实验-系统命令、IPC$、服务及端口的管理

实验一系统命令、IPC$、服务及端口的管理实验1熟悉常见的系统命令【实验目的】掌握常见的系统命令使用方法。【实验准备】1.有网络连接的PC一台。2.安装有TCP/iP协议的网络操作系统。【注意事项】1.了解用于作为实验对象的域名或IP地址。2.老师指导事先准备测试用的系统、FTP、Telnet帐户。【实验步骤】1.在WindowsNT/2000/2003或WindowsXP系统,从开始菜单里选择”运行”，在”运行”窗口的 “打开”栏输入”CMD”,进入命令行环境。2.在CMD环境下依次测试以下命令。1)ping命令它是用来检查网络是否通畅或者网络连接速度的命令。它所利用的原理是这样的:网路上的机器都有唯一确定的iP地址,我们给自标lP地址发送一个数据包,对方就要返回一个同样大小的数据包,根据返回的数据包我们可以确定目标主丰凡的存在,可以初步判断目标主机的操作系统等。在CMD下面输入c:\ping/h即可得到ping的命令介绍,其他命令通过在命令名称后空格加“/h”,也可得到相关使用帮助。-t表示将不间断向目标lP发送数据包,直到我们强迫其停止 (Ctrl+C进行终止)。-l定义发送数据包的大小,默认为32字节,我们利用它可以最大定义到65500字节。-n定义向目标IP发送数据包的次数,默认为3次。如果网络速度比较慢,定义1次即可。这里time=175表示从发出数据包到接收到返回数据包所用的时间是175毫秒,从这里可以判断网络连接速度的大小。从TTL的返回值可以初步判断被ping主机的操作系统,之所以说“初步判断”是因为这个值是可以修改的。这里TTL=46表示操作系统可能是非Windows系统。(小知识:如果TTL=128,则表示目标主机可能是Win2000:如果TTL=250,则目标主机可能是Unix)通常利用ping命令可以快速查找网络故障,可以快速判断服务器连接速度。如果目标服务器安全防护性能差且出口带宽窄,也可能被攻击者通过ping进行攻击。2)nbtstat命令该命令使用TCP/IP上的NETBIOS显示协议统计和当前TCP/IP连接,使用这个命令你可以得到远程主机的NETBIOS信息,比如用户名、所属的工作组、网卡的MAC地址等。在此我们就有必要了解凡个基本的参数。进行实验前,需要在“本地连接”属性里“安装”,选择“协议”,确保安装了以下选项：NwLinkIPX/SPX/NetBIOSCompatibieTranspor-a使用这个参数,只要你知道了远程主机的机器名称,就可以得到它的NETBIOS信息。-A这个参数也可以得到远程主机的NETBIOS信息,但需要你知道它的IP。-n列出本地机器的NETBlOS信息。攻击者当得到了对方的iP或者机器名的时候,就可以使用nbtstat命令来进一步得到对方的信息了,增加了攻击者入侵的成功系数。3)netstat命令这是一个用来查看网络状态的命令,操作简便，功能强大。-a查看本地机器的所有开放端口,通过端口可以了解本地开放服务，也可以有效发现和预防木马,可以知道机器所开的服务等信息,如下图:这里可以看出本地机器开放有FTP服务、Telnet服务、邮件服务、WEB服务等。用法:netstat–a。-r列出当前的路由信息,告诉我们本地机器的网关、子网掩码等信息。用法:netstat-r4)tracert命令跟踪路由信息,使用此命令可以查出数据从本地机器传输到目标主机研经过的所有途径,这对我们了解网络布局和结构很有帮助。(图)这里说明数据从本地机器传输到的机器上,中间没有经过任何中转,说明这两台机器是在同一段局域网内。用法:tracertIP5)net命令这个命令是网络命令中最重要的一个,必须透彻掌握它的每一个子命令的用法,首先让我们来看一看它都有哪些子命令,键入net/h回车。6)netview使用此命令查看远程主机的所以共享资源。命令格式为netview\\lp。7)netuseC:\Netuse\\9\ipc$"pass"/user:"admin"C:\Netusez:\\9\C$"aaa"/user:"bbb"上面第一个命令表示与9建立一个IPC$连接,第二个表示将192.168.199的C盘影射成本机的Z:\盘。建立了IPC$连接并且影射后,就可以从本地机向目标机器拷贝文件了:copyc:\test-exez:\hack.exe表示把本地目录下的test.exe传到远程主机并命名成hack.exe8)netstart使用它来启动主机上的服务。当你和远程主机建立连接并且取得Shell后,如果发现它的相关服务没有启动,而你又想利用此服务就可以考虑使用此方法了。用法:netstartservername,如netstartSchedule表示启动计划任务。9)netstop如果希望停掉某个服务,使用netstopservername即可,例如停掉telnet服务,netstoptelnet10)netuser查看和账户有关的情况,包括新建胀户、删除账户、查看特定账户、激活账户、账户禁用等。键入不带参数的netuser,可以查看所有用户,包括已经禁用的。下面分别介绍。1.netuserabcd1234/add,新建一个用户名为abed,密码为1234的账户,默认为user组成员。2.netuserabcd/del,将用户名为abcd的用户删除。3.netuserabcd/active;no,将用户名为abcd的用户禁用。4.netuserabed/active:yes,激活用户名为abcd的用户。5.netuserabcd,查看用户名为abed的用户的情况。netlocalgroup查看所有和用户姐有关的信息和进行相关操作。11)nettime这个命令可以查看远程主机当前的时间。用法:nettime\\IP,可以与Windows的计划任务命令配合启动某个计划任务。12)at这个命令的作用是安排在特定日期或时间执行某个特定的命令和程序(需要Schedule是启动状态下)。当我们知道了远程主机的当前时间,就可以利用此命令让其在以后的某个时间(比如2分钟后)执行某个程序和命令。用法:attimecommand\\computer。13)ftpftp是用来与服务器之间进行文件传输的协议,网络上很多服务器都提供ftp服务。在命令行键入ftp回车,出现ftp的提示符,这时候可以键入"help"来查看帮助,我们了解几个简单的命令。先是登陆过程,这就要用到open了,直接在ftp的提示符下输入"open主机iPftp端口"回车即可,一般ftp端口默认都是21,可以不写。接着就是输入合法的用户名和密码进行登陆了,这里以匿名ftp为例介绍。用户名和密码都是ftp,密码是不显示的。当提示****loggedin时,就说明登陆成功。这里因为是医名登陆,所以用户显示为Anonymous。接下来就要介绍具体命令的使用方法了。Dir跟DOS命令一样,用于查看服务器的文件,直接敲上dir回车,就可以看到此ftp服务器上的文件。cd进入某个文件夹。get下载文件到本地机器。put上传文件到远程服务器。这就要看远程ftp服务器是否给了你可写的权限了,如果可以,就可以进行文件上传。delete删除远程ftp服务器上的文件。这也必须保证你有可写的权限。bye退出当前连接。quit同上。14)telnet远程登陆命令,它操作简单,熟悉命令行操作,登陆后如同使用自己的机器一样,下面介绍一下使用方法,首先键入telnet回车,再键入help查看其帮助信息。然后在提示符下键入openIP回车,这时就出现了登陆窗口,让你输入合法的用户名和密码,这里输入任何密码都是不显示的。当输入用户名和密码都正确后就成功建立了telnet连接,这时候你就在远程主机上具有了和此用户一样的权限。【实验结果】要求:保证每个命令都能执行成功。实验2防范IPC$攻击【实验目的】空会话通常会为黑客成功入侵提供跳板,如提供远程主机时间、用户列表等,大大增加了黑客入侵的成功机会。我们通过实验,来限制IPC$连接,增加主机的安全性。【实验准备】IPC连接是WindowsNT及以上系统中特有的功能,由于其需要用到WindowsNT中很多DLL函数,所以实验机器系统必须是WindowsNT内核版本如XP/20OO/2003等。【注意事项】IPC$所使用的端口首先我们来了解一些基础知识:1.SMB:(ServerMessageBiock)Windows协议族,用于文件打印共享的服务:2.NBT:(NETBIOSOverTCP/IP)使用137(UDP)138(UDP)139(TCP)端口实现基于TCP/IP协议的NETBlOS网络互联。3.在WindowsNT中SMB基于NBT实现,即使用139(TCP)端口:而在Windows2000中,SMB除了基于NBT实现,还可以直接通过445端口实现。有了这些基础知识,我们就可以进一步来讨论访问网络共辜对端口的选择了:对于win2000客户端(发起端)来说:1.如果在允许NBT的情况下连接服务器时,客户端会闰时尝试访问139和445端口,如果445端口有响应,那么就发送RST包给139端口断开连接,用455端口进行会话,当445端口无晌应时,才使用139端口,如果两个端口都没带晌应复则会话失败:2.如果在禁止NBT的情况下连接服务器时,那么客户端只会尝试访问445端口,如果445端口无响应,那么会话失败。对于win2000服务器端来说:1.如果允许NBT,那么UDP端口137,138,TCP端口139,445将开放〈LISTENING〉:2.如果禁止NBT,那么只有445端口开放。我们建立的ipc$会话对端口的选择同样遵循以上原则c显而易见,如果远程服务器没有打开139或445端口,ipc$会话是无法建立的。【实验步骤】1、禁止空连接进行枚举(此操作并不能阻止空连接的建立)运行regedit,找到如下主键[HKEY-LOCAL-MACHINE\SYSTEM\CurrentControlset\Control\LSA]把Restrict\Anonymous=DWORD的键值改为:1如果设置为"1",一个匿各用户仍然可以连接到ipc$共享,但无法通过这种连接得到列举SAM帐号和共享信息的权限；在Windows2800中增加了“2”,未取得匿各权的用户将不能进行ipc$空连接。建议设置为1。如果上面所说的主键不存在,就新建一个再改键值。如果你觉得改注册表麻烦,可以在本地安全设置中设置此项；在本地安全设童一本地策略一安全选项一‘设置对匿名连接的额外限制’。2、禁止默认共享1)察看本地共享资源运行cmd输入netshare2)删除共享(重起后默认共享仍然存在)netshareipc$/deletenetshareadmin$/deletenetsharec$/deletenetshared$/delete(如果有e,f,……可以继续删除)3)停止seNer服务netstopserver/y(重新启动后server服务会重新开启)4)禁止自动打开默认共享(此操作并不能关闭ipc$共享〉运行regeditWindows2000sewer版:找到如下主键[HKEY-LOCAL-MACHINE\SYSTEM\CurrentControlset\servicesLanrnan\Server\Parameters]把AutoShareServer(DWORD〉的键值改为:000000000Windows2000pro版:找到如下主键[HKEY-LOCAL-MACHINE\SYSTEM\CurrentControlset\servicesLanrnan\Server\Parameters]把AutoShareWks(DWORD〉的键值改为:000000000这两个键值在默认情况下在主机上是不存在的,需要自己手动添加,修改后重启机器使设置生效。3、关闭ipc$和默认共享依赖的服务;server服务如果你真的想关闭ipc$共享,禁止server服务(非停止)是最好的选择。控制面板-管理工具-服务-找到server服务(右击)–属性-常规-启动类型-选已禁用,这时可能会有提示说:XXX服务也会关闭是否继续,因为还有些次要的服务要依赖于server服务,不要管它。4、屏蔽139,445端口由于没有以上两个端口的支持,是无法建立ipc$的,因此屏蔽139,445端口同样可以阻止ipc$入侵。1)139端口可以通过禁止NBT来屏蔽本地连接一TCP/IP属性一高级-WINS一选‘察用了CP/lP上的NETBIOS'一项2)445端口可以通过修改注册表来屏蔽添加一个键值Hive:HKEY_LOCAL_MACHINEKey:SystemControlsetservicesNetBTParametersName:SMBDeviceEnabledType:REG_DWORDVaiue:0修改完后重启机器注意:如果屏蔽掉了以上两个端口,你将无法用ipc$连接到的服务器。3)安装防火墙进行端口过滤4)设置复杂密码,防止通过ipc$穷举出密码,增强安全意识,比不停的打补丁要安全的多。【实验结果】目标主机经过以上配置窟,使用lPC$空连接或lPC$倍任连接〈有授权账户名和密码〉,都无法连接目标主机。

实验3监听、开放或关闭服务端口【实验目的】利用端口监控有效地保证系统的安全性,掌握基本的对端口活动实现监控的技能,了解黑客攻击手段及安置后门的方法。【实验准备】Plisten和NC,由讲师事先准备好拷给学生。【注意事项】确保实验机器安装FTP和IIS服务,下面为三个独立实验,两台机器一组进行,分别完成。【实验步骤】在Windows2000/2003下关闭端口实验步骤:1、首先,确保能够通过HTTP或FTP连接到合作伙伴机器2、右键单击"本地连接",选取"属性","常规",选择"intenet协议(TCP/IP)"3、单击"属性"按钮,在弹出的对话框中单击"高级"按钮4、在"高级TCP/IP设置"对话框中,选择"选项"5、在"可选"设置对话框中,双击"TCP/IP筛选",可以通过"全部允许"和"只允许"选项控制关闭/打开TCP和UDP端口,以及IP协议6、在"TCP端口"框下选择"只允许",然后单击"添加"按钮,加入80端口7、单击OK,返回桌面,然后在提示下重新启动计算机8、分别通过Web浏览器和FTP方式访问合作伙伴,观察结果9、重复上述步骤，将80端口替换为21端口，再观察结果利用这种关闭端口的方法保护系统有时并不是最佳的方法,除非服务器只是很单一的提供某一种或少数的服务时,可以考虑使用上述方法。使用Plisten监听端口1、合作者1:打开Plisten2、合作者1:选中ListeningOnport复选项,然后输入端口号12003、合作者2:启动任意操作系统4、合作者2:使用1200端口Telnet连接上合作伙伴,然后输入一些文本5、合作者1:注意端口监听器监昕到的来自合作者2的连接和输入的文本6、合作者1:注意监听到的IP地址信息,使用这些情患可以跟踪攻击者plisten是一个较小的工具软件,并且所需要配置的参数也极少,我们只需