网络安全基础实训报告

苏州市职业大学实习（实训）报告名称网络安全基础实训2012年6月20日至2012年6月22日共1周院系计算机工程系班级10网络安全（CIW）姓名胡帅帅系主任李金祥教研室主任谭方勇指导教师肖长水方立刚苏州市职业大学实习（实训）任务书名称：网络安全基础实训起讫时间：2012年6月20日至6月22日院系：计算机工程系班级：10网络安全（CIW）指导教师：肖长水方立刚系主任：李金祥一、实习（实训）目的和要求实训说明：本次实训使用信1-510信息安全实训室的“网络信息安全教学实验系统”；实训中所涉及主机名和IP地址应该用实训中实际使用的主机名和IP地址代替；根据实训过程，完成实训步骤中所需填写的内容；实训结束，对本次实训过程写一份实训总结。实训一网页木马【实训目的】剖析网页木马的工作原理理解木马的植入过程学会编写简单的网页木马脚本通过分析监控信息实现手动删除木马【实训人数】每组2人【系统环境】Windows【网络环境】交换网络结构【实训工具】灰鸽子木马监控器工具网络协议分析器【实训原理】见网络信息安全教学实验系统｜实验26｜练习一。实训二明文嗅探【实训目的】了解明文嗅探能够利用嗅探工具获取邮件账号了解Base64编码应用【实训人数】每组2人【系统环境】Windows【网络环境】交换网络结构【实训工具】Base64转码器网络协议分析器【实训原理】见网络信息安全教学实验系统｜实验21｜练习一。实训三Web漏洞扫描器【实训目的】了解漏洞扫描原理设计一个简单Web漏洞扫描器【实训人数】每组1人【系统环境】Windows【网络环境】交换网络结构【实训工具】VC++6.0网络协议分析器【实训原理】见网络信息安全教学实验系统｜实验20｜练习三。实训四Outlook邮件病毒【实训目的】了解邮件型病毒的传播方式了解邮件型病毒的工作原理掌握邮件型病毒的杀毒方法【实训人数】每组2人【系统环境】Windows【网络环境】交换网络结构【实训工具】MicrosoftOutlook2003MicrosoftWord2003【实训原理】见网络信息安全教学实验系统｜实验35｜练习一。实训五PGP应用【实训目的】学会利用PGP工具实现安全通信解安全通信实现过程【实训人数】每组2人【系统环境】Windows【网络环境】交换网络结构【实训工具】GnuPG【实训原理】见网络信息安全教学实验系统｜实验9｜练习二。实训六Windows2003防火墙应用【实训目的】了解防火墙的含义与作用学习防火墙的基本配置方法【实训人数】每组3人【系统环境】Windows【网络环境】交换网络结构【实训工具】UdpToolsWindowsServer2003系统防火墙网络协议分析器【实训原理】见网络信息安全教学实验系统｜实验27｜练习一。二、实习（实训）内容实训一网页木马【实训步骤】本练习主机A、B为一组，C、D为一组，E、F为一组。实训角色说明如下：实训主机实训角色主机A、C、E木马控制端（木马客户端）主机B、D、F木马被控端（木马服务器）下面以主机A、B为例，说明实训步骤。首先使用“快照X”恢复Windows系统环境。一．木马生成与植入在进行本实训步骤之前，我们再来阐述一下用户主机通过访问被“挂马”的网站而被植入木马的过程，便于同学们理解和完成实训。（1）用户访问被“挂马”的网站主页。（此网站是安全的）（2）“挂马”网站主页中的iframe代码链接一个网址（即一个网页木马），使用户主机自动访问网页木马。（通过把iframe设置成不可见的，使用户无法察觉到这个过程）（3）网页木马在得到用户连接后，自动发送安装程序给用户。（4）如果用户主机存在MS06014漏洞，则自动下载木马安装程序并在后台运行。（5）木马安装成功后，木马服务端定时监测控制端是否存在，发现控制端上线后立即弹出端口主动连接控制端打开的被动端口。（6）客户端收到连接请求，建立连接。1．生成网页木马（1）主机A首先通过Internet信息服务(IIS)管理器启动“木马网站”。如图1-1所示:右击木马网站，点击“启动”即可。图1-1：启动木马网站（2）主机A进入实训平台在工具栏中单击“灰鸽子”按钮运行灰鸽子远程监控木马程序。如图1-2所示：图1-2：运行灰鸽子远程监控木马程序（3）主机A生成木马的“服务器程序”。主机A单击木马操作界面工具栏“配置服务程序”按钮，弹出“服务器配置”对话框,单击“自动上线设置”属性页，在“IP通知http访问地址、DNS解析域名或固定IP”文本框中输入本机IP地址，在“保存路径”文本框中输入“D:\Work\IIS\Server_Setup.exe”，单击“生成服务器”按钮，生成木马“服务器程序”。如图1-3所示：图1-3：生成服务器端程序（4）主机A编写生成网页木马的脚本。在桌面建立一个“Trojan.txt”文档，打开“Trojan.txt”，将实训原理中网马脚本写入，并将第15行“主机IP地址”替换成主机A的IP地址。把“Trojan.txt”文件扩展名改为“.htm”，生成“Trojan.htm”。如图1-4所示：图1-4：编写生成网页木马的脚本「注」C:\ExpNIS\NetAD-Lab\Projects\Trojan\Trojan.htm文件提供了VB脚本源码。将生成的“Trojan.htm”文件保存到“D:\Work\IIS\”目录下(“D:\Work\IIS\”为“木马网站”的网站空间目录)，“Trojan.htm”文件就是网页木马程序。如图1-5所示：图1-5：保存生成的“Trojan.htm”文件2．完成对默认网站的“挂马”过程（1）主机A进入目录“C:\Inetpub\”，使用记事本打开“index.html”文件。（“默认网站”的网站空间目录为“C:\Inetpub\”,主页为“index.html”）（2）对“index.html”进行编辑。在代码的底部加上iframe语句，具体见实训原理｜名词解释｜iframe标签（需将修改为http://本机IP:9090/Trojan.htm），实现从此网页对网页木马的链接。如图1-6所示：图1-6：对“index.html”文件进行编辑3．木马的植入（1）主机B设置监控。主机B进入实训平台，单击工具栏“监控器”按钮，打开监控器。如图1-7所示：图1-7：主机B打开监控器在向导栏中依次启动“进程监控”、“端口监控”，选择“文件监控”，在菜单栏中选择“选项”｜“设置”，在设置界面中设置监视目录“C:\Windows\”（默认已被添加完成），操作类型全部选中，启动文件监控。如图1-8所示：图1-8：设置监视目录和操作类型启动协议分析器，单击菜单“设置”｜“定义过滤器”，在弹出的“定义过滤器”对话框中选择“网络地址”选项卡，设置捕获主机A与主机B之间的数据。如图1-9所示：图1-9：定义过滤器中的网络地址新建捕获窗口，点击“选择过滤器”按钮，确定过滤信息。在捕获窗口工具栏中点击“开始捕获数据包”按钮，开始捕获数据包。如图1-10所示：图1-10：确定过滤信息主机B启动IE浏览器，访问“http://主机A的IP地址”。（2）主机A等待“灰鸽子远程控制”程序主界面的“文件管理器”属性页中“文件目录浏览”树中出现“自动上线主机”时通知主机B。如图1-11所示：图1-11：主机B上线（3）主机B查看“进程监控”、“服务监控”、“文件监控”和“端口监控”所捕获到的信息。在“进程监控”｜“变化视图”中查看是否存在“进程映像名称”为“Hacker.com.cn.ini”的新增条目。观察进程监控信息，结合实训原理回答下面的问题。（存在）如图1-12所示：图1-12：查看进程Hacker.com.cn.iniHacker.com.cn.ini文件是由哪个进程创建的：___C:\WINDOWS\Hacker.com.cn.ini____；在“服务监控”中单击工具栏中的“刷新”按钮，查看是否存在“服务名称”为“WindowsXPVista”的新增条目，观察服务监控信息，回答下面的问题。（存在）如图1-13所示：图1-13：查看WindowsXPVista服务WindowsXPvista服务的执行体文件是：__hack.com.cn.ini___；在“文件监控”中查看“文件名”为“C:\WINDOWS\Hacker.com.cn.ini”的新增条目。如图1-14所示：图1-14：查看C:\WINDOWS\Hacker.com.cn.ini在“端口监控”中查看“远程端口”为“8000”的新增条目，观察端口监控信息，回答下面问题：如图1-15所示：图1-15：查看“远程端口”为“8000”的新增条目8000服务远程地址（控制端）地址：___172.18.58.232___；经过对上述监控信息的观察，你认为在“进程监控”中出现的winlogoin.exe进程（若存在）在整个的木马植入过程中起到的作用是：_迷惑管理员，使安装过程及其留下的痕迹不通过细心查看不易被发觉；（4）主机B查看协议分析器所捕获的信息。注意图1-1中划线部分的数据，结合实际结果找到对应的信息。如图1-16所示：图1-16：协议分析器捕获信息二．木马的功能1．文件管理（1）主机B在目录“D:\Work\Trojan\”下建立一个文本文件，并命名为“Test.txt”。如图1-17所示：图1-17：主机B创建“Test.txt”（2）主机A操作“灰鸽子远程控制”程序来对主机B进行文件管理。单击“文件管理器”属性页，效仿资源管理器的方法在左侧的树形列表的“自动上线主机”下找到主机B新建的文件“D:\Work\Trojan\Test.txt”。在右侧的详细列表中对该文件进行重命名操作。如图1-18所示：图1-18：对文件进行重命名操作（3）在主机B上观察文件操作的结果。如图1-19所示：图1-19：主机B上观察文件操作的结果2．系统信息查看主机A操作“灰鸽子远程控制”程序查看主机B的操作系统信息。单击“远程控制命令”属性页，选中“系统操作”属性页，单击界面右侧的“系统信息”按钮，查看主机B操作系统信息。如图1-20所示：图1-20：查看主机B操作系统信息3．进程查看（1）主机A操作“灰鸽子远程控制”程序对主机B启动的进程进行查看。单击“远程控制命令”属性页，选中“进程管理”属性页，单击界面右侧的“查看进程”按钮，查看主机B进程信息。如图1-21所示：图1-21：查看主机B进程信息（2）主机B查看“进程监控”｜“进程视图”枚举出的当前系统运行的进程，并和主机A的查看结果相比较。如图1-22所示：图1-22：查看主机A的进程信息4．注册表管理主机A单击“注册表编辑器”属性页，在左侧树状控件中“远程主机”（主机B）注册表的“HKEY_LOCAL_MACHINE\Software\”键下，创建新的注册表项；对新创建的注册表项进行重命名等修改操作；删除新创建的注册表项，如图1-23所示，创建了新项“rongrong”，主机B查看相应注册表项，如图1-24所示：成功创建了新项“rongrong”。图1-23：主机A在主机B上创建新项“rongrong”图1-24：主机B上多了新项“rongrong”5．Telnet主机A操作“灰鸽子远程控制”程序对主机B进行远程控制操作，单击菜单项中的“Telnet”按钮，打开Telnet窗口，使用“cdc:\”命令进行目录切换，使用“dir”命令显示当前目录内容，如图1-25所示，使用其它命令进行远程控制，如图1-26所示：用systeminfo命令查看主机B的操作系统信息。图1-25：用“dir”命令显示当前目录内容图1-26：查看主机B的操作系统信息6．其它命令及控制主机A通过使用“灰鸽子远程控制”程序的其它功能（例如“捕获屏幕”），对主机B进行控制。如图1-27所示：图1-27：对主机B进行捕获屏幕三．木马的删除1．自动删除主机A通过使用