4木马攻击实验

1、木马攻击实验【实验内容】灰鸽子木马是网络上常见的并且功能强人的远程后门软件。采用dll注入技术，开启服 务程序，从而实现远程控制的冃的。本实验以灰鸽子木马为例进行如下实验内容：(1)木马制作木马种植(3) 查看木马验证和系统状态(4) 卸载灰鸽子木马【实验原理】木马，全称为特洛伊木马(trojan horse)o “特洛伊木马”这一词最早出先在希腊神话传 说中。计算机木马程序一般具有以下几个特征：主程序有两个，一个是服务端，另一个是控制端。服务端需要在主机执行。当控制端连接服务端主机后，控制端会向服务端主机发出命令。阳服务端主机在接受命 令后，会执行相应的任务。灰鸽子是国内一款箸名后门软件,是

2、国内后门软件的集大成者。具有丰富而强人的功能、 灵活多变的操作、良好的隐藏性。客户端简易便捷的操作使刚入门的初学者都能充当黑 客。当使用在合法悄况下时，灰鸽了是一款优秀的远程控制软件。但如果拿它做一些非 法的事，灰鸽子就成了很强大的黑客工具。【实验环境】windows实验台所需工貝：灰鸽子客八端软件【实验步骤】启动windows实验台，并设置实验台的ip地址，以实验台为1=1标.1：机进行实验。个别实验 学生可以以2人一组的形式，互为攻击方和被攻击方來进行。一、木马制作(1)根据攻防实验制作灰鸽了木马，配置安装冃录，如图2.4.3-1所示。 启动项配置，如图2.43-2所示。图 2.4.3-1

3、图 2.43-2高级设置，选择使用浏览器进程启动。并生成服务器程序，如图2.4.33所示。r图2.4.33二、木马种植(1) 通过漏洞或溢岀得到远程主机权限，上传并运行灰鸽子木马。(2) 本地对植入灰鸽子的主机进行连接，看是否能连接灰鸽子。三、木马分析(1)察看端口瓷甞的眷户端服务器启动z后，会发现本地灰鸽子客户端冇主机上线，说明灰鸽了已绎 启动成功，如图2.43-4所示。图2434查看远程主机的开放端口如图2.43-5所示，肉鸡192.168.50.151止在与木地192.168.50.40连接，表示肉鸡已经上线，可以对英进行控制。c：tcp0.0.0.0：10290.0.0.0:0list

4、eningtcp0.0.0.0：14330.0.0.0:0listeningtcp192.168.50.151:1390.0.0.0:0listeningtcp192.168.50.151:445192.168.50.40:1429establishedtcp192.168.50.151:1031192.168.50.1:139timeuaittcp192.168.50.151:1034192.168.50.1:139time.waittcp192.168.50.151:1036192.168.50.40:8000establishedudp0.0.0.0：445*： *udp0.0.0.0：

5、500udp0.0.0.0：1026m： mudp0.0.0.0：1030m： mudp0.0.0.0：1434*： *udp0.0.0.0：3456m： mudp0.0.0.0：4500m： mudp127.0.0.1:53m： mudp127.0.0.1:123*： *udp127.0.0.1:1025udp127.0.0.1:1032m： mudp127.0.0.1:3456m： mudp192.168.50.151:53*： *udp192.168.50.151:123udp192.168.50.151:137m： mudp192.168.50.151:138m： m|c： docun

6、ents andsett ingsrtdninistratoi*>exe图 2a3-5(2)查看进程启动icesword检查开放进程,进程中多出t iexplore.exe进程,如图2.43-6所示；这个进 程即为启动灰鸽子木马的进程，起到了隐藏灰鸽子自身程序的目的。文件转储插件外观帮助一 x需log国功能进程：31进程 炳口启动组进程映像名称进程id i程序名称i基本忧先级| eprocess | isvcmdst. exe908c: wlim0wssystefn32svch0st. exe80x821066d02jsvcwjst.exe972c: wnrd0wssystem32svc

7、h0st. exe80x822s6d88gfmsdtc.exe1188c: villd0wssystem32msdtc. exe80x8215cb58lmscorsw. exe1304c:hhdoismicrosoft. netframworkv2.0.50720.80x821dd558_3dhs.exe1344c: wlimowssystefn32dns. exe80x8212s3e0221inetinfo.exe1388c: wnrd0wssystem32inetsrvinetimf0. exe80x8213fs78口sql2ervr exe1424c:program filesmicro

8、soft sql servermssqlbin.80x820cb4b8/ explorer exe1476c:ran)owsexpldrer. exe80x821c94703svch3st.exe'icesword. exe1488c:wlhd0vssystem32svch0st.exe80x8213fbf01548c： 'documents and settingsadmimstratorm面工80x8221f6ao3tdifv exe1592c:wlnd0wssystem32tdifw.exe80x81cbed88vboxtray exe1696c： vind0wssyst

9、eih32vboxtray. exe80x820df720彳ctfmon. exe1752c： tfihd0wssystefn32ctfm0n. exe80x821102d0口sqlmangr一 exe1768c:program filesvhicrosoft sql server80tools.80x82302380二jtlntsvr. exe1808c: wlmd0wssystem32ti2rrsvr. exe80x81c87940 mssearch exe1864c:program filesco<nmon filessystemmssearchb.80x81c7e7f0svcic

10、st. exe1972c：tfihd0wssystem32svch0st. exe80x81c2dcf0fllexpixire exe2924c:program filesvinternet exploreriexplore. exe80x820dd688"iwmipryse exe3532c : wlmd0wssystem32wbemwmiprvse. exe80x8221c970内核模块服务z1注册表 文件图2436(3)查看服务进入控制面板的“服务”，增加了一个名为huigezi的服务，如图2.43-7所示；该服务为启 动计算机时，灰鸽子的启动程序。图 2.4.3-7四、卸载灰

11、鸽子(1)停止当前运行的iexplore程序和huigezi服务。 将windows目录下的huigezi.exe文件删除，重新启动计算机即可卸载灰鸽了程序。simplelses信息安全实验教学系统“沁。关于已蜀录：阻名用戶曰倍息系统安全，桂作系饭安全 s数jb库安全6 sol swvers全 sqlserver安全配董 sqlserver»»«s 份 £ sqlserver 全亩计 feflysqls 全哄叱全配且 wysqu&«库备份与丧名 wysqls全审计®计且机炳屋dll®入型病去实孩 木马戎击实验 引耳型痂6 pe型痂e实骏 coi炳莓实验 邮件