《實驗11 腳本攻擊二》由會員分享,可在線閱讀,更多相關《實驗11 腳本攻擊二(22頁珍藏版)》請在裝配圖網(wǎng)上搜索。
1、單擊此處編輯母版標題樣式,單擊此處編輯母版文本樣式,第二級,第三級,第四級,第五級,*,單擊此處編輯母版標題樣式,單擊此處編輯母版文本樣式,第二級,第三級,第四級,第五級,*,腳本攻擊(,2,),實驗,5-5,利用腳本實現(xiàn)木馬與多媒體文件的綁定,網(wǎng)上很多資源,都是由兩個或多個文件綁定在一起的。在運行文件時,參與綁定的多個文件一起運行后,形成我們所要的資源。,同一類型的文件綁定:,開山文件合并器,不同類型的文件班綁定:,腳本,腳本,:使用描述性語言編寫的可,執(zhí)行文件。,實驗目的,掌握,VBS,腳本的基本編寫,掌握將腳本文件和,.ZIP,(,.RAR,)壓縮文件的自解壓特性相結合,實現(xiàn)將木馬和多媒
2、體文件的綁定。,實驗步驟,1.,將用來迷惑目標的素材壓縮成,123.rar,文件。,腳本,run.vbs,實驗步驟,2.,雙擊,123.rar,“自解壓格式”按鈕,“高級自解壓選項”,實驗步驟,解壓路徑:,解壓后運行:如圖,實驗步驟,全部隱藏,覆蓋所有文件,實驗步驟,實驗步驟,123.Exe,文件與,123.rar,在同一目錄下。,將,123.exe,改名為,123.mp3.exe,雙擊運行,123.rar,實驗小結,利用的是系統(tǒng)默認的一些,漏洞,實現(xiàn)腳本,文件和,.ZIP,(,.RAR,)壓縮文件的自解壓特性相結合,實現(xiàn)將木馬和多媒體文件的綁定,。,防御,:,1.,不要隱藏已知文件類型的擴展
3、名,2.,將,VBS,腳本類型刪除。,圖,實驗步驟,Administrator-000001F4,Guest-000003EE,圖,實驗,5-6,利用注冊表隱藏建立管理員賬號,在“計算機管理”和,DOS,命令行窗口查看不到新的賬戶信息,但自己的主機的確受遠程主機的控制,-,后門賬號,。,實驗目的,了解注冊表的權限設置,以及在注冊表中查看賬號、權限的方法。,實驗步驟,直接在虛擬機上實驗,1.,運行,net user hacker$1234/add,或直接手動添加,2.,運行,regedt32 HKEY_LOCAL_MACHINESAMSAM,右鍵權限,將,administrator,權限設為“完
4、全控制”。關閉注冊表,重新打開注冊表,展開,驗證,用,Guest,賬戶登錄系統(tǒng),建立其他用戶(管理員權限),在“計算機管理”中查看:,Guest,不屬于管理員組。,實驗,5-4,建立不死賬號,在,Windows,操作系統(tǒng)默認情況下,,Guest,是禁用的。但有時卻發(fā)現(xiàn),Guest,莫名其妙的被激活了,而更為奇怪的是,將該賬戶禁用后不久,,Guest,賬號又處于激活狀態(tài),即,Guest,成為不死賬號。,實驗步驟,實驗目的:,了解并掌握注冊表在賬號激活方面的作用。,實驗步驟,:,1.,在虛擬機上,實驗,2.,在,C,盤下建立,123.vbs,的文件,實驗步驟,3.,將,Guest,賬號的激活語句與,Cmd.exe,程序的運行關聯(lián)在一起。,雙擊:,HKEY_LOCAL_MACHINESOFTWAREMicrosoftCommand Processor,下的,AutoRun,將“數(shù)值數(shù)據(jù)”設為:,C:123.vbs,,關閉注冊表,圖,測試,運行,cmd.exe,,,guest,賬號即被激活。,黑客可以通過某個端口,將目標主機的,guest,賬號設為不死賬號。,防范,:,1.,常堅持,guest,賬號的狀態(tài),2.,檢查,注冊表,Autorun,下的值,