Presentation is loading. Please wait.

Presentation is loading. Please wait.

学习情境二:网络的认证攻击与防范 项目3 远程命令的执行及注册表的入侵.

Similar presentations


Presentation on theme: "学习情境二:网络的认证攻击与防范 项目3 远程命令的执行及注册表的入侵."— Presentation transcript:

1 学习情境二:网络的认证攻击与防范 项目3 远程命令的执行及注册表的入侵

2 项目3 远程命令的执行及注册表的入侵 课题引入 远程命令的执行 远程进程查、杀 入侵注册表

3 课题引入-项目背景 基于认证入侵的方式 远程文件操作 远程屏幕检视 远程命令执行 远程进程管理 远程计算机管理 远程注册表修改 远程登录主机
获取认证密码

4 课题引入-项目分析 完成本项目需要解决的问题: 如何执行远程的命令 如何进行远程进程的查杀? 入侵注册表需要注意哪些问题?

5 课题引入-教学目标 完成本项目需要实现的教学目标: 进行远程命令的执行(重点掌握) 对远程进程查、杀(重点掌握) 入侵注册表(掌握)

6 课题引入-应达到的职业能力 能够熟练掌握执行远程命令的方法 能够掌握远程进程查、杀的的方法 能够入侵注册表

7 项目问题1 -远程命令的执行 能够远程执行命令,也就完全控制了远程主机。使用Telnet执行远程命令就是其中一种主要方法。
使用工具PSEXEC可以不用Telnet实现远程命令的执行。 使用方法PSEXEC \\computer [-u user][-p password][-s][-i][-c][-f][-d] cmd [arguments]

8 项目问题1 - PSEXEC参数说明 -u 登陆远程主机的用户名 -p 登陆远程主机的密码 -i 与远程主机交互执行
-f 拷贝本地文件到远程主机系统目录并执 行,如果远程主机已经存在该文件,则覆盖 -d 不等待程序结束

9 PSEXEC使用实例一 通过PSEXEC实现与Telnet登录同样的功能
使用命令psexec \\ –u administrator –p “” cmd

10 PSEXEC使用实例二 使用PSEXEC,将本地可执行程序拷贝到远程主机执行

11 PSEXEC使用方式说明 如果要在远程主机建立后门帐号,可以使用命令psexec \\ –u administrator –p “” net user abc abc /add 如果将本地文件拷贝到远程主机并执行过程中,远程主机存在同名文件,则使用-f选项 -i选项一般不使用,否则在本地执行的命令远程主机也能看到

12 项目问题2 -远程进程查、杀 入侵者对远程主机的彻底控制包括远程察看、杀死远程主机的进程。使用PSEXEC和Aproman可以实现这一过程
Aproman.exe –p:显示端口进程关联关系 Aproman.exe –t [PID]:杀掉指定进程号的进程 Aproman.exe –f [FileName] 把进程及模块信息存入文件

13 使用PSEXEC和Aproman查、杀进程
步骤一:将Aproman.exe拷贝到本机磁盘 步骤二:使用PSEXEC将Aproman.exe拷贝到目的主机并执行 步骤三:通过指定进程号杀死远程主机的进程。使用命令 psexec \\ –u administrator –p “” –d aproman –t 1280

14 使用pslist和pskill实现进程查杀
pslist.exe是命令行方式下远程查看进程的工具,其使用方法为: pslist [-t][-m][-x] \\computer [-u username][-p password] [name/pid] -t 显示线程 -m 显示内存细节 -x 显示进程、内存和线程 name 列出指定用户的进程 pid 显示指定PID的进程信息

15 使用pslist和pskill实现进程查杀
pskill.exe是命令行方式下远程杀进程的工具,其使用方式为:pskill \\computer [-u 用户名][进程号/进程名]

16 使用pslist和pskill查杀calc实例

17 远程执行命令总结 计划任务方式 获得帐号和密码 建立IPC$连接 开放计划任务服务 Telnet方式 开放telnet服务 去掉NTLM验证

18 远程执行命令总结 PSEXEC方式 获得帐号和密码 需要IPC$连接的支持 开放Server服务

19 项目问题3 -入侵注册表 在早期的DOS系统中,系统通过使用BAT文件来为DOS系统加载驱动程序。
Windwos3.x中,系统通过Win.ini、System.ini、Control.ini、program.ini等INI文件来保存操作系统的软、硬件的配置信息和驱动程序(INI文件最大64KB) 从Windows95开始,通过注册表,用户便可以轻易的添加、删除、修改系统内的软、硬件配置信息和驱动程序

20 开启远程主机的注册表 入侵者通过远程控制和入侵注册表需要的条件 建立IPC$连接 开启远程注册表服务

21 开启远程主机的注册表 开启远程注册表服务的过程如下: 建立IPC$连接 打开“计算机管理”,用“计算机管理”管理远程计算机

22 连接远程主机的注册表(一) 入侵者可以通过Windows自带的工具连接远程主机的注册表并进行修改。
步骤一:执行regedit来打开注册表编辑器 步骤二:建立IPC$连接 步骤三:连接远程主机注册表(选择“注册表”—”连接网络注册表”) 步骤四:断开网络注册表

23 注册表reg文件的编辑 入侵者除了使用注册表编辑器编辑注册表外,还可以通过手工倒入reg文件修改远程主机的注册表
reg文件是Windows系统中一种特定格式的文本文件,它是为注册表的信息编辑而设计的文件。 通过reg可以修改注册表的任意一项,但是通过网络连接珠册表编辑器一般只能看到三个根项

24 使用reg文件修改注册表实例 步骤一:打开记事本,然后编辑添加主键,在记事本中写入: REGEDIT4
[HKEY_CURRENT_USERS\Software\HACK]]

25 使用reg文件修改注册表实例 保存文件为test1.reg,双击该文件,便建立了HACK主键。

26 使用reg文件修改注册表实例 为HACK主键建立一个名字为“NAME”,类型为“DWORD”,值为“00000000”的键值项。
打开记事本,写入: REGEDIT4 [HKEY_CURRENT_USER\Software\HACK] “NAME”=dword: 保存为TEST2.REG文件,然后双击导入。

27 使用reg文件修改注册表实例 删除键值项 REGEDIT4 [HKEY_CURRENT_USER\Software\HACK]
“NAME”=- 删除主键 [-HKEY_CURRENT_USERS\Software\HACK]

28 命令行导入 上面实例中通过双击导入注册表,容易被远程主机管理员发现,因为每次导入都会有提示对话框

29 命令行导入 通过命令行倒入 使用专门的注册表导入工具 使用windows系统自带的导入工具 windows自带的导入工具使用命令:
regedit /s <reg文件> regedit是系统自带的命令,不使用任何工具。/s表示不需要询问,直接倒入

30 远程关机方法一 远程关机方法一 打开计算机管理(本地) 在控制台树中,右键单击“计算机管理”,然后单击“连接到另一台计算机”
在“选择计算机”对话框“名称”下,选择要重新启动或关闭的计算机,然后单击“确定”。 右键单击远程计算机“计算机管理”,然后选择“属性” 在“高级”选项卡上,单击“启动和故障恢复”中的“设置”按钮

31 远程关机方法一 远程关机方法一 单击“关闭”按钮,打开“关闭”对话框 在“操作”栏中,选择要在连接的计算机上执行的操作
在“强制应用程序关闭”栏中,选择关闭或重新启动计算机时是否强制关闭程序,然后单击“确定”按钮

32 远程关机方法二 使用Windows2003/XP中的shutdown命令远程关机。对于没有该命令的系统(如windows2000),可以将shutdown.exe工具拷贝到windows2000的系统文件夹,就可以使用了 shutdown经常使用的参数 s: 关闭计算机 r:重新启动计算机 m \\ip:指定被操作的远程计算机 t xx:指定多少时间后关闭或者重新启动计算机

33 远程关机方法二 使用shutdown关闭远程计算机,必须先建立IPC$连接,例如:shutdown –s –m\\ –t 00实现远程关闭。

34 总 结 完成本项目的学习之后,我们已经掌握了基于认证入侵的方法。具体内容如下: 掌握了执行远程命令的方法 掌握对远程进程查、杀的方法
能够入侵注册表

35 作 业 对学校网络进行考察,完成以下两个题目: 1.对本机房服务器执行远程命令? 2.查、杀远程机房服务器的进程
作 业 对学校网络进行考察,完成以下两个题目: 1.对本机房服务器执行远程命令? 2.查、杀远程机房服务器的进程 3.入侵远程机房服务器的注册表


Download ppt "学习情境二:网络的认证攻击与防范 项目3 远程命令的执行及注册表的入侵."

Similar presentations


Ads by Google