学习情境二:网络的认证攻击与防范 项目3 远程命令的执行及注册表的入侵.

Presentation on theme: "学习情境二:网络的认证攻击与防范 项目3 远程命令的执行及注册表的入侵."— Presentation transcript:

1 学习情境二:网络的认证攻击与防范 项目3 远程命令的执行及注册表的入侵

2 项目3 远程命令的执行及注册表的入侵 课题引入 远程命令的执行 远程进程查、杀 入侵注册表

3 课题引入－项目背景 基于认证入侵的方式 远程文件操作 远程屏幕检视 远程命令执行 远程进程管理 远程计算机管理 远程注册表修改 远程登录主机
获取认证密码

4 课题引入－项目分析 完成本项目需要解决的问题： 如何执行远程的命令 如何进行远程进程的查杀？ 入侵注册表需要注意哪些问题？

5 课题引入－教学目标 完成本项目需要实现的教学目标： 进行远程命令的执行（重点掌握） 对远程进程查、杀（重点掌握） 入侵注册表（掌握）

6 课题引入－应达到的职业能力 能够熟练掌握执行远程命令的方法 能够掌握远程进程查、杀的的方法 能够入侵注册表

7 项目问题1 －远程命令的执行 能够远程执行命令，也就完全控制了远程主机。使用Telnet执行远程命令就是其中一种主要方法。
使用工具PSEXEC可以不用Telnet实现远程命令的执行。 使用方法PSEXEC \\computer [-u user][-p password][-s][-i][-c][-f][-d] cmd [arguments]

8 项目问题1 － PSEXEC参数说明 -u 登陆远程主机的用户名 -p 登陆远程主机的密码 -i 与远程主机交互执行
-f 拷贝本地文件到远程主机系统目录并执 行，如果远程主机已经存在该文件，则覆盖 -d 不等待程序结束

9 PSEXEC使用实例一 通过PSEXEC实现与Telnet登录同样的功能
使用命令psexec \\ –u administrator –p “” cmd

10 PSEXEC使用实例二 使用PSEXEC，将本地可执行程序拷贝到远程主机执行

11 PSEXEC使用方式说明 如果要在远程主机建立后门帐号，可以使用命令psexec \\ –u administrator –p “” net user abc abc /add 如果将本地文件拷贝到远程主机并执行过程中，远程主机存在同名文件，则使用-f选项 -i选项一般不使用，否则在本地执行的命令远程主机也能看到

12 项目问题2 －远程进程查、杀 入侵者对远程主机的彻底控制包括远程察看、杀死远程主机的进程。使用PSEXEC和Aproman可以实现这一过程
Aproman.exe –p：显示端口进程关联关系 Aproman.exe –t [PID]：杀掉指定进程号的进程 Aproman.exe –f [FileName] 把进程及模块信息存入文件

13 使用PSEXEC和Aproman查、杀进程
步骤一：将Aproman.exe拷贝到本机磁盘 步骤二：使用PSEXEC将Aproman.exe拷贝到目的主机并执行 步骤三：通过指定进程号杀死远程主机的进程。使用命令 psexec \\ –u administrator –p “” –d aproman –t 1280

14 使用pslist和pskill实现进程查杀
pslist.exe是命令行方式下远程查看进程的工具，其使用方法为： pslist [-t][-m][-x] \\computer [-u username][-p password] [name/pid] -t 显示线程 -m 显示内存细节 -x 显示进程、内存和线程 name 列出指定用户的进程 pid 显示指定PID的进程信息

15 使用pslist和pskill实现进程查杀
pskill.exe是命令行方式下远程杀进程的工具，其使用方式为：pskill \\computer [-u 用户名][进程号/进程名]

16 使用pslist和pskill查杀calc实例

17 远程执行命令总结 计划任务方式 获得帐号和密码 建立IPC$连接 开放计划任务服务 Telnet方式 开放telnet服务 去掉NTLM验证

18 远程执行命令总结 PSEXEC方式 获得帐号和密码 需要IPC$连接的支持 开放Server服务

19 项目问题3 －入侵注册表 在早期的DOS系统中，系统通过使用BAT文件来为DOS系统加载驱动程序。
Windwos3.x中，系统通过Win.ini、System.ini、Control.ini、program.ini等INI文件来保存操作系统的软、硬件的配置信息和驱动程序（INI文件最大64KB） 从Windows95开始，通过注册表，用户便可以轻易的添加、删除、修改系统内的软、硬件配置信息和驱动程序

20 开启远程主机的注册表 入侵者通过远程控制和入侵注册表需要的条件 建立IPC$连接 开启远程注册表服务

21 开启远程主机的注册表 开启远程注册表服务的过程如下： 建立IPC$连接 打开“计算机管理”，用“计算机管理”管理远程计算机

22 连接远程主机的注册表（一） 入侵者可以通过Windows自带的工具连接远程主机的注册表并进行修改。
步骤一：执行regedit来打开注册表编辑器 步骤二：建立IPC$连接 步骤三：连接远程主机注册表（选择“注册表”—”连接网络注册表”） 步骤四：断开网络注册表

23 注册表reg文件的编辑 入侵者除了使用注册表编辑器编辑注册表外，还可以通过手工倒入reg文件修改远程主机的注册表
reg文件是Windows系统中一种特定格式的文本文件，它是为注册表的信息编辑而设计的文件。 通过reg可以修改注册表的任意一项，但是通过网络连接珠册表编辑器一般只能看到三个根项

24 使用reg文件修改注册表实例 步骤一：打开记事本，然后编辑添加主键，在记事本中写入： REGEDIT4
[HKEY_CURRENT_USERS\Software\HACK]]

25 使用reg文件修改注册表实例 保存文件为test1.reg，双击该文件，便建立了HACK主键。

26 使用reg文件修改注册表实例 为HACK主键建立一个名字为“NAME”，类型为“DWORD”，值为“00000000”的键值项。
打开记事本，写入： REGEDIT4 [HKEY_CURRENT_USER\Software\HACK] “NAME”=dword: 保存为TEST2.REG文件，然后双击导入。

27 使用reg文件修改注册表实例 删除键值项 REGEDIT4 [HKEY_CURRENT_USER\Software\HACK]
“NAME”=- 删除主键 [-HKEY_CURRENT_USERS\Software\HACK]

28 命令行导入 上面实例中通过双击导入注册表，容易被远程主机管理员发现，因为每次导入都会有提示对话框

29 命令行导入 通过命令行倒入 使用专门的注册表导入工具 使用windows系统自带的导入工具 windows自带的导入工具使用命令：
regedit /s <reg文件> regedit是系统自带的命令，不使用任何工具。/s表示不需要询问，直接倒入

30 远程关机方法一 远程关机方法一 打开计算机管理（本地） 在控制台树中，右键单击“计算机管理”，然后单击“连接到另一台计算机”
在“选择计算机”对话框“名称”下，选择要重新启动或关闭的计算机，然后单击“确定”。 右键单击远程计算机“计算机管理”，然后选择“属性” 在“高级”选项卡上，单击“启动和故障恢复”中的“设置”按钮

31 远程关机方法一 远程关机方法一 单击“关闭”按钮，打开“关闭”对话框 在“操作”栏中，选择要在连接的计算机上执行的操作
在“强制应用程序关闭”栏中，选择关闭或重新启动计算机时是否强制关闭程序，然后单击“确定”按钮

32 远程关机方法二 使用Windows2003/XP中的shutdown命令远程关机。对于没有该命令的系统（如windows2000），可以将shutdown.exe工具拷贝到windows2000的系统文件夹，就可以使用了 shutdown经常使用的参数 s: 关闭计算机 r：重新启动计算机 m \\ip：指定被操作的远程计算机 t xx：指定多少时间后关闭或者重新启动计算机

33 远程关机方法二 使用shutdown关闭远程计算机，必须先建立IPC$连接，例如：shutdown –s –m\\ –t 00实现远程关闭。

34 总 结 完成本项目的学习之后，我们已经掌握了基于认证入侵的方法。具体内容如下： 掌握了执行远程命令的方法 掌握对远程进程查、杀的方法
能够入侵注册表

35 作 业 对学校网络进行考察，完成以下两个题目： 1.对本机房服务器执行远程命令？ 2.查、杀远程机房服务器的进程
作 业 对学校网络进行考察，完成以下两个题目： 1.对本机房服务器执行远程命令？ 2.查、杀远程机房服务器的进程 3.入侵远程机房服务器的注册表