文淑華，王瑞錦

(電子科技大學(xué) 信息與軟件工程學(xué)院,四川 成都 610054)

目前網(wǎng)絡(luò)攻防實(shí)訓(xùn)課程中全部都是基礎(chǔ)驗(yàn)證型[1]實(shí)驗(yàn),授課知識(shí)點(diǎn)過于分散,不利于學(xué)生對課程知識(shí)點(diǎn)的掌握,針對以上問題進(jìn)行研究,采用將幾個(gè)知識(shí)點(diǎn)聯(lián)系并貫通到一個(gè)綜合實(shí)驗(yàn)[2]中去,使學(xué)生通過操作該實(shí)驗(yàn)從而對需要掌握的知識(shí)點(diǎn)融會(huì)貫通,前后銜接各知識(shí)點(diǎn)來完成一個(gè)綜合性的實(shí)驗(yàn),實(shí)現(xiàn)想要的結(jié)果,這樣使得學(xué)生能夠更好地理解網(wǎng)絡(luò)攻防核心知識(shí)和掌握網(wǎng)絡(luò)攻防基本技能?；谶@樣的理念,設(shè)計(jì)了一個(gè)綜合型實(shí)驗(yàn)——基于 IPC＄ internet process connection管道[3-4]的網(wǎng)絡(luò)攻防綜合實(shí)驗(yàn)。

該實(shí)驗(yàn)涉及的知識(shí)點(diǎn)有IPC＄的漏洞原理和攻擊方法、Windows本地系統(tǒng)密碼的破解原理、方法和NC作為后門的啟動(dòng)原理和運(yùn)行方法。該實(shí)驗(yàn)分為Windows密碼破解、IPC＄連接和遠(yuǎn)程控制、軟件后門NC連接3個(gè)部分,其關(guān)系如圖1所示。該實(shí)驗(yàn)的執(zhí)行順序?yàn)?使用暴力破解[13]Windows本地系統(tǒng)密碼,使用字典參數(shù)設(shè)置方法獲取目標(biāo)主機(jī)當(dāng)前用戶的密碼,通過該密碼可以在本地主機(jī)上使用IPC＄的相關(guān)命令對目標(biāo)主機(jī)進(jìn)行連接,連接好后可以對目標(biāo)主機(jī)實(shí)施攻擊并且遠(yuǎn)程控制目標(biāo)主機(jī),然后通過本地主機(jī)(源主機(jī))直接控制目標(biāo)主機(jī)的NC后門[12]程序的安裝,實(shí)施NC連接對目標(biāo)主機(jī)進(jìn)行其他命令控制,如計(jì)劃關(guān)機(jī)命令——AT 命令。

圖1 3個(gè)部分的關(guān)系

1 實(shí)驗(yàn)原理

該實(shí)驗(yàn)涉及的知識(shí)點(diǎn)包括:Windows系統(tǒng)密碼破解、IPC＄連接、NC后門種植、AT命令控制。下面分開來介紹各知識(shí)點(diǎn)的實(shí)驗(yàn)原理。

Windows系統(tǒng)密碼破解采用暴力破解和字典破解方法,其原理是對密碼進(jìn)行一一推算,直到找到正確的密碼為止,類似于數(shù)學(xué)上的 “完全歸納法”。例如,加入一個(gè)密碼由6位數(shù)字組成,利用數(shù)學(xué)的排列組合方法,可以輕易推算得出該密碼共有100 000種組合(10×10×10×10×10),因?yàn)檎_的密碼只有一個(gè),那么要想得到正確的密碼,就最多需要嘗試100 000次。使用暴力破解方法來尋找密碼,不管這個(gè)密碼有多復(fù)雜,最終都能找到正確的密碼,只是一個(gè)時(shí)間長短的問題。

IPC＄從字面上就可以理解為“網(wǎng)絡(luò)進(jìn)程連接”的管道,是為了讓進(jìn)程間進(jìn)行連接通信而開放的命名管道。在目標(biāo)主機(jī)的IPC＄默認(rèn)共享已經(jīng)打開的情況下,源主機(jī)如果知道目標(biāo)主機(jī)的IP地址和當(dāng)前用戶的賬號(hào)、密碼,就可以跟目標(biāo)主機(jī)通過建立安全的通道連接從而進(jìn)行數(shù)據(jù)交換,最終實(shí)現(xiàn)對目標(biāo)主機(jī)的訪問。

NC全稱Netcat,俗稱為網(wǎng)絡(luò)中的“瑞士軍刀”,因其功能強(qiáng)大,所以黑客在入侵時(shí)經(jīng)常使用該工具。如果在目標(biāo)主機(jī)上運(yùn)行“nc.exe-p port-L-de cmd.exe”命令,就可以構(gòu)建一個(gè)telnet后門,即使關(guān)閉了nc.exe程序的運(yùn)行窗口,這個(gè)后門程序還是繼續(xù)存在于目標(biāo)主機(jī)上,不會(huì)終止。

AT命令是Windows中的計(jì)劃任務(wù)命令行,可在指定時(shí)間和日期、在指定計(jì)算機(jī)上運(yùn)行命令、腳本和程序。

2 實(shí)驗(yàn)環(huán)境

實(shí)驗(yàn)環(huán)境:本地主機(jī)為Windows XP系統(tǒng),目標(biāo)主機(jī)為Windows Server 2003系統(tǒng)。該實(shí)驗(yàn)的兩臺(tái)主機(jī)必須處于一個(gè)網(wǎng)段中,否則無法進(jìn)行實(shí)驗(yàn)。實(shí)驗(yàn)首先要查詢源主機(jī)和目標(biāo)主機(jī)的IP地址,如果不在同一網(wǎng)段,就需要提前設(shè)置好。

3 實(shí)驗(yàn)工具

包含saminside、radmin[13-14]、NC工具。

saminside:Windows密碼破解軟件,主要用來獲取Windows的用戶登錄密碼。它同時(shí)支持暴力破解、分布式破解、掩碼破解、字典破解、混合破解、預(yù)計(jì)算表破解這6種不同的密碼破解方式,但是本文中使用暴力破解和字典破解方式來獲取目標(biāo)主機(jī)的用戶密碼。

radmin:安全遠(yuǎn)程控制軟件,可以幫助用戶在遠(yuǎn)程主機(jī)上進(jìn)行操作,如同用戶坐在那臺(tái)電腦前工作一樣。和人們所熟悉的另外一款遠(yuǎn)程控制軟件“灰鴿子”的最大區(qū)別是,“灰鴿子”是由目標(biāo)主機(jī)發(fā)起連接,而radmin是源主機(jī)主動(dòng)去發(fā)起跟目標(biāo)主機(jī)的連接。

NC:NC.exe是一個(gè)非常標(biāo)準(zhǔn)的telnet客戶端工具,也是一個(gè)后門程序,在目標(biāo)主機(jī)上運(yùn)行NC.exe后門程序后開起監(jiān)聽端口,源主機(jī)通過該監(jiān)聽端口和目標(biāo)主機(jī)建立NC連接,這樣源主機(jī)就可以在目標(biāo)主機(jī)上執(zhí)行相關(guān)命令操作。

這些軟件都需要提前準(zhǔn)備好,沒有的需要到網(wǎng)上進(jìn)行下載。

4 實(shí)驗(yàn)步驟

4.1 設(shè)置并獲取雙方主機(jī)的IP地址

源主機(jī)和目標(biāo)主機(jī)事先通過ipconfig命令或者圖形界面查詢的方式查詢好IP地址,不正確或不在同一個(gè)網(wǎng)段則需進(jìn)行設(shè)置,正確無誤后,將它們的IP地址進(jìn)行記錄。

4.2 獲取目標(biāo)主機(jī)當(dāng)前用戶的密碼

1)在目標(biāo)主機(jī)中,運(yùn)行saminside工具,首先刪除所有初始用戶名。

2)從lsass導(dǎo)入目標(biāo)主機(jī)上的所有用戶。

3)進(jìn)入選項(xiàng)(service-options)可選擇使用大寫字母、小寫字母、數(shù)字、符號(hào)以及密碼最大、最小長度等來配置暴力破解(brute-force attack)參數(shù)。假設(shè)目標(biāo)主機(jī)賬號(hào)為administrator,密碼為8位的小寫字母組成,學(xué)生可在該軟件中自行設(shè)置以提高破解速度,如圖2所示。

圖2 字段參數(shù)設(shè)置

4)選中要破解的用戶名,選中暴力攻擊,點(diǎn)擊開始攻擊,如圖3所示。等待一定時(shí)間,軟件就可以破解出當(dāng)前用戶的密碼,當(dāng)然破解的時(shí)間跟密碼的長度成正相關(guān),密碼長度越長,破解所需的等待時(shí)間一般也越長。破解后,記錄下正確的密碼。

圖3 開始暴力破解

4.3 源主機(jī)與目標(biāo)主機(jī)建立IPC＄連接

1)在目標(biāo)主機(jī)中開啟IPC＄默認(rèn)共享,并練習(xí)IPC＄的查看和刪除命令:

a)在目標(biāo)主機(jī)的命令行窗口使用net share命令查看它的IPC＄默認(rèn)共享是否已經(jīng)打開；

b)使用net share admin＄/delete命令刪除IPC＄共享,如圖4所示；

c)使用net share admin＄開啟IPC＄共享。共享名后面的“＄”表示這些共享是隱藏的共享,在“我的電腦”是不可見的。

圖4 刪除IPC＄共享

2)在源主機(jī)中使用以下命令與目標(biāo)主機(jī)建立IPC＄連接:

a)與目標(biāo)主機(jī)建立IPC＄連接通道:net use‖目標(biāo)主機(jī)IP“密碼” /user:“用戶名”；

b)將目標(biāo)主機(jī)的C盤映射成源主機(jī)的Z盤:net use z:‖目標(biāo)主機(jī)IP‖c＄；

c)拷貝源主機(jī)上的文件e:‖a.txt到目標(biāo)主機(jī):copy e:‖a.txt‖目標(biāo)主機(jī)IP‖c＄；

d)刪除與目標(biāo)主機(jī)的IPC＄連接:net use‖目標(biāo)主機(jī)ip/del。

4.4 在源主機(jī)上控制目標(biāo)主機(jī)上的軟件安裝

4.3 節(jié)已經(jīng)建立源主機(jī)和目標(biāo)主機(jī)的IPC＄連接,并且已經(jīng)將目標(biāo)主機(jī)的C盤映射為源主機(jī)上的Z盤,從而方便接下來的操作。

1)在源主機(jī)中,解壓工具radmin,將解壓后文件夾中的 r＿ server.exe、raddrv.dll、AdmDll.dll文件拷貝粘貼到映射的Z盤,即目標(biāo)主機(jī)的C盤。

2)在源主機(jī)中使用psexec命令獲得目標(biāo)主機(jī)的Shell,命令如下:psexec‖目標(biāo)主機(jī)IP-u用戶名-p密碼cmd.exe(-u代表用戶名,-p代表目標(biāo)主機(jī)密碼,cmd.exe代表命令行程序)。

執(zhí)行該命令成功后可以獲取到目標(biāo)主機(jī)的Shell,如圖5所示。

圖5 輸入命令得到目標(biāo)主機(jī)的Shell

3)在得到的目標(biāo)主機(jī)Shell上安裝r＿server,命令如下:C:‖r＿server/install/pass:密碼/port:端口/silence。 (通過/port參數(shù)指定端口號(hào),默認(rèn)是4899。/silence是靜默安裝,代表在目標(biāo)主機(jī)用戶不知情的情況下運(yùn)行安裝該軟件,如果不使用這個(gè)參數(shù),就會(huì)在目標(biāo)主機(jī)上出現(xiàn)安裝的窗口,因此暴露)。

4)啟動(dòng)r＿server服務(wù),命令如下:net start r＿server(注:如果出現(xiàn)提示“服務(wù)名稱無效”的情況,就需運(yùn)行兩次或多次)。

5)運(yùn)行radmin的客戶端radmin.exe,從菜單欄選擇 “連接選項(xiàng)-連接到…”,輸入目標(biāo)主機(jī)的IP地址和安裝r＿server時(shí)指定的端口號(hào),點(diǎn)擊“確定”之后,就可以建立一個(gè)源主機(jī)到目標(biāo)主機(jī)的連接。同時(shí)可以在該軟件中對連接模式進(jìn)行選擇,其中完全連接權(quán)限最大。

6)連接建立成功之后在源主機(jī)上就可以看到目標(biāo)主機(jī)的桌面,說明已經(jīng)獲取了目標(biāo)主機(jī)的控制權(quán),可以對目標(biāo)主機(jī)實(shí)施攻擊。

4.5 控制目標(biāo)主機(jī)之后進(jìn)行NC連接

1)運(yùn)行目標(biāo)主機(jī)上的NC。

前面的步驟顯示,源主機(jī)已經(jīng)獲取到目標(biāo)主機(jī)的桌面,說明已經(jīng)控制了目標(biāo)主機(jī),所以接下來通過控制的目標(biāo)主機(jī)的桌面來運(yùn)行NC。

NC作為后門種植軟件,將NC運(yùn)行在監(jiān)聽狀態(tài)等待源主機(jī)的連接,具體命令如下:nc-l-p 999-vv-e cmd.exe,其中999為目標(biāo)主機(jī)監(jiān)聽端口,供源主機(jī)進(jìn)行連接。

2)遠(yuǎn)程連接。

源主機(jī)使用telnet命令連接目標(biāo)主機(jī)上NC所監(jiān)聽的999端口。命令運(yùn)行后馬上就會(huì)顯示目標(biāo)主機(jī)的命令行,與此同時(shí)目標(biāo)主機(jī)中也會(huì)提示當(dāng)前的連接狀態(tài),如圖6所示。

圖6 目標(biāo)主機(jī)的命令行

4.6 AT命令

源主機(jī)和目標(biāo)主機(jī)進(jìn)行NC連接后,源主機(jī)可以在目標(biāo)主機(jī)上執(zhí)行AT命令等操作。

1)定時(shí)關(guān)機(jī)。

在源主機(jī)已連接目標(biāo)主機(jī)的telnet窗口內(nèi)輸入命令:at 16∶40 shutdown-s-t 20。該命令表示主機(jī)在16∶40默認(rèn)延時(shí)20 s自動(dòng)關(guān)機(jī)。

2)取消關(guān)機(jī)。

輸入定時(shí)關(guān)機(jī)命令后,可以使用以下命令取消關(guān)機(jī):at 1/Delete。其中1為指派給已計(jì)劃命令的標(biāo)識(shí)編號(hào)。這樣就可以在關(guān)機(jī)之前及時(shí)取消關(guān)機(jī)計(jì)劃。

5 防御

前面的實(shí)驗(yàn)詳細(xì)介紹了基于IPC＄漏洞對目標(biāo)主機(jī)進(jìn)行攻擊的操作過程。但是如何進(jìn)行IPC＄漏洞防御[15],則是一個(gè)值得需要認(rèn)真思考的問題。在學(xué)生操作的過程中,就可以立馬想到幾個(gè)措施來預(yù)防IPC＄漏洞攻擊,比如把密碼設(shè)置得更復(fù)雜一些或者刪除IPC＄默認(rèn)共享。同時(shí)經(jīng)過研究發(fā)現(xiàn),IPC＄漏洞產(chǎn)生的根源是因?yàn)閃indows操作系統(tǒng)使用了NetBIOS協(xié)議,該協(xié)議是為了共享網(wǎng)絡(luò)中各單機(jī)資源而設(shè)置的。在電腦安裝TCP/IP協(xié)議(網(wǎng)絡(luò)通信協(xié)議)時(shí),就自動(dòng)把NetBIOS協(xié)議作為默認(rèn)設(shè)置裝入了系統(tǒng)。因此要預(yù)防IPC＄漏洞的攻擊,就要從NetBIOS協(xié)議著手。針對基于IPC＄管道連接的網(wǎng)絡(luò)攻擊的防御進(jìn)行探究,有以下3點(diǎn)措施。

1)針對系統(tǒng)密碼破解的防御措施。

a)升級(jí)系統(tǒng)的域的功能級(jí)別到Active Directory 2012 R2級(jí)別,從而可以將系統(tǒng)用戶的用戶名添加到受保護(hù)的用戶組。

b)安裝KB2871997,它會(huì)把保護(hù)用戶組的功能移植到Windows中,這樣就可以防御密碼被破解。

c)把注冊表中的“UseLogonCredential”項(xiàng)設(shè)置成0,因?yàn)槊艽a的存儲(chǔ)是由一個(gè)注冊表設(shè)置決定的,設(shè)置為 “0”代表這個(gè)密碼不會(huì)存儲(chǔ)在內(nèi)存中,從而可以使得密碼破解軟件無法獲取到明文密碼。

2)針對NetBIOS協(xié)議的防御措施。

a)取消NetBIOS的共享功能。

b)禁用TCP/IP上的NetBIOS。

c)對本地安全策略進(jìn)行設(shè)置,啟用“不允許SAM賬戶和共享的匿名枚舉”。

d)禁止NetBIOS相關(guān)服務(wù),具體操作為禁用“TCP/IP NetBIOSHelper”。

e)安裝防火墻過濾掉139、445端口。IPC＄管道連接是通過139或445端口來進(jìn)行的,因?yàn)殚_啟139或445端口就代表應(yīng)用了NetBIOS協(xié)議,攻擊方可以通過這兩個(gè)端口來實(shí)現(xiàn)對共享文件/打印機(jī)的訪問,因此關(guān)閉這兩個(gè)端口就可以禁止IPC＄的連接。

3)針對刪除IPC＄共享的防御措施。

a)在計(jì)算機(jī)共享的管理界面,刪除隱藏的默認(rèn)共享。

b)在命令提示符下使用命令 “net share admin＄/delete”刪除IPC＄共享。

c)修改注冊表,永久性刪除IPC＄共享。前面兩種刪除IPC＄共享的方式,系統(tǒng)重啟后又會(huì)恢復(fù),因此可以選擇永久性刪除。

d)關(guān)閉IPC＄共享依賴的服務(wù),比如用命令“net stop lanmansever” 來關(guān)閉 lanmansever服務(wù),因?yàn)樵摲?wù)的啟動(dòng)也會(huì)導(dǎo)致IPC＄漏洞的出現(xiàn)。

6 結(jié)束語

通過該綜合實(shí)驗(yàn),學(xué)生能夠更好地理解網(wǎng)絡(luò)攻防的基本原理和常用技能。該實(shí)驗(yàn)將3個(gè)部分的知識(shí)點(diǎn)串聯(lián)起來貫穿其中綜合運(yùn)用完成這樣一個(gè)實(shí)驗(yàn),可以充分提高學(xué)生的動(dòng)手實(shí)踐能力,并增強(qiáng)學(xué)生的創(chuàng)新意識(shí)。