网络安全实验报告文件编码(008-TTIG-UTITD-GKBTT-PUUTI-WYTUI-8256)信息与科学技术学院学生上机实验报告课程名称:计算机网络安全开课学期:2015——2016学年开课班级:2013级网络工程(2)班教师姓名:孙老师学生姓名:罗志祥学生学号:37实验一、信息收集及扫描工具的使用【实验目的】1、掌握利用注册信息和基本命令实现信息收集2、掌握结构探测的基本方法3、掌握X-SCAN的使用方法【实验步骤】一、获取以及的基本信息1.利用ping 和nslookup获取IP地址(得到服务器的名称及地址)2.利用来获取信息二、使用工具获取到达的结构信息三、获取局域网内主机IP的资源信息-a IP 获得主机名;-a IP 获得所在域以及其他信息;view IP 获得共享资源;a IP 获得所在域以及其他信息;四、使用X-SCAN扫描局域网内主机IP;1.设置扫描参数的地址范围;2.在扫描模块中设置要扫描的项目;3.设置并发扫描参数;4.扫描跳过没有响应的主机;5.设置要扫描的端口级检测端口;6.开始扫描并查看扫描报告;实验二、IPC$入侵的防护【实验目的】•掌握IPC$连接的防护手段•了解利用IPC$连接进行远程文件操作的方法•了解利用IPC$连接入侵主机的方法【实验步骤】一:IPC$ 连接的建立与断开通过IPC$ 连接远程主机的条件是已获得目标主机管理员的账号和密码。
1.单击“开始”-----“运行”,在“运行”对话框中输入“cmd”1.建立IPC$连接,键入命令 net use 123 /user:administrator2.映射网络驱动器,使用命令: net use y:1.映射成功后,打开“我的电脑”,会发现多了一个y盘,该磁盘即为目标主机的C盘1.在该磁盘中的操作就像对本地磁盘操作一1.断开连接,键入 net use * /del 命令,断开所有的连接1.通过命令 net use 可以删除指定目标IP 的IPC$ 连接。
•建立后门账号1.编写BAT文件,内容与文件名如下,格式改为:.bat1.与目标主机建立IPC$连接2.复制文件到目标主机。
(或映射驱动器后直接将放入目标主机的C盘中)1.通过计划任务使远程主机执行文件,键入命令:net time ,查看目标主机的时间。
1.如图,目标主机的系统时间为13:4513:52 c:\ ,然后断开IPC$连接。
1.验证账号是否成功建立。
等一段时间后,估计远程主机已经执行了文件,通过建立IPC$连接来验证是否成功建立“sysback”账号:建立IPC$连接,键入命令 net use 123 /user:sysback1.若连接成功,说明管理员账号“sysback”已经成功建立连接。
安全解决方案1.建立bat 文件,文件名为:,内容如下:1.将其复制到本机“开始”-----“程序”-----“启动”中。
2.禁止空连接,将该命令“net stop server /y”加入文件中或打开“控制面板”----“管理工具”------“服务”,找到server,单击右键,选择属性,选择“禁用”。
【实验报告】1.与远程主机建立IPC需要满足什么条件答:(1)己方和对方的计算机都连接到了互联网,并且知道对方计算机的IP,知道对方计算机的管理员账号和密码(IPC$空连接除外)(2)对方没有通过禁用IPC$连接、禁用139和445端口、使用防火墙等方式来阻止IPC$。
(3)对方计算机开启了相关的IPC$服务,例如RPC服务(remote procedure call)、Server服务等。
(4)本地计算机操作系统不能使用Windows 95/98,因为Windows 95/98默认是禁用本地IPC$服务的。
2、建立了 IPC$连接能够做哪些工作答:能映射驱动器,像在本机上一样的操作目标机的驱动器,能上传下载文件,能建立新的账号,能克隆账号等。
实验三、留后门与清脚印的防范【实验目的】● 了解帐号后门以及防范手段● 掌握手工克隆帐号原理● 掌握日志清除的防范方法【实验需求】● 计算机两台,要求安装 Windows 2000 操作系统● 交换机一台、直连线两根● 权限提升工具【实验步骤】预步骤:建立IPC连接,映射驱动器,上传到目标主机一、设置隐藏帐号1、试运行权限提升工具测试结果如图2、进入任务管理器,查看 SYSTEM 的 PID 号如图 PID 为3、使用 PSU工具把它加载到注册表中4、在注册表中找到存放系统帐号名称以及配置信息的注册项。
5、找到 Administrator 查看他的类型如图.它的类型为 0x1f46、打开系统管理员的权限里面的 F 项把里面的 16 进制数据复制7、使用刚才的方法找到 GUEST用户打开相同的项把刚才复制的 16 进制数据粘贴进去8为了隐蔽性我们把 GUEST 帐号禁用首先在命令行模式下键入”net user guest /active:no。
9下面我们来看下当前Guest 帐号的状态在命令行下输入“net userGuest”。
由图 3-10 可以看出 Guest 用户只属于 Guest 组,接下来打开计算机管理中的帐号中的帐号管理可以发现 Guest 用户已经被禁用了。
10注销后用Guest 帐号登陆发现桌面配置与 Administrator 用户完全一样,下面我们用这个帐号执行一个只有系统管理员才有权执行的操作,如果成功那表示这个帐号后门可用二、清除日志:1、首先制作一个 DOS下的批处理文件用于删除所有的日志,把它保存为.bat 文件2置它的运行时间3通过检查被攻击主机的日志信息,可以发现内容为空在入侵到对方的服务器之后,IIS将会详细地记录下入侵者入侵的全部过程。
在IIS中,WWW日志默认的存储位置是C:\windows\system32\logfiles\w3svc1\,每天都产生一个新日志。
可以在命令提示符窗口中通过"del *.*"命令来清除日志文件,但这个方法删除不掉当天的日志,这是因为w3svc(即World Wide Web Publishing)服务还在运行着。
(1)可以用“net stop w3svc”命令把这个服务停止之后,(2)再用“del *.*”命令,就可以清除当天的日志了,(3)最后用“net start w3svc”命令再启动w3svc服务就可以了。
注意:删除日志前要先停止相应的服务,再进行删除,日志删除后务必要记得再打开相应的服务。
也可修改目标计算机中的日志文件,其中WWW日志文件存放在w3svc1文件夹下,FTP日志文件存放在msftpsvc文件夹下,每个日志都是以为命名的(其中xxxxxx代表日期)。
FTP日志的默认存储位置为C:\windows\system32\logfiles\msftpsvc1\,其清除方法WWW日志的方法类似,只是所要停止的服务不同:(1)在命令提示符窗口中运行"net stop mstfpsvc"命令即可停掉msftpsvc服务。
(2)运行"del *.*"命令或找到日志文件,并将其内容删除。
(3)最后通过运行"net start msftpsvc"命令,再打开msftpsvc服务即可三、安全解决方案1、杜绝 Guest 帐户的入侵。
可以禁用或彻底删除 Guest 帐户,但在某些必须使用到 Guest 帐户的情况下,就需要通过其它途径来做好防御工作了。
首先要给 Guest 设一个强壮的密码,然后详细设置Guest 帐户对物理路径的访问权限(注意磁盘必须是NTFS 分区)。
例如禁止 Guest 帐户访问系统文件夹。
可以右击“WINNT”文件夹,在弹出菜单中选择“安全”标签,从中可看到可以访问此文件夹的所有用户。
删除管理员之外的所有用户即可2、日志文件的保护。
首先找出日志文件默认位置,以管理员身份登录进系统,并在该系统的桌面中依次单击“开始”-“运行”命令,在弹出的系统运行对话框中,输入字符串命令“” ,单击“确定”按钮后打开服务器系统的计算机管理窗口。
3、其次在该管理窗口的左侧显示窗格中,用鼠标逐一展开“系统工具”-“事件查看器” 分支项目,在“事件查看器”分支项目下面我们会看到“系统” 、“安全性”以及“应用程序”这三个选项。
要查看系统日志文件的默认存放位置时,我们可以直接用鼠标右键单击“事件查看器”分支项目下面的“应用程序”选项,从随后弹出的快捷菜单中执行“属性”命令。
在该窗口的常规标签页面中,我们可以看到本地日志文件的默认存放位置为“C:\WINDOWS\system32\config\”4、做好日志文件挪移准备,为了让服务器的日志文件不被外人随意访问,我们必须让日志文件挪移到一个其他人根本无法找到的地方,例如可以到 E 分区的一个“E:\aaa\”目录下面创建一个“bbb”目录5、正式挪移日志文件,将对应的日志文件从原始位置直接拷贝到新目录位置“E:\aaa\bbb\”下6、修改系统注册表做好服务器系统与日志文件的关联,依次单击系统桌面中的“开始”-“运行”命令,在弹出的系统运行对话框中,输入注册表编辑命令“regedit” ,单击回车键后,打开系统的注册表编辑窗口;用鼠标双击“HKEY_LOCAL_MACHINE”注册表子键,在随后展开的注册表分支下面依次选择“SYSTEM” 、“CurrentControlSet” 、“Services” 、Eventlog”项目,在对应“Eventlog”项目下面我们会看到“System” 、“Security” 、“Application”这三个选项7、在对应“System”注册表项目的右侧显示区域中,用鼠标双击“File”键值,打开如图 2 所示的数值设置对话框,然后在“数值数据”文本框中,输入“E:\aaa\bbb\ ”字符串内容,也就是输入系统日志文件新的路径信息,最后单击“确定” 按钮;同样地,我们可以将“Security” 、“Application”下面的“File”键值依次修改为“E:\aaa\bbb\ ” 、“E:\aaa\bbb\ ” ,最后按一下键盘中的 F5 功能键刷新一下系统注册表,就能使系统日志文件的关联设置生效了实验小结1.账号克隆是什么意思答:在注册表中有两处保存了账号的SID相对标志符,一处是注册表HKEY_LOCAL_MACHINE\SAM\AMDomains\AccountUsers 下的子键名,另一处是该子键的子项F的值。
但微软犯了个不同步它们的错误,登录时用的是后者,查询时用前者。
当用Administrator的F项覆盖其他账号的F项后,就造成了账号是管理员权限,但查询还是原来状态的情况,这就是所谓的克隆账号。