，子网掩码设置为“255.255.255.255”，并将复选框“允许”选中。如图6-46所示。
启动代理跳板
一个二级代理设置完毕，选择菜单栏“命令”下的菜单项“开始”，启动该代理跳板。如图6-47所示
安装程序和汉化补丁
从图6-46可以看出，该程序启动以后监听的端口是“1913”。下面需要安装代理的客户端程序，该程序包含两个程序，一个是安装程序，一个汉化补丁，如果不安装补丁程序将不能使用。如图6-48所示。
设置Socks代理
首先安装sc32r231.exe，再安装补丁程序HBC-SC32231-Ronnier.exe，然后执行该程序，首先出现设置窗口如图6-49所示。
代理客户端的主界面
设置Socks代理服务器为本地IP地址127.0.0.1，端口设置为跳板的监听端口“1913”，选择Socks版本5作为代理。设置完毕后，点击按钮“确定”，主界面如图6-50所示。
设置需要代理的应用程序
添加需要代理的应用程序，点击工具栏图标“新建”，比如现在添加Internet Explore添加进来，设置方式如图6-51所示

 

设置完毕以后，IE的图标就在列表中了，选中IE图标，然后点击工具栏图标“运行”，如图6-52所示。
使用IE连接某地址
在打开的IE中连接某一个地址，比如“172.18.25.109”，如图6-53所示。
查看使用代理的情况
在IE的连接过程中，查看代理跳板的对话框，可以看到连接的信息。这些信息在一次连接会话完毕后会自动消失，必须在连接的过程中查看，如图6-54所示。
清除日志
电影中通常会出现这样的场景，当有黑客入侵计算机系统的时候，需要全楼停电来捉住黑客，为什么停电就可以逮住黑客呢？这是因为当黑客入侵系统并在退出系统之前都会清除系统的日志，如果突然停电，黑客将没有机会删除自己入侵的痕迹，所以就可以抓住黑客了。
清除日志是黑客入侵的最后的一步，黑客能做到来无踪去无影，这一步起到决定性的作用。
清除IIS日志
当用户访问某个IIS服务器以后，无论是正常的访问还是非正常的访问，IIS都会记录访问者的IP地址以及访问时间等信息。这些信息记录在Winnt\System32\logFiles目录下，如图6-55所示。
 IIS日志的格式
打开任一文件夹下的任一文件，可以看到IIS日志的基本格式，记录了用户访问的服务器文件、用户登的时间、用户的IP地址以及用户浏览器以及操作系统的版本号。如图6-56所示
清除IIS日志
最简单的方法是直接到该目录下删除这些文件夹，但是全部删除文件以后，一定会引起管理员的怀疑。
一般入侵的过程是短暂的，只会保存到一个Log文件，只要在该Log文件删除所有自己的记录就可以了。
清除IIS日志的全过程
使用工具软件CleanIISLog.exe可以做到这一点，首先将该文件拷贝到日志文件所在目录，然后执行命令“CleanIISLog.exe ex031108.log 172.18.25.110”，第一个参数ex031108.log是日志文件名，文件名的后六位代表年月日，第二个参数是要在该Log文件中删除的IP地址，也就是自己的IP地址。先查找当前目录下的文件，然后做清楚的操作，整个清除的过程如图6-57所示。
清除主机日志
主机日志包括三类的日志：应用程序日志、安全日志和系统日志。可以在计算机上通过控制面板下的“事件查看器”查看日志信息，如图6-58所示。

清除主机日志
使用工具软件clearel.exe，可以方便的清除系统日志，首先将该文件上传到对方主机，然后删除这三种日志的命令格式为：
Clearel System
Clearel Security
Clearel Application
Clearel All
这四条命令分别删除系统日志、安全日志、应用程序日志和删除全部日志。命令执行的过程如图6-59所示。
事件查看器
执行完毕后，再打开事件查看器，发现都已经空了。如图6-60所示。
案例6-11 程序分析：TCP协议建立服务端口
建立端口可以使用TCP协议和UDP协议，程序proj9_11.cpp使用TCP协议在本地计算机上开启一个端口。
案例6-12 程序分析：实现服务器和客户机的交互
实现服务器和客户机的交互需要分别在服务器和服务器上执行程序，服务器上程序负责开启并监听一个端口，客户机上的程序负责连接到该端口并与之通信。服务器的程序和案例6-11类似，如程序ServerSide.cpp文件所示。
本章总结
本章介绍入侵过程中三个非常重要的步骤。隐藏IP、种植后门和在网络中隐身
隐藏IP通过网络代理跳板来实现，在网络中隐身通过清除系统日志来完成
本章需要重点掌握和理解网络后门的建立方法以及如何通过后门程序再一次入侵对方的主机。
学会使用常用的木马进行远程控制，掌握网络代理跳板和清楚系统日志的方法。掌握如何利用C程序实现服务器和客户机的交互。
本章习题
一、选择题
1. 网络后门的功能是___________。
A. 保持对目标主机长久控制   B. 防止管理员密码丢失
C. 为定期维护主机         D. 为了防止主机被非法入侵
2. 终端服务是Windows操作系统自带的，可以通过图形界面远程操纵服务器。在默认的情况下，终端服务的端口号是___________。
A. 25       B. 3389
C. 80       D. 1399
3. ___________是一种可以驻留在对方服务器系统中的一种程序。
A. 后门     B. 跳板
C. 终端服务     D. 木马
本章习题
二、填空题
1. 后门的好坏取决于___________。
2. 木马程序一般由两部分组成：___________和___________。
3. 本质上，木马和后门都是提供网络后门的功能，但是___________的功能稍微强大一些，一般还有远程控制的功能， ___________功能比较单一
本章习题
三、简答题与程序设计题
1. 留后门的原则是什么？
2. 如何留后门程序？列举三种后门程序，并阐述原理及如何防御。
3. 简述终端服务的功能，如何连接到终端服务器上？如何开启对方的终端服务？
4. 简述木马由来，并简述木马和后门的区别。
5. 简述网络代理跳板的功能。
6. 系统日志有哪些？如何清楚这些日志？
7. 利用三种方法在对方计算机种植后门程序。（上机完成）
8. 在对方计算机上种植“冰河”程序，并设置“冰河”的服务端口是“8999”，连接的密码是“0987654321”。（上机完成）
9. 使用二级网络跳板对某主机进行入侵。（上机完成）
10. 编程实现当客户端连接某端口的时候，自动在目标主机上建立一个用户“Hacker”，密码为“HackerPWD”，并将该用户添加到管理员组。