項(xiàng)目3遠(yuǎn)程命令的執(zhí)行及注冊(cè)表的入侵.ppt

學(xué)習(xí)情境二:網(wǎng)絡(luò)的認(rèn)證攻擊與防范,項(xiàng)目3 遠(yuǎn)程命令的執(zhí)行及注冊(cè)表的入侵,項(xiàng)目3 遠(yuǎn)程命令的執(zhí)行及注冊(cè)表的入侵,課題引入 遠(yuǎn)程命令的執(zhí)行 遠(yuǎn)程進(jìn)程查、殺 入侵注冊(cè)表,課題引入項(xiàng)目背景,基于認(rèn)證入侵的方式 遠(yuǎn)程文件操作 遠(yuǎn)程屏幕檢視 遠(yuǎn)程命令執(zhí)行 遠(yuǎn)程進(jìn)程管理 遠(yuǎn)程計(jì)算機(jī)管理 遠(yuǎn)程注冊(cè)表修改 遠(yuǎn)程登錄主機(jī) 獲取認(rèn)證密碼,課題引入項(xiàng)目分析,完成本項(xiàng)目需要解決的問題： 如何執(zhí)行遠(yuǎn)程的命令 如何進(jìn)行遠(yuǎn)程進(jìn)程的查殺？ 入侵注冊(cè)表需要注意哪些問題？,課題引入教學(xué)目標(biāo),完成本項(xiàng)目需要實(shí)現(xiàn)的教學(xué)目標(biāo)： 進(jìn)行遠(yuǎn)程命令的執(zhí)行（重點(diǎn)掌握） 對(duì)遠(yuǎn)程進(jìn)程查、殺（重點(diǎn)掌握） 入侵注冊(cè)表（掌握）,課題引入應(yīng)達(dá)到的職業(yè)能力,能夠熟練掌握?qǐng)?zhí)行遠(yuǎn)程命令的方法 能夠掌握遠(yuǎn)程進(jìn)程查、殺的的方法 能夠入侵注冊(cè)表,項(xiàng)目問題1 遠(yuǎn)程命令的執(zhí)行,能夠遠(yuǎn)程執(zhí)行命令，也就完全控制了遠(yuǎn)程主機(jī)。使用Telnet執(zhí)行遠(yuǎn)程命令就是其中一種主要方法。 使用工具PSEXEC可以不用Telnet實(shí)現(xiàn)遠(yuǎn)程命令的執(zhí)行。 使用方法PSEXEC computer -u user-p password-s-i-c-f-d cmd arguments,項(xiàng)目問題1 PSEXEC參數(shù)說明,-u 登陸遠(yuǎn)程主機(jī)的用戶名 -p 登陸遠(yuǎn)程主機(jī)的密碼 -i 與遠(yuǎn)程主機(jī)交互執(zhí)行 -c 拷貝本地文件到遠(yuǎn)程主機(jī)系統(tǒng)并執(zhí)行 -f 拷貝本地文件到遠(yuǎn)程主機(jī)系統(tǒng)目錄并執(zhí) 行，如果遠(yuǎn)程主機(jī)已經(jīng)存在該文件，則覆蓋 -d 不等待程序結(jié)束,PSEXEC使用實(shí)例一,通過PSEXEC實(shí)現(xiàn)與Telnet登錄同樣的功能 使用命令psexec 192.168.0.106 u administrator p “” cmd,PSEXEC使用實(shí)例二,使用PSEXEC，將本地可執(zhí)行程序拷貝到遠(yuǎn)程主機(jī)執(zhí)行,PSEXEC使用方式說明,如果要在遠(yuǎn)程主機(jī)建立后門帳號(hào)，可以使用命令psexec 192.168.0.106 u administrator p “” net user abc abc /add 如果將本地文件拷貝到遠(yuǎn)程主機(jī)并執(zhí)行過程中，遠(yuǎn)程主機(jī)存在同名文件，則使用-f選項(xiàng) -i選項(xiàng)一般不使用，否則在本地執(zhí)行的命令遠(yuǎn)程主機(jī)也能看到,項(xiàng)目問題2 遠(yuǎn)程進(jìn)程查、殺,入侵者對(duì)遠(yuǎn)程主機(jī)的徹底控制包括遠(yuǎn)程察看、殺死遠(yuǎn)程主機(jī)的進(jìn)程。使用PSEXEC和Aproman可以實(shí)現(xiàn)這一過程 Aproman的使用回顧 Aproman.exe p：顯示端口進(jìn)程關(guān)聯(lián)關(guān)系 Aproman.exe t PID：殺掉指定進(jìn)程號(hào)的進(jìn)程 Aproman.exe f FileName 把進(jìn)程及模塊信息存入文件,使用PSEXEC和Aproman查、殺進(jìn)程,步驟一：將Aproman.exe拷貝到本機(jī)磁盤 步驟二：使用PSEXEC將Aproman.exe拷貝到目的主機(jī)并執(zhí)行 步驟三：通過指定進(jìn)程號(hào)殺死遠(yuǎn)程主機(jī)的進(jìn)程。使用命令 psexec 192.168.0.106 u administrator p “” d aproman t 1280,使用pslist和pskill實(shí)現(xiàn)進(jìn)程查殺,pslist.exe是命令行方式下遠(yuǎn)程查看進(jìn)程的工具，其使用方法為： pslist -t-m-x computer -u username-p password name/pid -t 顯示線程 -m 顯示內(nèi)存細(xì)節(jié) -x 顯示進(jìn)程、內(nèi)存和線程 name 列出指定用戶的進(jìn)程 pid 顯示指定PID的進(jìn)程信息,使用pslist和pskill實(shí)現(xiàn)進(jìn)程查殺,pskill.exe是命令行方式下遠(yuǎn)程殺進(jìn)程的工具，其使用方式為：pskill computer -u 用戶名進(jìn)程號(hào)/進(jìn)程名,使用pslist和pskill查殺calc實(shí)例,遠(yuǎn)程執(zhí)行命令總結(jié),計(jì)劃任務(wù)方式 獲得帳號(hào)和密碼 建立IPC$連接 開放計(jì)劃任務(wù)服務(wù) Telnet方式 獲得帳號(hào)和密碼 開放telnet服務(wù) 去掉NTLM驗(yàn)證,遠(yuǎn)程執(zhí)行命令總結(jié),PSEXEC方式 獲得帳號(hào)和密碼 需要IPC$連接的支持 開放Server服務(wù),項(xiàng)目問題3 入侵注冊(cè)表,在早期的DOS系統(tǒng)中，系統(tǒng)通過使用BAT文件來為DOS系統(tǒng)加載驅(qū)動(dòng)程序。 Windwos3.x中，系統(tǒng)通過Win.ini、System.ini、Control.ini、program.ini等INI文件來保存操作系統(tǒng)的軟、硬件的配置信息和驅(qū)動(dòng)程序（INI文件最大64KB） 從Windows95開始，通過注冊(cè)表，用戶便可以輕易的添加、刪除、修改系統(tǒng)內(nèi)的軟、硬件配置信息和驅(qū)動(dòng)程序,開啟遠(yuǎn)程主機(jī)的注冊(cè)表,入侵者通過遠(yuǎn)程控制和入侵注冊(cè)表需要的條件 建立IPC$連接 開啟遠(yuǎn)程注冊(cè)表服務(wù),開啟遠(yuǎn)程主機(jī)的注冊(cè)表,開啟遠(yuǎn)程注冊(cè)表服務(wù)的過程如下： 建立IPC$連接 打開“計(jì)算機(jī)管理”，用“計(jì)算機(jī)管理”管理遠(yuǎn)程計(jì)算機(jī) 開啟遠(yuǎn)程注冊(cè)表服務(wù) 關(guān)閉“計(jì)算機(jī)管理”，斷開IPC$連接,連接遠(yuǎn)程主機(jī)的注冊(cè)表（一）,入侵者可以通過Windows自帶的工具連接遠(yuǎn)程主機(jī)的注冊(cè)表并進(jìn)行修改。 步驟一：執(zhí)行regedit來打開注冊(cè)表編輯器 步驟二：建立IPC$連接 步驟三：連接遠(yuǎn)程主機(jī)注冊(cè)表（選擇“注冊(cè)表”連接網(wǎng)絡(luò)注冊(cè)表”） 步驟四：斷開網(wǎng)絡(luò)注冊(cè)表,注冊(cè)表reg文件的編輯,入侵者除了使用注冊(cè)表編輯器編輯注冊(cè)表外，還可以通過手工倒入reg文件修改遠(yuǎn)程主機(jī)的注冊(cè)表 reg文件是Windows系統(tǒng)中一種特定格式的文本文件，它是為注冊(cè)表的信息編輯而設(shè)計(jì)的文件。 通過reg可以修改注冊(cè)表的任意一項(xiàng)，但是通過網(wǎng)絡(luò)連接珠冊(cè)表編輯器一般只能看到三個(gè)根項(xiàng),使用reg文件修改注冊(cè)表實(shí)例,步驟一：打開記事本，然后編輯添加主鍵，在記事本中寫入： REGEDIT4 HKEY_CURRENT_USERSSoftwareHACK,使用reg文件修改注冊(cè)表實(shí)例,保存文件為test1.reg，雙擊該文件，便建立了HACK主鍵。,使用reg文件修改注冊(cè)表實(shí)例,為HACK主鍵建立一個(gè)名字為“NAME”，類型為“DWORD”，值為“00000000”的鍵值項(xiàng)。 打開記事本，寫入： REGEDIT4 HKEY_CURRENT_USERSoftwareHACK “NAME”=dword:00000000 保存為TEST2.REG文件，然后雙擊導(dǎo)入。,使用reg文件修改注冊(cè)表實(shí)例,刪除鍵值項(xiàng) REGEDIT4 HKEY_CURRENT_USERSoftwareHACK “NAME”=- 刪除主鍵 REGEDIT4 -HKEY_CURRENT_USERSSoftwareHACK,命令行導(dǎo)入,上面實(shí)例中通過雙擊導(dǎo)入注冊(cè)表，容易被遠(yuǎn)程主機(jī)管理員發(fā)現(xiàn)，因?yàn)槊看螌?dǎo)入都會(huì)有提示對(duì)話框,命令行導(dǎo)入,通過命令行倒入 使用專門的注冊(cè)表導(dǎo)入工具 使用windows系統(tǒng)自帶的導(dǎo)入工具 windows自帶的導(dǎo)入工具使用命令： regedit /s regedit是系統(tǒng)自帶的命令，不使用任何工具。/s表示不需要詢問，直接倒入,遠(yuǎn)程關(guān)機(jī)方法一,遠(yuǎn)程關(guān)機(jī)方法一 打開計(jì)算機(jī)管理（本地） 在控制臺(tái)樹中，右鍵單擊“計(jì)算機(jī)管理”，然后單擊“連接到另一臺(tái)計(jì)算機(jī)” 在“選擇計(jì)算機(jī)”對(duì)話框“名稱”下，選擇要重新啟動(dòng)或關(guān)閉的計(jì)算機(jī)，然后單擊“確定”。 右鍵單擊遠(yuǎn)程計(jì)算機(jī)“計(jì)算機(jī)管理”，然后選擇“屬性” 在“高級(jí)”選項(xiàng)卡上，單擊“啟動(dòng)和故障恢復(fù)”中的“設(shè)置”按鈕,遠(yuǎn)程關(guān)機(jī)方法一,遠(yuǎn)程關(guān)機(jī)方法一 單擊“關(guān)閉”按鈕，打開“關(guān)閉”對(duì)話框 在“操作”欄中，選擇要在連接的計(jì)算機(jī)上執(zhí)行的操作 在“強(qiáng)制應(yīng)用程序關(guān)閉”欄中，選擇關(guān)閉或重新啟動(dòng)計(jì)算機(jī)時(shí)是否強(qiáng)制關(guān)閉程序，然后單擊“確定”按鈕,遠(yuǎn)程關(guān)機(jī)方法二,使用Windows2003/XP中的shutdown命令遠(yuǎn)程關(guān)機(jī)。對(duì)于沒有該命令的系統(tǒng)（如windows2000），可以將shutdown.exe工具拷貝到windows2000的系統(tǒng)文件夾，就可以使用了 shutdown經(jīng)常使用的參數(shù) s: 關(guān)閉計(jì)算機(jī) r：重新啟動(dòng)計(jì)算機(jī) m ip：指定被操作的遠(yuǎn)程計(jì)算機(jī) t xx：指定多少時(shí)間后關(guān)閉或者重新啟動(dòng)計(jì)算機(jī),遠(yuǎn)程關(guān)機(jī)方法二,使用shutdown關(guān)閉遠(yuǎn)程計(jì)算機(jī)，必須先建立IPC$連接，例如：shutdown s