1.3第一次完整入侵
https://www.360docs.net/doc/0b6519335.html,/hackbooks
《黑客攻防实战详解》动画教程
1.3 第一次完整入侵
步骤一:扫描远程主机是否存在NT 弱口令(获取管理员权限)。
打开X-Scan,在“设置”下拉菜单中选择“扫描参数”选项,打开扫描参数设置窗口。在指定IP 范围的输入框中输入希望扫描的IP 地址段。
本例中将对局域网进行扫描,输入IP 段打开全局设置菜单,在扫描模块中选择NT-Server 弱口令点击确定后,回到主界面,点击图标开始进行扫描。
步骤二:在DameWare 中添加远程主机。
1、在“开始”->“程序”->“Dame Ware NT Utilities”中选择“Dame Ware NT Utilities”,打开DameWare 主界面;
2、单击主界面图标;
3、接着在弹出的“Add Domain or Machine(添加域或主机)”对话框中选择“Non-Browsable Machine”,并添入目标主机的IP 地址,单击“OK”按钮后,
添加主机成功。
步骤三:实时屏幕监视和控制。
在DameWare 主界面中,单击左侧图标,在打开菜单中双击, 然后在弹出界面的“ User ” 栏中填入获得的用户名“administrator”,
由于密码为空,所以“Password”栏不用填,并且其他的设置不用改变。此时单击“Connect”按钮即可进行连接。
如果是首次连接远程主机,那么DameWare会要求为远程主机安装DameWare 被控端,单击“OK”按钮进行安装,在默认的情况下,
远程主机会被通知建立连接,这样会使入侵者暴露入侵痕迹。
入侵者为了不让DameWare 通知远程主机,在单击“Connect”按钮之前需要进行设置来将该“网管工具”彻底变成“入侵者工具”。
1、在窗口中单击“Settings…”按钮,选择“Install Options”选项卡,对设置项进行修改;
2、设置完毕后,单击“Edit”按钮进行属性设定;
a、打开设定对话框后,找到“Additional Settings”选项卡,并去除“Enable Sys Tray Icon”前面的“勾”;
b、打开“Notify Dialog”选项卡,去除“Notify on Connection”前面的“勾”;
c、单击“确定”按钮或“OK”按钮回到窗口;
d、单击“Connect”按键,为远程主机安装被控制端。
服务安装、启动完毕后,便会在本地机上得到远程主机当前的屏幕。
此外,入侵者可以通过该屏幕对远程主机进行控制,就像操纵本地计算机一样。
a、可以通过选项来选择“只监视(View Only)”模式或“控制”模式;
b、入侵者还可以在远程主机上进行键盘控制操作,甚至锁定远程主机上的键盘和鼠标;
c、通过选项可以手动卸载远程主机的DameWare 被控制端服务。
步骤四:远程执行命令。
使用DameWare 可以实现远程执行命令。
1、在DameWare 主界面中,单击
列表中“Remote Command”前面的“ +”来找到“RCmd View”和“RCmd Console”。
2、这里只介绍RCmd View 的使用方法。
双击“RCmd View”,如果首次使用,DameWare 在控制端提示将在远程主机上安装DameWare NT Utilities Service,
单击按钮“是(Y)”同意安装即可。通过这个工具,入侵者便可以在远程主机上执行命令。例如,键入“ipconfig /all”命
令查看远程计算机的网络参数。这里说明的一点是远程执行命令在远程主机中并不会直观显示,但在进程表中会有相应的显示。
步骤五:修改系统参数并远程控制系统。
1、进程控制。
在DameWare 主界面上选择“ processes”图标,打开后的界面中右侧窗口显示的就是远程主机上的进程以及CPU 的利用率。
而且通过按钮(选中进程的右键菜单中)即可杀死选中的进程,入侵可以通过这种方法来杀死任何妨碍他们入侵的进程。
2、修改注册表。
单击“ Registry”图标打开添加远程主机上的注册表。在该注册表编辑器中便可以修改远程主机的注册表。
3、建立计划任务。
单击“ Schedule”图标后得到树状菜单。Task Schedule 代表计划任务,双击打开后在主界面的“Schedule”下拉菜单中选择“Add Schedule…”即可实现建立计划任务。
4、服务管理。
展开“ Services”得到树状菜单。通过Services View 可以查看安装了哪些服务。
这同使用“计算机管理”看到的服务列表是一样的。而且,入侵者还可以通过这里非常容易地给远程主机安装/卸载服务或程序。
a、双击“Install Service”,随后每步的设置如图
b、单击“下一步”按钮,单击“Browse”按钮,在本地机上选定木马安装文件的路径;
c、单击“下一步”按钮后,选中服务类型;
d、单击“下一步”按钮后,选择执行该服务的许可账号,
e、设置完毕后,单击“下一步”按钮后,选择服务的启动方式,这里选择Automatic(自动),目的是令远程主机在
每次启动后都自动执行该木马程序;
f、然后单击“下一步”按钮得到安装参数报告;
g、最后单击“完成”按钮完成安装。
安装成功后来查看一下目标主机的服务列表,可以看到,入侵者可以通过这种方式使用DameWare 在远程主机上安装上木马程序。
5、远程关机。
单击“ Shutdown”图标,得到右侧窗口下方的图标,分别为:重新启动、注销账号、关闭电源。
步骤六:文件上传与下载。
在入侵过程中,文件上传与下载是常用的操作,DameWare 也能实现。单击主界面中的“ Shares”图标来打开远程主机上的共享文件夹(包括隐藏的)。
随后的操作如同操
作本地机一样,可以进行文件的复制、剪切、删除、隐藏、权限设置、粘贴等操作。
步骤七:建立后门账号。
入侵者在入侵成功后,往往会留下后门以便下一次再进入该计算机。这里只介绍一个简单的留后门方法,即建立后门账号。单击“ Users”图标,打开“用户管理”,
在右侧窗口中,入侵者可以建立、禁用、降级、删除用户。
例如,要新建一个账号:
1、单击右侧窗口左下角的第一个按钮,打开的用户属性窗口;
2、在“Group”选项卡中赋予该用户管理员权限;
3、通过以上步骤,后门账号制作成功。
步骤八:清除脚印。
在入侵者离开远程主机之前,往往需要清除脚印来防止管理员发现他们留下的痕迹,这可以通过删除事件日志实现。
单击图标,打开后,清除右侧窗口中的“Application”、“Security”、“System”日志。
1、在右侧窗口中,用鼠标右键单击任意一项记录,打开菜单;
2、选择“Clear All Events”来清空“Application”日志;
3、按照同样方法删除“Security”,“System”日志。
小结
以上通过一次完整入侵的实例详细的介绍了完整入侵应包含的思路以及网管软件DameWare 的使用方法。