技术人员培训实验手册(黑客攻击课程)

1、第 1 页技术人员培训实验手册 -黑客攻击课程实验黑客攻击课程实验目目 录录实验预备工具 31 VMWare 使用 32 EtherPeek NX 的使用 3黑客攻防实验 51 X-Scan 扫描工具应用实验 52 Synflood 拒绝服务实验 63 缓冲区溢出实验 74 灰鸽子木马实验 95 反向连接木马实验 136 蠕虫扫描实验 147 SQL 注入攻击 158 欺骗攻击实验 17实验预备工具实验预备工具1 1 VMWareVMWare 使用使用（1）选择关闭虚拟机电源，选择将虚拟机挂起，选择启动虚拟机。（2）点击，虚拟机进入全屏状态，按住 Ctrl+Alt 退出第 2 页全屏。2 2

2、EtherPeekEtherPeek NXNX 的使用的使用（1）按 new capture，新建一个捕包任务。 （2）配置任务的属性。选择的网卡为欲捕获数据包的网口。（3）点击 Start Capture，开始捕获数据包。（4）通过选择不同的选项卡，从不同角度查看捕获的数据包。黑客攻防实验黑客攻防实验1 1 X-ScanX-Scan 扫描工具应用实验扫描工具应用实验实验环境：实验环境：操作系统：windows 2000/xp；实验工具：X-Scan v3.3实验环境示意图：实验步骤：实验步骤：(1) 在 windows 系统上运行 X-Scan。(2) 设定扫描参数(3) 运行扫描点击开始运

3、行扫描实验结果：实验结果：/24第 3 页扫描结束后，得出扫描报告。可查看被扫描主机存在的漏洞信息。2Synflood2Synflood 拒绝服务实验拒绝服务实验实验环境：实验环境：操作系统：windows 2000 server 虚拟机，windows 2000/xp实验工具：synflood实验环境示意图：实验步骤：实验步骤：（1） 在 windows 2000 server 虚拟机系统上运行Synflood。 （synflood 不可运行在 windows XP 系统）运行cmd，定位 synflood 路径，本例中 synflood 存放在

4、C 盘根目录下，因此格式为：C: c:synflood.exe （2）在被攻击主机上运行 EtherPeek，抓包的表现如下：运行结果：运行结果：虚拟多个 IP 主机攻击目标主机，致使目标主机资源耗尽。3 3 缓冲区溢出实验缓冲区溢出实验实验环境：实验环境：操作系统：windows 2000 server 虚拟机（被攻击方主机） ，windows 2000（攻击方主机）实验工具：X-Scan，pnpscan，pnp_exp，远程桌面工具第 4 页实验环境示意图：实验步骤：实验步骤：（1）确定攻击目标。在攻击方主机上运行 X-Scan 扫描目标主机上是

5、否开放 445，139，3389 端口。（2）利用 pnpscan 扫描目标主机的 445 或 139 端口是否存在漏洞。（3）用 pnp_exp 进行缓冲区溢出攻击，注意要在绑定 IP 中输入攻击主机的 IP，绑定端口可输入一些常规端口，例如：80，8080，21 等来迷惑目标主机的用户。（4）溢出完毕后，在攻击主机上可以看到已进入目标系统。（5）在命令行提示符下添加管理员账号，命令如下：net user admin 123 /add (加用户) (添加的用户名是admin 密码是 123)net localgroup administrators admin /add (加组)（6）启动远

6、程桌面工具，利用添加的用户，进入目标主机攻击结果：攻击结果：获得目标主机超级管理员的权限。4 4 灰鸽子木马实验灰鸽子木马实验实验工具：实验工具：操作系统：windows 2000 server 虚拟机（被攻击方） ，windows xp/2000（攻击方）第 5 页实验工具：灰鸽子实验环境示意图：实验步骤：实验步骤：（1 1）配置服务器端）配置服务器端在攻击方打开灰鸽子客户端。打开配置程序配置服务器端安装路径和安装名称可以修改，以达到迷惑被攻击主机用户的目的。选择运行后删除安装文件达到隐藏自身的目的。设置开机自动加载方式和关联文件设定捆绑文件，即在

7、被攻击主机上运行服务器端，用户看到的是绑定的文件内容。选中待配置的服务器文件为灰鸽子自带的 Kernel32。服务器端程序配置成功。（2 2）木马植入）木马植入将生成的服务器端程序 Kernel32.exe 植入被攻击系统。在目标机上运行 Kernel32，打开资源管理器可以看到Kernel32 的进程。实验结果实验结果 ：客户端连接服务器端，连接成功后，就可以控制被攻击主机。第 6 页5 5 反向连接木马实验反向连接木马实验实验环境：实验环境：操作系统：windows 2000 server 虚拟机（被攻击方） ，windows xp/2000（攻

8、击方）实验工具：tequila bandita(tb)实验环境示意图：实验步骤：实验步骤：(1) 打开 tequila bandita（tb）木马客户端，选择菜单选项-生成服务器端。注意 IP 地址栏填写攻击方的 IP。端口可以填入一些常规端口，如 80，8080，21 等迷惑被攻击方用户。(2) 连接服务器端成功后，在客户端如下显示：实验结果：实验结果：控制目标主机。第 7 页6 6 蠕虫扫描实验蠕虫扫描实验实验环境：实验环境：操作系统：windows 2000 server实验工具：nmap实验环境示意图：实验步骤：实验步骤：(1) 用 nmap

9、 模拟蠕虫的扫描过程，本例中以扫描 445 端口为例。命令如下：nmap 路径 sP PT445 /24 (注：使用-sP命令，进行 ping 扫描，PT选项可以对网络上指定端口进行扫描)出现 Host * （IP 地址）appears to be up.代表 *主机此端口打开。实验结果：实验结果：捕包结果如下：7SQL7SQL 注入攻击注入攻击实验环境：实验环境：操作系统：windows 2000 server 虚拟机（被攻击方） ，windows xp/2000(攻击方)实验工具：无实验环境示意图：实验步骤：实验步骤：/24

10、第 8 页（1）准备条件把 IE 菜单=工具=Internet 选项=高级=显示友好 HTTP 错误信息前面的勾去掉。否则，不论服务器返回什么错误，IE 都只显示为 HTTP 500 服务器错误，不能获得更多的提示信息。 （2）判断能否可以进行 SQL 注入可利用以下测试方法测试： and 1=1 and 1=2这就是经典的 1=1、1=2 测试法了，可以注入的表现： 正常显示 正常显示，内容基本及相同 提示 BOF 或 EOF（程序没做任何判断时） 、或提示找不到记录（判断了 rs.eof 时） 、或显示内容为空（程序加了 on error res

11、ume next）（3）判断数据库类型及注入方法分别在地址栏中输入以下网址探测： and (select count(*) from sysobjects)0 and (select count(*) from msysobjects)0如果数据库是 SQLServer，第一个网址的页面及原页面大致相同；而第二个网址会提示出错，就算程序有容错处理，页面也及原页面完全不同。第 9 页 如果数据库用的是 Access，第一个网址的页面及原页面完全不同；第二个网址及原网址也是完全不同。大多数情况下，用第一个网址就可以得知系统所用的数据库类型，第二个网址只作为开启 IIS 错误提示时的验证。(4) 利

12、用系统表注入 SQLServer 数据库 用 net 命令新建了用户名为 name、密码为 password 的windows 的帐号 master.xp_cmdshell “net user name password /add”- 将新建的帐号 name 加入管理员组 master.xp_cmdshell “net localgroup name administrators /add”-这种方法只适用于用 sa 连接数据库的情况，否则，是没有权限调用 xp_cmdshell 的。实验结果：实验结果：获得被攻击系统超级权限。8欺骗攻击实验欺骗攻击实验实验环境实验环境操作系统：Windows

13、 2000 虚拟机（攻击方主机） ，windows xp/2000（被攻击方主机）实验工具：EtherPeek NX (抓包工具)，Cain&Abel (黑客工具)第 10 页实验环境示意图：实验步骤实验步骤（1）打开 EtherPeek NX 选择 New Capture，选择 capture-capture options, 设置 filter 的条件。（2）双击 DNS 编辑过滤条件，即协议类型是 DNS，地址是10。（3）在被攻击主机上测试 ping ，抓包表现如下：双击一条记录，可以看到目的 DNS 服务器的 MAC 地址。本例中显示的是被攻击主机的 DNS 服务器的 MAC 地址为 00 0E 0C69 F5 79 。（4）打开虚拟机，启动 Cain，选中 sniffer，点击运行sniffer，扫描本网段内的主机。（5）选择 Sniffer 选项，ARPDNS（6）选择 Add to list, DNS Name Requested 填入, IP address to rewrite in response packets 填入 的 IP 地址1。当被攻击主机访问, 改为访问。（7）在