冰河木马实验报告详解

实验名称网络攻防综合实验指导教师李曙红实验类型设计实验学时2实验时间1.本次实验为考核实验，需要独立设计完成一次网络攻防的综合实验。设计的实验中要包括以下几个方面(1)构建一个具有漏洞的服务器，利用漏洞对服务器进行入侵或攻击；(2)利用网络安全工具或设备对入侵与攻击进行检测；(3)能有效的对漏洞进行修补，提高系统的安全性，避免同种攻击的威胁。2网络攻防综合实验将从实验设计、实验过程、实验结果、实验报告几个方面，对学生的综合实验能力进行考核与评分，具体评分标准参考“评分标准”文档。1.2人一组，要求每人分工不同，例如一人负责网络攻击，一个负责网络防范。在实验过程和实验报告中要体现两人的不同分工。2.每组独立设计完成实验，不能雷同。3.实验过程中以下三个阶段需上机演示给指导老师察看：完成网络攻击、检测到攻击、完成网络防范。4.完成实验报告，能解释在实验使用到的技术或工具的基本原理。可以自由使用信息安全实验室的PC机，局域网，Linux服务器，Windows服务器，防火墙，入侵检测系统若要使用冰河进行攻击，则冰河的安装(是目标主机感染冰河)是首先必查找IP地址：在“起始域”编辑框中输入要查找的IP地址，例如欲搜索IP地址“”搜索”按钮，在右边列表框中显示检测到已经在网上的计算机的IP地址。215起始地址：正在扫描子网'11'法从上图可以看出，搜索结果中，每个IP前都是ERR。地址前面的“ERR:”表示这台计算机无所以，为了能够控制该计算机，我们就必须要让其感染冰河木马。netnetuse\\ip\ipc$使用Dos命令：如下图所示：命令提示符命令成功完成。命令成功完成。2、磁盘映射。本实验：将目标主机的C:盘映射为本地主机上的X:盘如下图所示命令成功完成。命令成功完成。转我的电脑我的文档共享文挡网上邻居34bdiyitiHL-232-340ProgramFilestestWA.YAr'WinRAR压缩文件1,721KBmalt'14’上的C$(:)地址@)元x:t转杂文件和文件夹任芬杂322123bAbA杂杂我的电脑我的电脑我的文挡共享文档网上邻居Program详细信息¥ttHH 26个对象(加1文件E)编辑L)查看V收藏A)工具I)帮助)地址@)转到创建一个新文件夹将这个文件夹发布到我的电脑我的文档共享文档网上邻居详细信息Microsoft(R)Win.Microsoft公司a.rar胃inRAR压缩文件1,721KB文本文档命令提示符命令成功完成。\14的当前时间是2816/6/29上午84:56命令成功完成。新加了一项作业，其作业ID=1首先，获取目标主机上的系统时间，然后根据该时间设置启动事件。命令提示符命令成功完成。命令成功完成。C:\DocumentsandSettings\Administrator>nettime\\14\14的当前时间是2816/6/29上午84:56命令成功完成。 命令成功完成。\14的当前时间是2016/6/29上午04:56列表是空的。查石(V)虚拟机[M]分组[T窗口(W)辖助(H)加UbuntuWindowsServerEntWrdomsPProfes注册表候母器立件卫)编泄e)查看①收它夹色)帮助⑩HEEYIOCALNACFInAEaWicracaftPHLNE20ARZCWYIMDOASIxyxtmNIRZITITLGNTITIITSETPPHCHESymeRDGSZCWYIHDOASxyctonIPEITIITLATLTLITSYSeareToclsR2GS乙C:\ProganYtleslWWnarelMeareToolstWmar.-0×当目标主机的系统时间GServerexe活ServerEnterpriseEdit活文件Q)0国识)查合V农章夹△)帮助CC:\AIBDOAShsystenKEKIELELEC:\AIBD0A5systenKTHETINTLGICLTIXTSBTFC:MIB00AS\syston32KIHE\TITLGH\TIXLSETP.Z.ProgmFilsxtWleartyxrTProganFilesMleareWtlareTooShSsrvicObjsctDslayL _从上图可以看到，HKEYLOCALMACHINE\SoftwarelMicrosoft\WindowslCurrentVersion\RunIWINDOWSIISYSTEM\\Kernel32.exe题搜素计算机题搜素计算机搜索范围延迟时间：2000毫秒起始地址：终止地址：开始拽索对子网'10.1.13'搜索完毕，共找到78台计算机，其中25台可用搜索结果；0K:10.0K:10.0K:10.0K:10.0K-100K:10.0K:10.电址①)文件和文件夹任务当丽连摇：文件管程器9文件名称其它位置点面详细信息访问口令不尽相同，本实验中，我们使用的是冰河V2.2版，其访问口令是05181977,当我们在访市令控制台整拟机[M]分组(T)窗口(W)帮助(H)文件T)编强亿)查地址□)C:\Document复制这个文伴我的立档共享文档网上邻居详细信息连接成功了，我们就比如说：1、屏幕控制。图像格式有BMP和J色深”第一格为单色，的清晰度。按“确定”音G。“图像的是图像文件[Z]编轮[L]设置[G]帮助[0]当前连接：当前连接：12访问口令：********应用[S]可以在“命令控制EPG两个选项，建第二格为16色，第按钮后便出现远程SI立伴名称SI文件大小(字节)最后更新时间......boot.iniME108.8Y8共有16个对系台”下对该计算机进行相关的控制操作了。议你选JEP三格为256色，依此类推。“图像品质”主要反应计算机的当前屏幕内容。帮助[H]图像参数设定图像格式：图像色深：图像品质：帮助[H]图像参数设定图像格式：图像色深：图像品质：文件[H]编辑[E]设置[G]文件管理器命令控制台令类命令控制类命令网络类命令文件类命令.注册表读写设置类命令确定设置相关属性WindowrsWindowrsXPProfessionalVMwar文件编姆查看(V)点拟机(M)分组(T)窗口(W)部助(H)文件在)续燥(亿)喜看Y收定(2)T且(工)址血)20[:锅改日明□式的文档日早装的电能团易35软盘0)本地底金0C.)学VD驭动器①:)田零网上和居回收站口味河WindowsXPProfessiond文件端级查看V)虚执机(MO分组门)窗口W)架助F0用学W转8a.)□654Y.上图为查看到的远程屏幕，远程屏幕如下图所示田具3.5转意A:)本础意(:)文件类验‘梦参图10312、弹窗、发送消息立件和文件夹任务立件和文件夹任务文件其它位置桌面网上邻居发送信息成功 够改日期属RA性_鼠标控制·.同络类动命立件笑的章庄注册无法写 设置类命令MarsUsarCantrelTitl.盖 营服务活配置基本设置自我倪护立件管程素立件管程素 注出表要写 雀省写入¥子照¥ 冰河V2.2[DARKSUN专版]文件[日]编辑[E]设置[G]帮助[H]冰河信使当前连接：文件管理器令类命令控制类命令网络类命令文件类命令注册表读写设置类命令发送[S]关闭[C]情典左侧列表中选拌相天而号哈哈...害怕了吧!!!以上是一些常用的控制命令，不过，冰河的强大功能当然远远不尽于此，在此就不——实现了。各类控制命令如下图所示：窗口(W)帮助(H)窗口(W)帮助(H)夹任务这个文件文件文件件发布文件文件[P]编辑[E]文件管理器命令类命令网络类命令文件类命令注册表读写睫值读职建值写入建值重命名主键增册主键复制主键重命名设置类命令更换墙纸更改计算机名正正设置[g]立件管理器命令控制台系统信息及口会历史控制类命令网络类命等-创建共享册余共享网2各信息文本浏览文伴春找文件压结文件复制文件册除文件打开录增册录复制注文件[F]目目小成KSUR专版]设置[G]帮助[H]访问口令：米冰冰术冰冰冰水令控制台[键值(数据类型/键名)]Valuetype/names:[子键]HARDWARE\SAM\SECURITY\SOFTWABESSYSTEM\共5个子键本水水冰本水冰冰本水冰水本水水冰冲水冰冰本水冰冰冲水冰冰准水冰水准水水冰准水冰冰冰冰冰水冰水冰冰冰水冰冰冰水冰水水水水冰水水冰冰水水冰水水水水水键值共0宇节数据类型未知，无法读取键值数据流接收完毕当冰河的GSErver.exe这个服务端程序在计算机上运行时，它不会有任何提示，而是在windows/system下建立应用程序“kernel32.exe”和“Sysexplr.exe”。若试图手工删除，“Sysexplr.exe”可以删除，但是删除“kernel32.exe”时提示“无法删除kernel32.exe:指定文件正在被windows使用”,按下“Ctrl+Alt+Del”时也不可能找到“kernel32.exe”,先不管它，重文件。再次重新启动，你猜发生了什么?再也进不去Windows系统了。重装系统后，再次运行GServer.exe这个服务端程序，在“开始”→“运行”中输入“regedit”打HKEYLOCALMACHINESoftwarelMicrosoftWindowsCurrentVersionRun@="C:IIWINDOWSIISYSTEM\Kernel32.exe"的存在，说明它是每次启动自动执行的。下图为卸载冰河木马前的注册表信息：虚拟机(M)分组(T)密口(W)算勒(H)文件Q)编辑e)直否U收京夹(@)帮助Q0) 默认) 默认) C:\MIBD0A3\systen3UIHETINJLGHTIIISTSBC: Progm卸载清除：1、攻击你的主机良心发现，远程把你机器上的冰河木马卸载掉。步骤如下图：n夹2、自己动手，丰衣足食。步骤如下：注固表编的器注固表编的器C:\AIB00A5\)systex3BBBNEL艾件[Z]编焊[z]SharedT11.☑☑田田困+田田E应用[s]应用[s]文件首理器101AITTOEXEC.Bk了boot.AITTOEXEC.Bk了boot.injMindarxVsdi.Dsvic*Vsn.装的电菌WEBYLOCALWACHIBBXSOFINABH直素(V)