网络安全实验五：1.基于破壳漏洞的蠕虫实践

任务一：判断10.1.1.12主机web服务的test.cgi是否存在破壳漏洞；

1.输入如下之指令

 

 2.根据最后一条命令的结果，蠕虫发起者主机（10.1.1.231）的web日志中出现了worm1的访问记录，说明worm1主机（10.1.1.12）存在破壳漏洞。

任务二：蠕虫发起者执行蠕虫程序，感染1号主机Worm1；

1.为向蠕虫表明自己是发起者的身份，避免被感染，在登录10.1.1.231主机后通过 touch /tmp/key.txt创建一个文件

 

 

2.继续在10.1.1.231上执行下面的命令，可以找到蠕虫程序。

[root@worm-master shockworm]# cd /root/shockworm/

[root@worm-master shockworm]# ls

 

 3.登录worm1，查看/tmp目录。

cd /tmp

ls -al

 

 4.继续返回10.1.1.231主机，执行下面的命令，来运行蠕虫程序。

[root@worm-master shockworm]# perl shellshock.pl

 

 5.登录Worm1，执行下面的命令，观察被感染的特征。

 

通过对比/tmp目录可以发现，Worm1已经被感染了shockworm蠕虫程序，如下图。 

 

任务三：观察Worm1主机蠕虫的传播过程，检查Worm2主机是否被感染。

1.登录Worm1（10.1.1.12），不断的执行命令:“ps aux |grep curl”可以看到蠕虫的传播过程，被感染的Worm1通过agent.1337进程，不断的向同网段的其他主机发起攻击与感染。如下所示：

 

 可以看出，正在感染10.1.1.217和10.1.1.221

2.经过一段时间之后（大约10分钟），登录Worm2。同样使用命令:”ls -al /tmp”查看，可以发现主机也被此蠕虫感染。对比效果如下图：

 

 .ssh-mOTc45gfXwPj说明被感染了

 

答题：