当前位置:文档之家 › 网络安全课程设计

网络安全课程设计

  • 格式:doc
  • 大小:781.00 KB
  • 文档页数:11

下载文档原格式

  / 18
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

《网络安全与维护》

课程设计

班级:

姓名:

学号:

基于认证的攻击设计报告

一、课程设计目的:

1、熟悉使用端口扫描进行漏洞检测;

2、掌握基于认证的攻击方法;

3、掌握留后门和清脚印的方法。

二、课程设计内容:

1、认证漏洞的检测

在物理主机使用X-Scan检测自己的虚拟机的密码(虚拟机的密码设置为空密码或者简单的密码)

2、使用IPC$进行连接,祛除NTLM验证

利用相关命令进行IPC$连接,连接成功后,编写Bat文件祛除虚拟机中的NTML验证,文件名自己设定。

3、利用IPC$开启对方的Telnet服务

自己编写批处理文件开启虚拟机中的Telnet服务。

4、利用Telnet连接,为对方主机设定Telnet服务Mytel

利用Telnet连接和相关的软件,在虚拟机中设立一个服务名称是Mytel的服务,且该服务为开机自启动服务,服务实际巡行程序为Telnet关闭原有的Telnet服务。

5、留下后门账号和清除自己的脚印

自己编写批处理文件,留下后门账号,并将前面进行攻击所使用的所有文件和系统日志清除,并在最后清除批处理文件本身。

6、端口扫描

使用端口扫描工具X-scan对自己的虚拟机进行端口扫描,分别使用Syn扫描和Fin扫描进行探测,比较两种扫描方式的不同点。

三、课程实施方案:

1.认证漏洞检测利用x-scan进行扫描

打开x-scan扫描,在“设置”菜单里点击“扫描参数”,进行全局核查建设置。

在“检测范围”中的“指定IP 范围”输入要检测的目标主机的域名或IP,也可以对一个IP段进行检查

在全局设置中,我们可以选择线程和并发主机数量。

在“端口相关设置”中我们可以自定义一些需要检测的端口。检测方式“TCP”、“SYN”两种。

“SNMP 设置”主要是针对简单网络管理协议(SNMP)信息的一些检测设置。

“NETBIOS 相关设置”是针对WINDOWS 系统的网络输入输出系统(NetworkBasic Input/Output System)信息的检测设置,NetBIOS 是一个网络协议,包括的服务有很多,我们可以选择其中的一部分或全选。

“漏洞检测脚本设置”主要是选择漏洞扫描时所用的脚本。漏洞扫描大体包括 CGI 漏洞扫描、POP3 漏洞扫描、FTP 漏洞扫描、SSH 漏洞扫描、HTTP 漏洞扫描等。这些漏洞扫描是基于漏洞库,将扫描结果与漏洞库相关数据匹配比较得到漏洞信息;漏洞扫描还包括没有相应漏洞库的各种扫描,比如 Unicode 遍历目录漏洞探测、FTP 弱势密码探测、OPENRelay 邮件转发漏洞探测等,这些扫描通过使用插件(功能模块技术)进行模拟攻击,测试出目标主机的漏洞信息。

开始扫描

设置好参数以后,点击“开始扫描”进行扫描,X-Scan 会对目标主机进行详细的检测。扫描过程信息会在右下方的信息栏中看到,如图所示:

扫描结果

扫描结束后,默认会自动生成HTML 格式的扫描报告,显示目标主机的系

统、开放端口及服务、安全漏洞等信息:

可以看到管理员密码为空

2使用IPC$进行连接,去除NTLM验证建立ipc$空连接

建立磁盘映射

建立批处理文件

上传至远程主机

按计划执行文件

建立开启telnet批处理命令

传送到远程主机并执行

将instsrv.exe上传到远程主机

telnet连接远程主机后使用instsrv.exe

建立一个名为syshealth的服务

清除痕迹

手工清除服务器日志

入侵者通过多种途径来擦除留下的痕迹,其中手段之一就是在远程被控主机的【控制面

板】窗口中,打开事件记录窗口,从中对服务器日志进行手工清除。

具体的实现方法如下:

(1)入侵者先用IPC$连接过去之后,在远程主机的【控制面板】窗口中,双击【管理工具】图标项打开【管理工具】窗口。

(2)双击其中的【计算机管理】图标项,即可打开【计算机管理】窗口。

(3)展开【计算机管理(本地)】→【系统工具】→【事件查看器】选项之后,打开事件记录窗格,其中的事件日志分为三类:“应用程序”日志、“安全性”日志及“系统”日志,如图12-10所示。

(4)这三类日志分别记录不同种类的事件,右击相应日志,在弹出的快捷菜单中选择【清除】菜单项,即可清除指定日志。

(5)如果入侵者想做得更干净一点,则可以在【计算机管理】窗口的左窗格中展开【计算机管理(本地)】→【服务和应用程序】→【服务】选项,再在其右窗格中找到“Event Log”服务,并把该服务禁用,如图所示。

经过上述设置之后,用户只要重新启动了系统,该主机/服务器就不会对任何操作进行日志记录了。

四、课程设计结果:

出现的问题及解决方法:

1、在进行帐号克隆和清除日志时经常会遇到到空连接和ipc$连接,它们区别在哪里?

解答:在进行帐号克隆和清除日志时都需要用到远程上传工具,这就用到了连接,其中最常用的就是空连接和ipc$连接,可以从概念和访问方式上对其进行区分。

空连接是指在没有信任的情况下与服务器建立的会话,即它是一个到服务器的匿名访问,不需要用户名和密码。

而IPC$连接是为了让进程间通信而开放的命名管道,可以通过验证用户名和密码获得相应的权限,有许多的远程工具必须用到IPC$连接,如使用命令“net use \\IP\ipc$ “”/user:“””就可以简单地和目标主机建立一个空连接(需要目标开放ipc$)。

2、在克隆帐号时,需要对注册表中用于存放帐号所有属性的SAM键值进行访问,但在手动克隆帐号时却会出现无法访问SAM键的情况,该怎样解决?

解答:当出现手动克隆无法访问注册表SAM键时,在图形界面下,可以在【注册表编辑器】窗口中,右击\HKEY_LOCAL_MACHINE\SAM子项之后,在弹出的快捷菜单中选择【权限】菜单项,在打开的【SAM的权限】对话框中将administrator帐户属性设置为和SYSTEM一样有完全控制权限。这样,在关闭注册表编辑器之后再将其打开,就可以访问SAM键了。

另外,还可以在命令行方式下使用psu工具来获得SYSTEM权限,从而访问SAM键。

相关主题