一、预备知识:网页木马
1、网页木马的工作方式
网页木马通常被人为植入Web服务器端的HTML页面中,目的在于向客户端传播恶意程序。网页木马的具体执行流程为:当客户端访问植入了木马的HTML页面时,它利用客户端浏览器及其插件存在的漏洞将恶意程序自动植入客户端。网页木马的表现形式是一个或一组有链接关系、含有(用VBScript、JavaScript等脚本语言编写的)恶意代码的HTML页面,恶意代码在该页面或者一组相关页面被客户端浏览器加载、渲染的过程中被执行,并利用浏览器及插件中的漏洞隐蔽地下载、安装、执行病毒或间谍软件等恶意可执行文件。
2、网页木马的典型攻击流程
网页攻击采用一种被动攻击方式,攻击者针对客户端浏览器及其插件存在地某个漏洞,事先构造了攻击页面,并发布到服务器上,被动地等待客户端来访问。具体流程如下图:
- Web客户端访问位于网页木马宿主站点上的攻击页面(包括木马程序的 Web页面),其中网页木马宿主站点上存放着攻击脚本或攻击页面(攻击程序所在的页面)。
- 服务器根据请求报文的要求,返回响应报文,将页面内容(包括有木马程序)返回给Web客户端。
- Web浏览器加载和渲染接收到的页面内容。此时,页面中包含的攻击代码在浏览器中被执行,并尝试进行漏洞利用。
- 在不存在特定漏洞的浏览器中会正常显示页面信息,而在存在被利用漏洞的浏览器中将执行木马程序。
- 网页木马攻击成功后,被攻击的 Web客户端根据攻击者事先编写程序中的地址,到提供恶意程序(计算机病毒、蠕虫等)的下载站点下载和安装恶意程序。
- 执行该恶意程序,实现最终的攻击目的。
二、实验环境
攻击机:win 7、灰鸽子客户端;
靶机:win xp、IceSword.
三、实验步骤
1、木马攻击实现
(1)打开“灰鸽子远程控制程序”,控制端界面如下:
(2)在客户端生成服务端程序。点击“配置服务程序”;
在“自动上线设置”界面——“IP通知http访问地址、DNS解析域名或固定IP”中输入攻击机的IP地址,再点击“启动项设置”;
在“启动项设置”中同时选中“Win98/2000/xp下写入注册表启动项”和“win2000/xp下优先安装成服务启动”复选框,并更改“显示名称”和“服务名称”(!!!这个服务名称后面要在靶机服务里面找,尽量记得)
在“高级选项”界面,配置进程的启动(!!!手动清除会在进程中杀死IEXPLORE.EXE进程)和隐藏方式,以及木马程序是否需要加壳处理(本实验不用加壳);
配置结束后,单击“生成服务器”按钮,提示配置成功。
(3)攻击机将生成的服务器程序(Server.exe)发给靶机,可以采用共享文件夹的方式;
(4)在靶机上双击运行Server.exe,然后攻击机上就会看到服务器以上线,可以看到硬盘分区情况;
(5)选择“远程控制命令”——“系统操作”——“系统信息”,可以看到如下信息:
(6)单击“捕获屏幕”图标,靶机的操作窗口将会显示在攻击机上;
(7)Telnet远程登录。攻击机可以在Telnet到靶机,对靶机进行配置操作;
2、灰鸽子的卸载
(1)攻击机上卸载,单击“卸载服务端”即可;
(2)靶机手动卸载;
1)找到灰鸽子服务端进程,然后将它终止。由于服务端进程隐藏了,因此在任务管理器中找不到,打开IceSword。本实验隐藏进程名为IEXPLORER.EXE,找到后,“右击”——“结束进程”。
此时,在攻击机上可见靶机下线;
2)由于仅仅结束进程是没用的,当重新开机启动时,灰鸽子的服务端进程又会重新启动,因此还需要将它的启动项删除。具体做法:“运行”——输入“services.msc”命令,在“服务”对话框中将windows power contro(就是你之前设置的服务名称)“停止”。
!!! 注:服务名称
3)将灰鸽子启动服务删除。选择“开始”——“运行”——“regedit",打开”注册表编辑器“,找到注册表项HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services,删除windows power control。
4)清除灰鸽子文件。从注册表中,可以看到,灰鸽子的文件路径C:\WINDOWS\Hacker.com.cn.exe,在IceSord中将其删除。
注:在本地中,即使将隐藏文件展示出来,貌似也找不到,所以,直接用IceSword。