20155301、20155339《信息安全技术》实验四 木马及远程控制技术
实验目的
1)剖析网页木马的工作原理
2)理解木马的植入过程
3)学会编写简单的网页木马脚本
4)通过分析监控信息实现手动删除木马
实验内容
1)木马生成与植入
2)利用木马实现远程控制
3)木马的删除
实验人数
1)每组2人,本组为20155301、20155339
实验主机
| 实验角色 |
|---|
| 主机A |
| 主机B |
实验环境
1)Windows Server 2003虚拟机
2)交换网络结构
实验工具
1)网络协议分析器
2)灰鸽子
3)监控器
实验原理
1)网页木马原理及相关定义:
“网页木马”由其植入方式而得名,是通过浏览网页的方式植入到被控主机上,并对被控主机进行控制的木马。与其它网页不同,木马网页是黑客精心制作的,用户一旦访问了该网页就会中木马。因为嵌入在这个网页中的脚本恰如其分地利用了IE浏览器的漏洞,让IE在后台自动下载黑客放置在网络上的木马并运行(安装)这个木马,这个网页能下载木马到本地并运行(安装)下载到本地电脑上的木马,整个过程都在后台运行,用户一旦打开这个网页,下载过程和运行(安装)过程就自动开始。实际上,为了安全,IE浏览器是禁止自动下载程序特别是运行程序的,但是,IE浏览器存在着一些已知和未知的漏洞,网页木马就是利用这些漏洞获得权限来下载程序和运行程序的。
2)名词解释:
MS06014漏洞:
存在于Microsoft Data Access Components,利用微软的HTML Object标签的一个漏洞,Object标签主要是用来把ActiveX控件插入到HTML页面里。由于加载程序没有根据描述远程Object数据位置的参数检查加载文件的性质,因此Web页面里面的程序就会不经过用户的确认而自动执行。
iframe标签:
iframe也叫浮动帧标签,它可以把一个HTML网页嵌入到另一个网页里实现“画中画”的效果。 被嵌入的网页可以控制宽、高以及边框大小和是否出现滚动条等。如果把宽(width)、高(height)、边框(frameborder)都设置为0,代码插入到首页后,首页不会发生变化,但是嵌入的网页实际上已经打开。
反弹端口型木马:
分析防火墙的特性后可以发现,防火墙对于连入的链接往往会进行非常严格的过滤,但是对于连出的链接却疏于防范。于是,与一般的木马相反,反弹端口型木马的服务端(被控制端)使用主动端口,客户端(控制端)使用被动端口。木马定时监测控制端的存在,发现控制端上线后立即弹出端口主动连接控制端打开的被动端口。服务端通常会把打开的端口伪装成应用软件的端口,从而进一步降低被防火墙发现的概率。
网页木马生成脚本:
通常网页木马是通过“网马生成器”将木马安装程序的下载地址附加在网页上的,进而达到用户浏览含有木马的网页即自动下载安装程序的目的。
3)木马的工作过程:
木马的工作过程可分为四部分:木马的植入、木马的安装、木马的运行和木马的自启动。
木马的植入 :
网页木马就是一个由黑客精心制作的含有木马的HTML网页,因为MS06014漏洞存在,当用户浏览这个网页时就被在后台自动安装了木马的安装程序。所以黑客会千方百计的诱惑或者欺骗人们去打开他所制作的网页,进而达到植入木马的目的。不过随着人们网络安全意识的提高,这种方法已经很难欺骗大家了。
还有一种方法就是通过