1.木马详解
很早之前,笔者就介绍过《Web安全学习路线及木马、病毒与防御的初步探索》,本文将结合案例更深入地讲解木马知识,希望对您有所帮助。 请注意,本文中的实验绝对禁止在真实环境中完成。 笔者将引用B站视频中的虚拟机实验重现。 禁止未经授权的测试或攻击。 本文仅为科普文章,旨在增强读者安全意识,关闭远程服务端口。
实践训练目标:
通过还原经典木马攻击场景来学习木马的制作,通过植入木马实现对目标主机的完全控制。 现实中,向目标发送木马的方式有很多种,比如发送垃圾邮件、点击垃圾链接、访问HS网站、从非官方网站下载软件等,而很多人被木马感染后并不知情。 本文的实验主要针对服务器上的木马植入。
特洛伊木马:
比喻破坏性元素侵入内部。 它来源于希腊神话中的特洛伊战争。 特洛伊人绑架了希腊最美丽的女人海伦。 为了夺回海伦,古希腊对特洛伊发动了远征,并将其围困了十年。 然而,他们无法占领这座城市。 最后,希腊人建造了一匹威力强大的木马(用木头制成的马)让希腊战士躲在木马里,然后假装撤军。 特洛伊人把木马作为战利品。 夜间,希腊武士趁城熟睡时打开城门,攻城略地。 如今,计算机病毒也被称为特洛伊木马。 他们会找到方法植入目标并从内部瓦解它们。
木马通常被称为黑客程序、恶意代码,也称为特洛伊木马
基于远程控制的黑客工具。
木马特征:
隐蔽性
潜
再生性
木马组成:
客户程序
客户端程序安装在攻击者(黑客)的控制台上。 它负责远程控制命令。 例如,如果黑客需要数据,他就会控制远程恶意代码或木马程序来收集数据。
服务器程序
服务器端程序是特洛伊木马程序。 它被隐藏并安装(植入)在受攻击(受害者)方的计算机上。 目标宿主也称为肉鸡。
特洛伊木马的危害:
窃取用户信息,如网络游戏账号、网银信息、QQ密码等。QQ密码虽然经过加密,但在输入密码时可以通过键盘记录的方式发送给客户端。
传播病毒
占用系统资源,降低计算机性能
使用本机作为攻击其他设备等的工具。
被特洛伊木马攻击的迹象:
硬盘一直在读写
鼠标和键盘继续使用
窗户突然关上了
新窗口意外打开
木马传播途径:
浏览网页时利用浏览器漏洞或浏览器插件(Flash、迅雷等)漏洞
通过QQ、MSN等即时通讯软件发送恶意URL链接或木马病毒文件
使用USB闪存盘等可移动存储介质。不要轻易将不认识的USB闪存盘插入计算机。 社会工程将利用人类的贪婪来拆除内部防火墙。
通过电子邮件中的恶意代码或含有木马病毒的附件打开陌生的电子邮件
伪装成多媒体音视频文件或植入木马的应用软件木马软件能杀病毒吗,利用P2P平台和URL进行传播
利用操作系统漏洞或弱口令直接远程植入
从未知来源下载程序
如何防守:
保持警惕,不要利用他人,不要点击垃圾邮件链接或电子邮件
从官网下载程序,密码设置较复杂
设置防火墙和防病毒软件,定期对计算机进行消毒和清理
防止社会工程欺骗或攻击
2.木马实验
1. 实验环境
环境介绍:
虚拟机软件:VMware V12.0版本
虚拟机:Windows XP(模拟黑客攻击机)、Windows Server 2003(模拟木马控制方)
黑客工具:HGZ软件、NTscan
实验过程:
1、打开虚拟机,将xp和2003桥接到VMnet1
2、配置IP地址并测试网络连通性:XP配置IP为10.1.1.1/24,2003配置IP为10.1.1.2/24
3、制作木马:使用HGZ制作木马,并在D盘生成木马
4.IPC$暴力破解密码
5.与目标主机建立IPC$
6、将木马植入目标主机
7、设置木马运行目标主机
8.成功控制目标主机
2. 配置网络
第一步是启动两个虚拟机。
使用恢复快照如下图:
第二步是桥接网络。 XP和2003系统都设置为VMnet1网络。
然后配置IP地址。 Windows XP系统IP地址配置为10.1.1.1。
Windows Server 2003将IP地址配置为10.1.1.2
尝试 ping 10.1.1.2 -t。 网络建立起来之后,我们就开始制作木马了。
3.制作木马
第一步是制作特洛伊木马。 使用HGZ创建木马。
首先我们解压HGZ压缩包,如下图。
解压后如下图所示:
HGZ软件的操作如下图所示。 左侧显示自动在线主机(肉鸡)。 任何带有特洛伊木马的肉鸡都会自动上线。 木马会主动连接控制器,请求完全控制。
首先我们需要生成木马,点击“配置服务程序”即可生成木马。
IP通常是黑客计算机的IP地址。 由于生成的木马需要植入目标,会自动连接黑客并发送信息,所以填写“10.1.1.1”地址。 然后点击底部的方框,选择你创建的木马的保存路径。
保存到D盘并命名为system。 尽量与真实姓名相似,因为它更加隐蔽。
在“安装选项”中只勾选“安装成功后自动删除安装文件”选项,不勾选安装成功的提示和运行显示图标。
为什么木马这么难发现? 因为我们会修改木马服务的名称和描述木马软件能杀病毒吗,将其伪装成正常程序运行的服务。 例如,服务名称改为“windows系统”,描述信息改为“系统重要进程”。
本地服务查找如下图所示:
高级选项可以将木马伪装成“IEXPLORE.EXE”进程
最后点击“生成服务器”即可成功创建木马。
可以在D盘看到生成的木马。
4、木马植入
接下来我们需要植入木马并自动运行,主要包括4个步骤:
IPC$ 暴力爆破
与目标主机建立IPC $
将木马植入目标主机
设置运行木马的目标主机
其基本思想是希望对方能够运行木马,但在运行之前,需要将木马植入到目标主机上。 那么如何植入呢? 未经授权很难将木马复制到别人的计算机上。 这里需要利用IPC$漏洞,调用445端口号来实现。 445端口有IPC$,称为空连接,没有固定的文件夹共享; C$、D$、E$代表分区共享,有固定的文件夹。 也就是说,开放445端口意味着我们可以轻松访问局域网内的各种共享文件夹。 如果您的计算机的密码较弱,则很容易被泄露。 这里我们使用IPC$暴力爆破。
补充1:
IPC$ 暴力爆破是有条件的,即别人有服务接口,比如对方开通了FTP服务。 Hydra 工具是众所周知的暴力爆破工具。 在之前的文章《三十八. Hack the box渗透:BurpSuite和Hydra密码爆破及Python加密Post请求(2))》中也有介绍。 在进行Web渗透之前,通常需要扫描IP地址和开放的端口号、服务等,信息收集的方法有很多种。 通过采集,发现目标打开的接口,然后通过暴力爆破得到最终的密码。
端口 445
这个港口是一个名声褒贬不一的港口。 有了它,我们就可以轻松访问局域网中的各种共享文件夹或者共享打印机,但也正是因为它,黑客才有了可乘之机。 他们可以通过这个端口秘密共享你的硬盘,甚至可能默默地格式化你的硬盘。 2017年10月,由于病毒“坏兔子”的攻击,国家互联网应急中心等安全机构建议用户及时关闭计算机和网络设备上的445和139端口。 勒索软件也与端口 445 相关联。
如何预防呢?
关闭服务端口,或者配置高级防火墙,阻止任何人访问445。
IPC$(互联网进程连接)
IPC$ 是共享“命名管道”的资源。 它是一个用于进程间通信的命名管道。 通过提供可信的用户名和密码,双方可以建立安全通道并通过该通道交换加密数据。 这允许访问远程计算机。 IPC$是NT2000的一个新特性。 它有一个特点,即两个 IP 之间同时只允许有一个连接。 NT2000在提供IPC$功能的同时,还打开了首次安装系统时的默认共享,即所有逻辑共享(C$、D$、E$...)和系统目录(C:\windows ) 分享。 这一切的初衷都是为了方便管理员的管理。 然而,良好的意愿并不一定会带来良好的结果。 一些别有用心的人会利用IPC$访问共享资源、导出用户列表、使用一些字典工具进行密码检测等。
接下来开始讲解具体操作。
第一步是收集信息,然后进行猛烈爆炸。
信息通过扫描软件收集。 原理是发送ping请求判断是否在线,首先扫描IP地址。 上一篇文章推荐:
8. Web漏洞和端口扫描工具Nmap、ThreatScan和DirBuster
22、通过Web渗透收集网站信息、域名信息、端口信息、敏感信息、指纹信息
确定了服务器IP地址后,我们还可以扫描开放的端口号。 软件包括Nmap、ScanPort等。
小结:首先扫描IP地址,然后扫描开放的端口,如80端口、21端口、445端口等。如果80端口开放,可以通过软件(如Acunetix Web Vulnerability Scanner)进一步扫描网页漏洞),为服务型漏洞; 如果445端口或21端口受到攻击,则属于系统类攻击。 识别出漏洞后,我们需要进一步利用该漏洞进行Web渗透。
第二步,调用命令访问共享。
输入以下命令进行共享访问,它会提示您输入登录帐户和密码。
net use \\10.1.1.2\ipc$
返回结果提示“登录失败:用户名未知或密码错误”。 接下来我应该做什么? 我们只能进行猛烈爆炸。
第三步,使用NTscan软件进行暴力爆破。 该软件支持远程连接IPC$和使用字典文件。
字典文件是“NT_pass”(密码)和“NT_user”(用户名)。 小型词典的大小为几 KB 或几兆字节,而大型词典的大小为 TB。 服务器用户名通常设置为administrator、admin等,如果您是网站管理员,建议更改服务器用户名和密码,并且服务器设置的密码必须不是弱密码(长度限制、大、小)小写字母数组、特殊符号)。
字典文件通常包含一些弱密码,包括空密码、弱密码、常用密码、公司名称、公司符号或缩写、客户信息、老板生日等。下图仅显示了简单的密码,如“123456”、“密码”、“%null%”等
真正的字典会很大。 比如作者的133MB的密码字典文件就可以用来进行暴力爆破。 网络安全工程师通常有自己的密码字典文件、目录扫描字典文件等。
然后运行软件,输入IP地址“10.1.1.2”,选择IPCsan连接共享“IPC$”。
点击“开始”开始扫描,成功获取密码“123.com”,如下图。
第四步,与目标主机建立IPC$空连接。
输入远程连接的用户名和密码。
net use \\10.1.1.2\ipc$ 123.com /user:administrator
此时服务器连接后没有响应,如下图。
注:IPC$空连接建立后,目标的C$、D$、E$(C盘、D盘、E盘)不需要输入账号和密码,可以直接操作。 然后我们尝试操作服务器,将木马复制到服务器上。 如何实现?
第五步,将木马复制到服务器。
建议您将木马程序复制到C盘较深的目录下。 这里只是复制到C盘根目录。
copy d:\system.exe \\10.1.1.2\c$
注意:可以使用这个复制命令是因为我们利用445端口漏洞建立了一个空连接。 这时我们检查服务器就可以看到“system.exe”程序已经被植入。
为什么我们的HGZ软件不提示上线? 这是因为木马程序还没有运行。
第六步,远程运行我们的木马。
如果输入“time”,您将获得本地机器的当前时间。 如果输入“net time \10.1.1.2”,您将获得服务器的时间。
知道时间后,我们可以通过命令向对方植入计划任务,计划任务就可以定时执行程序。 虽然这个程序不能双击,但是可以定时执行。
at \\10.1.1.2 09:50 c:\system.exe
该命令表示服务器“10.1.1.2”在9点50分执行system.exe程序。
输入命令“at \10.1.1.2”,可以看到计划已经执行了。
当时间到达9点50分时,可以看到“SHIMISI”服务器已经上线。 这是我们控制下的肉鸡。
打开“SHIMISI”服务器,可以看到C盘、D盘、E盘的内容。
假设我们要传输文件到被控2003服务器上,选择E盘,然后点击上传图标,选择本地软件,点击“确定”。
可以看到我们上传的文件出现在对方电脑的E盘中。 同样,我们可以将对方服务器的内容下载到本地。
单击“捕获屏幕”按钮。
可以看到对方的屏幕已经成功控制,而且是实时屏幕。
点击左上角的“转移鼠标和键盘操作”即可接管服务器计算机的鼠标和键盘的控制权。
单击“视频语音”按钮,然后单击“启动视频监控”开始使用摄像机进行拍摄。 所以大家一定要注意,平时不需要关闭摄像头或者遮挡。
单击“Telnet”图标进行命令行控制。
比如在E盘调用命令“md yedaociyiyou”就可以创建一个文件夹。
服务器已成功创建文件夹。
关机重启、修改注册表等远程控制命令
注意:该木马修改了服务,只要电脑一开机就会自动运行,供我们使用。
我再说一遍:HGZ木马现在很容易查杀或检测,有些则不容易查杀。 您不得将其用于攻击。 会违反相关法律,HGZ的作者可能还在里面。 作为安全工程师,我们希望您能够了解漏洞背后的原理,更好地保护自己。 绿色网络需要我们共同维护。
补充:如何关闭远程服务或445端口?
作者打开笔记本电脑并输入命令“net share”。 可以看到共享服务都启动了,这是一个漏洞。
在“运行”中输入services.msc,找到该服务。
我们需要将其关闭并将其设置为“禁用”。
再次运行,发现共享服务成功关闭。
netstat -an命令可以查看连接到本地计算机的所有IP。 它包含四部分:proto(连接方式)、local address(本地连接地址)、foreign address(与本地计算机建立连接的地址)、state(当前端口状态)。 通过该命令的详细信息您可以完全监控自己计算机上的连接情况。
三、总结
至此,这篇基础文章就结束了。 本文详细讲解了木马的原理知识,再现了通过远程服务器445端口相关的IPC$漏洞制作、植入、运行、控制木马的过程。作者初衷是为了普及网络安全一方面,另一方面我们希望提高读者的安全防范意识。 如何保护自己?
保持警惕,不要利用他人,不要点击垃圾邮件链接或电子邮件
从官网下载程序并设置复杂的密码,防止弱密码(数字和大写符号)被爆。
设置防火墙和防病毒软件,定期对计算机进行消毒和清理
防止社会工程欺骗或攻击
针对软件或系统漏洞,及时关闭远程服务或端口
摄像头、麦克风、路由器、网关、服务器等系统漏洞及人为防御。
禁止从事任何危害网络安全的行为。 作为安全工程师,我们需要共同努力维护绿色网络。
希望本系列文章对您有所帮助。 我真的觉得自己很熟练,有很多东西要学。 这是原创安全系列文章第43篇,从网络安全到系统安全,从木马病毒到后门劫持,从恶意代码到溯源分析,从渗透工具到二进制工具,还有Python安全、顶级会议论文、黑客比赛。 以及漏洞共享。 当你不知道如何进攻时,你如何知道如何防守? 人生是一条漫长的路。 作为一个初学者,我真的是在匍匐前进。 感谢很多人的帮助,继续攀登,继续努力。
