網(wǎng)絡安全實驗教程（第2版）全套教學課件

網(wǎng)絡安全實驗教程（第2版）1網(wǎng)絡安全實驗環(huán)境.pptx2信息收集.pptx3口令攻擊.pptx4軟件漏洞.pptx5Web應用攻擊.pptx6惡意代碼.pptx7內(nèi)部網(wǎng)絡滲透.pptx8假消息攻擊.pptx9訪問控制機制.pptx10防火墻.pptx11網(wǎng)絡安全監(jiān)控.pptx12網(wǎng)絡攻擊綜合實驗.pptx13網(wǎng)絡防御綜合實驗.pptx全套可編輯PPT課件第一章網(wǎng)絡安全實驗環(huán)境建議學時：2假消息攻擊目錄content虛擬化實驗環(huán)境的安裝與配置實驗11.1實驗設計1.2實驗步驟1.3

問題討論4虛擬化實驗環(huán)境的安裝與配置實驗實驗原理在開展網(wǎng)絡安全實驗時，可借助虛擬化技術(shù)在物理資源或資源池上生成多臺虛擬機，進而構(gòu)建出實驗所需網(wǎng)絡環(huán)境。網(wǎng)絡中的每臺虛擬機不但擁有自己的CPU、內(nèi)存、硬盤、光驅(qū)等，還可以互不干擾地運行不同的操作系統(tǒng)及上層應用軟件。本書所有實驗用虛擬機均以VMwareWorkstation16Player為例創(chuàng)建、管理，讀者也可選擇KVM、Hyper-V、VMwareWorkstaionPro等其它虛擬化軟件完成。實驗目的掌握虛擬主機的創(chuàng)建和資源配置方法，掌握虛擬操作系統(tǒng)網(wǎng)絡配置方法，深入了解網(wǎng)絡安全實驗環(huán)境的構(gòu)建。51.1實驗設計實驗方法實驗環(huán)境及工具在主機上安裝虛擬化軟件VMwareWorkstationPlayer，在此基礎(chǔ)上創(chuàng)建Windows10靶機和KaliLinux攻擊機，并對其進行系統(tǒng)配置和網(wǎng)絡配置，構(gòu)建網(wǎng)絡安全基礎(chǔ)實驗環(huán)境。宿主機：中央處理器即CPUi7以上，內(nèi)存空間至少4GB，建議8G以上，空閑磁盤存儲空間至少32GB，建議64GB以上，操作系統(tǒng)Windows10或Windows7。VMwareWorkstation16Player：主機用虛擬化軟件Windows10安裝鏡像KaliLinux2021鏡像61.2實驗步驟虛擬化軟件VMwareWorkstationPlayer的安裝運行VM，創(chuàng)建Windows10靶機，按流程安裝操作系統(tǒng)創(chuàng)建KaliLinux攻擊機，按流程安裝操作系統(tǒng)虛擬機操作系統(tǒng)進行主機資源配置和網(wǎng)絡配置網(wǎng)絡連通性驗證010203040571.3問題討論1、在網(wǎng)絡安全實驗中，通常需要保留靶機系統(tǒng)中存在的安全漏洞。Windows10操作系統(tǒng)默認安裝采用了強制自動更新的安全策略，請嘗試永久關(guān)閉Windows10操作系統(tǒng)的自動更新機制。2、在1.3節(jié)的實驗中，我們通過在Windows10靶機中使用Ping命令，測試了靶機與虛擬機之間的連通性。請嘗試在KaliLinux攻擊機使用Ping命令訪問Windows10靶機，并與實驗1.3進行比較，分析實驗結(jié)果產(chǎn)生的原因。3、在1.3節(jié)的實驗中，我們利用VMnet8（NAT）虛擬網(wǎng)絡的DHCP服務器實現(xiàn)了虛擬機操作系統(tǒng)的IP地址自動分配。請手工修改Windows10靶機和KaliLinux攻擊機的IP地址設置，并保持兩臺主機之間的連通性。附錄工具資源VMwareWorkstation16Player：

https:///softs/745394.html

Windows10安裝鏡像：

/?bd_vid=8724724393225576109

KaliLinux2021鏡像：

/get-kali/#kali-platforms

第二章信息收集建議學時：4假消息攻擊目錄content主機在線狀態(tài)掃描實驗2公開信息收集實驗1主機操作系統(tǒng)類型探測和端口掃描實驗3漏洞掃描實驗4111公開信息收集實驗實驗原理公開信息挖掘是指在Internet上對目標組織和個人的大量公開或意外泄露的信息進行挖掘。目標的真實IP地址、域名和子域名、DNS服務器、組織架構(gòu)和人力資源等，都是公開信息挖掘的內(nèi)容。實驗目的掌握利用公開信息服務收集目標系統(tǒng)信息的原理和方法，了解互聯(lián)網(wǎng)中哪些公開的信息可能給攻擊者帶來便利。121.1實驗設計BingWhoisnslookup/dnsreconLayer子域名挖掘機4.2實驗方法實驗工具實驗在能夠連接互聯(lián)網(wǎng)的主機上進行，并以電子工業(yè)出版社的網(wǎng)站作為目標示例。實驗環(huán)境使用Bing等搜索引擎查詢并訪問目標網(wǎng)站，收集可能會對網(wǎng)站帶來危害的公開信息；使用Whois服務查詢網(wǎng)站的域名注冊信息；查詢目標域名解析服務器獲得目標的子域名。131.2實驗步驟利用搜索引擎獲得目標網(wǎng)站域名從網(wǎng)站中獲得公開信息Whois查詢服務獲得網(wǎng)站的域名注冊信息nslookup/dnsrecon工具獲得網(wǎng)站的域名配置信息通過Layer工具獲得目標網(wǎng)站子域名信息0102030405141.3問題討論1、公開信息收集實驗中列舉了多種獲取公開信息的渠道，如果想將這些信息進行隱匿，同時又能達到宣傳自己的目的，有什么好的方法和手段？152主機在線狀態(tài)掃描實驗實驗原理ARP掃描通過向子網(wǎng)內(nèi)每臺主機發(fā)送ARP請求包的方式，若收到ARP響應包，則認為相應主機在線。由于ARP協(xié)議在只在局域網(wǎng)內(nèi)有效，因此該方法只適用于攻擊者和目標位于同一局域網(wǎng)段。與ARP主機掃描相比，ICMP主機掃描沒有局域網(wǎng)的限制，攻擊者只要向目標主機發(fā)送ICMP請求報文，若收到相應的ICMP響應報文則可認為該目標在線。由于ICMP主機掃描常被用于攻擊者進行主機探測，因此幾乎所有應用防火墻都會對ICMP的請求報文進行過濾。實驗目的加深對主機在線狀態(tài)掃描原理的認識，具備利用Nmap掃描程序進行主機在線狀態(tài)掃描和利用Wireshark程序進行數(shù)據(jù)包分析的能力。162.1實驗設計Nmap7.91：掃描工具，本實驗使用Windows平臺下的版本W(wǎng)ireshark3.4.9：免費的網(wǎng)絡數(shù)據(jù)包分析工具實驗方法實驗工具使用Nmap完成對目標網(wǎng)絡中在線主機的掃描，并通過Wireshark捕獲掃描數(shù)據(jù)包，驗證ARP主機掃描和ICMP主機掃描技術(shù)，理解防火墻防止掃描探測的重要作用。實驗環(huán)境虛擬機1為目標主機，其操作系統(tǒng)為Windows10。虛擬機2為目標主機，其操作系統(tǒng)為Ubuntu系統(tǒng)。虛擬機3為攻擊主機，其操作系統(tǒng)為Windows10。2.1實驗設計182.2實驗步驟安裝Wireshark和Nmap，運行并正確設置Wireshark主機ARP掃描Wireshark設置Filter為ARP報文使用Nmap對目標網(wǎng)絡進行ARP掃描探測查看并分析嗅探結(jié)果主機ICMP掃描Wireshark設置Filter為ICMP報文使用Ping對目標主機進行ICMP掃描查看并分析嗅探結(jié)果010203192.3問題討論1、主機在線掃描探測實驗中介紹了利用ICMP協(xié)議和ARP協(xié)議兩種掃描探測手段，它們各自的適用范圍有什么不同？有什么方法能夠防止掃描探測？2、主機操作系統(tǒng)和端口掃描實驗中將目標主機的防火墻設置為關(guān)閉，如果開啟防火墻，對于掃描結(jié)果會有何影響？還有什么繞過防火墻的探測方法嗎？203主機操作系統(tǒng)類型探測和端口掃描實驗實驗原理端口掃描基本方法是向目標機器的各個端口發(fā)送連接的請求，根據(jù)返回的響應信息，判斷是否開放了某個端口，從而得到目標主機開放和關(guān)閉的端口列表，了解主機運行的服務功能，進一步整理和分析這些服務可能存在的漏洞；而服務程序的旗標信息常常也會泄露服務程序或操作系統(tǒng)的類型和版本。此外，攻擊者還可以利用不同的操作系統(tǒng)在實現(xiàn)TCP/IP協(xié)議棧時存在的細節(jié)上的差異，即TCP/IP協(xié)議棧指紋進行操作系統(tǒng)識別?；赥CP/IP協(xié)議棧指紋的方法是目前操作系統(tǒng)類型探測最為準確的一種方法。實驗目的加深對操作系統(tǒng)類型探測和端口掃描原理的認識，掌握使用Nmap進行操作系統(tǒng)類型探測和端口掃描的方法。213.1實驗設計Nmap7.91Wireshark3.4.9實驗方法實驗工具同2.4節(jié)。本實驗需進一步配置Windows10系統(tǒng)的目標主機，關(guān)閉主機防火墻。實驗環(huán)境使用Nmap完成對主機操作系統(tǒng)類型的探測和端口的掃描，并通過Wireshark捕獲掃描數(shù)據(jù)包，驗證Nmap所使用的SYN掃描技術(shù)。223.2實驗步驟配置Wireshark，使Wireshark僅捕獲攻擊機與目標機的數(shù)據(jù)包使用Nmap對目標主機進行SYN端口掃描查看并分析嗅探結(jié)果，分析TCPSYN的掃描過程使用Nmap對目標系統(tǒng)進行操作系統(tǒng)類型探測01020304234漏洞掃描實驗實驗原理目前的漏洞掃描程序主要分為專用漏洞掃描與通用漏洞掃描兩大類。專用漏洞掃描程序主要用于對特定漏洞的掃描，如WebDav漏洞掃描程序。通用漏洞掃描程序具有可更新的漏洞特征數(shù)據(jù)庫，可對絕大多數(shù)的已知漏洞進行掃描探測，如Nessus、Nmap等。實驗目的加深漏洞掃描原理認識，具備使用Nmap進行漏洞掃描和分析評估的能力。244.1實驗設計Nmap7.91實驗方法實驗工具采用Nmap完成對目標主機的綜合掃描，獲取目標主機的主機信息及漏洞情況。實驗環(huán)境虛擬機1為目標主機，其操作系統(tǒng)為Windows10，64位。虛擬機2為攻擊主機，其操作系統(tǒng)為KaliLinux系統(tǒng)。4.1實驗設計264.2實驗步驟查看Nmap的漏洞掃描庫，查看其支持掃描的漏洞類型選擇Nmap默認的漏洞庫進行漏洞掃描查看掃描報告010203274.3問題討論1、除了Nmap掃描工具以外，OpenVAS也是被廣泛使用的開源漏洞掃描框架，請查閱相關(guān)資料，自行完成OpenVAS的搭建和使用實驗。附錄工具資源Bing：

/

Whois：

/

dnsrecon：Kali默認安裝Nmap7.91：

/dist/

Wireshark3.4.9：

/download.html

第三章口令攻擊建議學時：4假消息攻擊目錄content使用彩虹表進行口令破解2

Windows系統(tǒng)環(huán)境下的口令破解實驗1Linux系統(tǒng)環(huán)境下的口令破解實驗3遠程服務器的口令破解4311Windows系統(tǒng)環(huán)境下的口令破解實驗實驗原理Windows操作系統(tǒng)使用本地安全認證（LSA）機制進行登錄用戶和口令的管理，一般通過lsass.exe、winlogon.exe等進程以及注冊表實現(xiàn)具體功能。在用戶登錄時，LSA記錄用戶的各項數(shù)據(jù)，包括口令散列、賬戶安全標志（SID）、隱私數(shù)據(jù)等。因此要破解Windows口令，可以通過三個步驟來實現(xiàn)，首先提高自身權(quán)限保證能夠訪問LSA相關(guān)數(shù)據(jù)，接著導出lsass進程內(nèi)存并搜索其中的口令散列，最后通過工具破解出口令。實驗目的掌握Windows系統(tǒng)環(huán)境下登錄用戶口令散列的提取方法，掌握使用LC5進行口令破解的過程，理解口令設置復雜度原則的必要性。321.1實驗設計mimikatz2.2.0：一款強大的內(nèi)網(wǎng)滲透工具，提取系統(tǒng)登錄用戶的口令散列值是它的功能之一，在特定條件下甚至可以直接獲取登錄用戶的口令明文。L0phtCrackv5.04：一款口令破解工具。實驗方法實驗工具實驗在單機環(huán)境下完成，其操作系統(tǒng)為Windows10，64位。實驗環(huán)境模擬攻擊者在已經(jīng)獲得Windows系統(tǒng)管理員權(quán)限的情況下，使用mimikatz和LC5完成本地登錄用戶的口令破解的過程。331.2實驗步驟修改登錄用戶口令，用新的口令完成登錄用mimikatz導出口令散列安裝并運行LC5軟件，加載破解目標選擇破解方法，選擇“暴力破解”方式進行口令破解應用設置開始破解，觀察破解口令所需的時間修改注冊表Windows安全登錄功能，使口令的明文相關(guān)信息保存在Winlogon進程中再次使用mimikatz獲取口令信息，能夠直接獲取口令明文設置Windows系統(tǒng)環(huán)境下的口令策略設置不同的口令重復實驗010203040506070908341.3問題討論1、請使用HashCat工具對NTLM散列進行破解，并觀察它與LC5破解速度的差異。2、請使用Python、Java、C++等編程語言編寫口令破解工具，完成對NTLM散列的破解；并與LC5或HashCat等工具進行對比和改進。352使用彩虹表進行口令破解實驗原理彩虹表（RainbowTable）

，為破解密碼的散列值而預先計算好的表。Ophcrack是基于GPL下發(fā)布的開源程序，可以從SAM文件中提取口令散列，同時支持口令LM散列和NTLM散列破解。使用彩虹表技術(shù)破解口令散列，其破解時間與破解的成功率與彩虹表有著很大的關(guān)系。實驗目的掌握彩虹表破解工具的使用，驗證彩虹表破解的快速性；掌握使用Ophcrack工具進行口令提取、散列表加載和口令破解的方法。362.1實驗設計Ophcrack2.3：使用彩虹表破解Windows系統(tǒng)環(huán)境下的口令散列的程序?qū)嶒灧椒▽嶒灩ぞ邔嶒炘趩螜C環(huán)境下完成，其操作系統(tǒng)為Windows10，64位。實驗環(huán)境本實驗通過使用開源彩虹表工具Ophcrack對Windows系統(tǒng)環(huán)境下的口令散列進行破解測試。372.2實驗步驟修改登錄用戶口令，通過mimikatz獲取口令散列安裝并運行Ophrack，將彩虹表文件vista_proba_free.zip解壓到安裝目錄加載口令散列用彩虹表進行口令破解設置不同位數(shù)和字符集的口令，記錄并比較口令破解的時間0102030405383Linux系統(tǒng)環(huán)境下的口令破解實驗實驗原理Linux系統(tǒng)用戶的口令加密后保存在/etc/passwd文件中，該文件記錄了系統(tǒng)中所有用戶的用戶名、加密口令、用戶ID、組ID等信息。passwd文件是所有用戶都可讀的，為防止攻擊者讀取文件中的加密口令并進行破解，Linux在默認安裝時采用shadow機制，即將passwd文件中加密口令提取出來存儲在/etc/shadow文件中，只有超級用戶才擁有該文件讀權(quán)限。因此破解Linux口令需要以超級用戶權(quán)限讀取passwd和shadow文件，獲得其中的加密口令，再通過工具破解出明文口令。實驗目的掌握Linux口令散列的提取方法，掌握使用JohntheRipper進行口令提取的過程。393.1實驗設計JohntheRipper：一個免費開源的口令破解工具軟件，用于在已知密文的情況下嘗試破解出明文。實驗方法實驗工具實驗在單機環(huán)境下完成，使用Ubuntu21.04系統(tǒng)靶機。實驗環(huán)境使用JohntheRipper完成對Linux系統(tǒng)口令散列的破解。403.2實驗步驟添加測試用戶，更新為8位的數(shù)字口令下載安裝JohntheRipper執(zhí)行“sudocat/etc/shadow”命令，查看要破解的test用戶的口令散列并保存使用john工具執(zhí)行命令破解口令散列將測試口令改為較長、較復雜的口令，進行破解測試，觀察破解時間0102030405414遠程服務器的口令破解實驗原理針對口令傳輸?shù)墓舭诹钚崽健㈡I盤記錄、網(wǎng)絡釣魚、重放攻擊等方法，其一般思路是在口令傳遞的過程中截獲有關(guān)的信息并進行破解還原。實驗目的掌握對遠程服務器口令的字典破解方法，掌握通過查看日志發(fā)現(xiàn)攻擊的方法。424.1實驗設計FileZilla：開源的FTP軟件，有客戶端FileZillaClient和服務器FileZillaServer兩個版本Ftpscan：基于命令行的FTP弱口令掃描小工具，速度快，使用簡單實驗方法實驗工具搭建FTP服務器，利用遠程口令枚舉工具進行字典破解，并通過配置服務器進行日志記錄，利用日志分析口令枚舉過程。實驗環(huán)境虛擬機1為目標主機，其操作系統(tǒng)為Windows10，64位。虛擬機2為攻擊主機，其操作系統(tǒng)為Windows10，64位。4.1實驗設計444.2實驗步驟安裝FileZillaFTP服務器添加測試用戶并輸入測試口令攻擊機上配置ftpscan工具的破解字典針對FileZillaFTP服務器進行在線口令破解在FileZillaFTP服務器，配置日志記錄選項再次從攻擊機進行口令破解嘗試，打開FTP服務器的日志文件，可以看到大量的來自同一IP地址的連接嘗試記錄010203040506454.3問題討論1、進行FileZillaFTP服務器口令遠程破解的同時，請使用Wireshark嗅探器，在同一網(wǎng)段進行監(jiān)聽，以分析FTP協(xié)議格式，查看用戶名和口令是否通過明文發(fā)送。2、請編程實現(xiàn)FTP口令破解工具，完成對FTP服務器口令的破解。附錄工具資源mimikatz2.2.0：

/soft/203833.html/L0phtCrackv5.04：

/soft/580515.htm

Ophcrack2.3：

https://ophcrack.sourceforge.io/download.php?type=ophcrack

/projects/ophcrack/files/ophcrack/2.3.4/

JohntheRipper：Kali默認安裝FileZilla0.9.4：

/mis/bbs/showapp.asp?id=13367

/soft/253536.html第四章二進制軟件漏洞建議學時：6假消息攻擊目錄content整型溢出實驗2棧溢出實驗1UAF漏洞實驗3格式化字符串溢出實驗4棧溢出利用實驗5491棧溢出實驗實驗原理棧是一塊連續(xù)的內(nèi)存空間，用來保存程序和函數(shù)執(zhí)行過程中的臨時數(shù)據(jù)，這些數(shù)據(jù)包括局部變量、類、傳入/傳出參數(shù)、返回地址等。棧的增長方向與內(nèi)存的增長方向相反。棧溢出指的是向棧中的某個局部變量存放數(shù)據(jù)時，數(shù)據(jù)的大小超出了該變量預設的空間大小，導致該變量之后的數(shù)據(jù)被覆蓋破壞。由于溢出發(fā)生在棧中，所以被稱為棧溢出。實驗目的了解棧的內(nèi)存布局和工作過程，掌握棧溢出原理。501.1實驗設計OllyDbg：一款動態(tài)調(diào)試工具。OllyDbg將IDA與SoftICE的功能結(jié)合起來，是Ring3級調(diào)試器，非常容易上手掌握。VisualStudio2013：微軟推出的一款編程開發(fā)工具集，包括C++、C#、VisualBasic

等編程語言的編譯環(huán)境實驗方法實驗工具實驗在單機環(huán)境下完成，其操作系統(tǒng)為Windows10，64位。實驗環(huán)境通過調(diào)試器跟蹤棧溢出發(fā)生的整個過程，繪制溢出過程中棧的變化圖，驗證和掌握棧溢出原理。511.2實驗步驟安裝VisualStudio2013與OllyDbg工具，新建項目，按要求配置修改項目屬性編譯運行給定代碼，編譯成Release版的可執(zhí)行文件使用OllyDbg加載編譯生成的可執(zhí)行文件同時輸入?yún)?shù)，進入調(diào)試狀態(tài)在main函數(shù)的起始位置設置斷點，以便觀察參數(shù)入棧觀察name變量緩沖區(qū)，main函數(shù)的返回地址00401241在name變量下方單步步過strcpy函數(shù)，觀察棧內(nèi)變化，由于參數(shù)長度過長，導致順著內(nèi)存生長方向繼續(xù)復制a，最終原EBP的值和main函數(shù)返回地址都被a覆蓋，造成了緩沖區(qū)溢出繼續(xù)單步運行到ret指令，返回地址已被覆蓋為0x61616161，繼續(xù)運行調(diào)試器報錯01020304050607522整型溢出實驗實驗原理整數(shù)類型包括長整型、整型和短整型，其中每一類又分為有符號和無符號兩種類型。如果程序沒有正確的處理整型數(shù)的表達范圍、符號或者運算結(jié)果時，就會發(fā)生整型溢出問題。整型溢出一般分為寬度溢出、符號溢出、運算溢出。實驗目的掌握整型溢出的原理，了解寬度溢出和符號溢出的發(fā)生過程。532.1實驗設計VisualStudio2013實驗方法實驗工具實驗在單機環(huán)境下完成，其操作系統(tǒng)為Windows10，64位。實驗環(huán)境使用VisualStudio的源碼調(diào)試功能，跟蹤發(fā)生寬度溢出和符號溢出的全過程，嘗試不同的程序輸入，并跟蹤變量和內(nèi)存的變化，以觀察不同整型溢出的原理。542.2實驗步驟--寬度溢出將整型寬度溢出代碼編譯成debug版的t1.exe使用VisualStudio調(diào)試t1.exe，參數(shù)欄填入“100aaaaaaaaaaaaaaaa”直接運行程序，由于參數(shù)i的值大于10，不能通過條件判斷修改參數(shù)，參數(shù)欄修改為“65537aaaaaaaaaaaaaaaa”，并在第7行設置斷點重新調(diào)試，單步運行程序，觀察界面下方的自動窗口此時i=65537。再次單步運行1次，此時s=1，“i”的高位被截斷了，發(fā)生了整型寬度溢出繼續(xù)運行程序，由于s的值小于10，通過了條件判斷，進入到memcpy函數(shù)，復制的長度遠大于緩沖區(qū)的值10，導致緩沖區(qū)溢出，程序最終提示出錯010203040506552.2實驗步驟--符號溢出將整型符號溢出代碼編譯成debug版的t2.exe使用VisualStudio調(diào)試t2.exe，在參數(shù)欄填入“1000aaaaaaaaaaaaaaaa”直接運行程序，由于參數(shù)i的值為1000，大于限定size=800，不能通過條件判斷修改參數(shù)，參數(shù)欄修改為“-1aaaaaaaaaaaaaaaa”，并在第6行設置斷點重新調(diào)試，單步運行程序，觀察界面下方的自動窗口此時len=-1，而size=800繼續(xù)運行程序，len通過了條件檢查，進入到memcpy函數(shù)，len作為無符號數(shù)對待，由此發(fā)生整型符號溢出錯誤。此時len=0xffffffff（即4294967295），遠大于目的緩沖區(qū)kbuf的值800，繼續(xù)運行發(fā)生錯誤010203040506563UAF漏洞實驗實驗原理UAF漏洞是目前較為常見的漏洞形式，它指的是由于程序邏輯錯誤，將已釋放的內(nèi)存當做未釋放的內(nèi)存使用而導致的問題，多存在于InternetExplorer等使用了腳本解釋器的瀏覽器軟件中，因為在腳本運行過程中內(nèi)部邏輯復雜，容易在對象的引用計數(shù)等方面產(chǎn)生錯誤，導致使用已釋放的對象。實驗目的掌握UAF漏洞的原理，了解UAF漏洞的發(fā)生過程。573.1實驗設計VisualStudio2013實驗方法實驗工具實驗在單機環(huán)境下完成，其操作系統(tǒng)為Windows10，64位。實驗環(huán)境使用VisualStudio的源碼調(diào)試功能，觀察內(nèi)存塊p1的創(chuàng)建和釋放過程，并觀察內(nèi)存塊p1釋放后再次使用的情況，以了解UAF漏洞的原理。583.2實驗步驟新建項目，按要求配置修改項目屬性，將UAF實驗程序編譯成debug版UAF.exe使用VS調(diào)試UAF.exe，參數(shù)欄填入30個’a’并在在第16行設置斷點調(diào)試程序，p1分配地址0x011873c0，p1->func的值未初始化。單步執(zhí)行，p1->func的值為myfunc函數(shù)的地址0x000c1073單步到第20行，p1的地址已被釋放但仍指向0x011873c0，其數(shù)據(jù)被0xfeeefeee覆蓋單步執(zhí)行1次，內(nèi)存塊p2分配地址0x011873c0與p1的地址一樣。單步執(zhí)行1次，30個’a’被復制到p2指向的內(nèi)存中，同時p1->func的地址也被修改為0x61616161再次單步執(zhí)行，由于p2與p1地址指向同一塊內(nèi)存，且該內(nèi)存的內(nèi)容已被修改，當調(diào)用已釋放的func函數(shù)時，程序出錯崩潰，指令地址指向0x61616161010203040506593.3問題討論1、在4.5節(jié)UAF漏洞實驗中，內(nèi)存塊p2的地址正好與內(nèi)存塊p1的地址重合，導致了UAF漏洞。請實驗證明在什么情況下內(nèi)存塊p2的地址不會與內(nèi)存塊p1的地址重合。604格式化字符串溢出實驗實驗原理格式化字符串溢出常見于Linux系統(tǒng)中，它指的是在使用printf等函數(shù)的特殊的格式化參數(shù)“%n”時，沒有給它指定正確的變量地址，導致該參數(shù)在往變量地址寫數(shù)據(jù)時，由于地址不正確導致寫內(nèi)存錯誤，或?qū)е鹿粽呖梢詫⑷我鈹?shù)據(jù)寫到指定的內(nèi)存位置，形成任意代碼執(zhí)行的后果。實驗目的掌握格式化字符串溢出的原理，了解格式化字符串溢出的發(fā)生過程。614.1實驗設計VisualStudio2013OllyDbg實驗方法實驗工具實驗在單機環(huán)境下完成，其操作系統(tǒng)為Windows10，64位。實驗環(huán)境使用調(diào)試器跟蹤格式化字符串溢出發(fā)生的整個過程，分析程序出錯的原因。驗證和掌握格式化字符串溢出原理。624.2實驗步驟將給定實驗程序編譯成debug版print.exe直接運行程序，程序出錯，同時可見num變量由初始值0修改為26，即當前打印字符的個數(shù)OllyDbg加載print.exe，參數(shù)填入“abcd%n”進入調(diào)試狀態(tài)，單步運行至call指令。觀察右下角的棧窗口，printf函數(shù)的輸入?yún)?shù)為“abcd%n”，即之前設置的程序輸入?yún)?shù)單步執(zhí)行，程序出錯。觀察右邊的寄存器窗口，發(fā)現(xiàn)此時eax值為4，而edx值為0087110E，edx指向的內(nèi)存不可寫，所以產(chǎn)生寫內(nèi)存錯誤0102030405634.3問題討論1、在格式化字符串溢出實驗中，思考：函數(shù)輸入?yún)?shù)與棧的關(guān)系、%n的作用、%n如何寫變量，并分析為什么程序出錯時eax值為4，edx的值是一個不可寫的內(nèi)存地址。2、程序輸入“%n”導致程序發(fā)生了錯誤，請思考如何通過控制程序輸入來將數(shù)據(jù)寫入到指定的內(nèi)存地址中。645棧溢出利用實驗實驗原理通過覆蓋函數(shù)返回地址來控制程序流程是棧溢出最常見的利用技術(shù)。函數(shù)返回地址處于棧中較高內(nèi)存的位置，很容易被超長的局部變量所覆蓋，程序最終執(zhí)行至被覆蓋的地址處指令時發(fā)生錯誤。由于該地址來自局部變量，而局部變量又來自用戶輸入即程序參數(shù)，因此只需要修改程序參數(shù)就可以控制程序的流程。實驗目的了解通過覆蓋函數(shù)返回地址進行棧溢出利用的原理，掌握利用棧溢出漏洞啟動計算器程序的方法，模擬利用漏洞啟動惡意軟件的效果。655.1實驗設計VisualStudio2013OllyDbg實驗方法實驗工具實驗在單機環(huán)境下完成，其操作系統(tǒng)為Windows10，64位。實驗環(huán)境使用OllyDbg跟蹤棧溢出利用的全過程，通過觀察棧溢出中函數(shù)返回地址被覆蓋后的后續(xù)流程，分析過程中輸入文件和棧內(nèi)容的變化情況，了解和掌握通過覆蓋返回地址進行緩沖區(qū)溢出利用的技術(shù)。665.2實驗步驟編譯給定程序，在readfile\Release目錄下新建input文件，內(nèi)容按實驗教程進行修改OllyDbg加載readfile.exe，進入調(diào)試狀態(tài)，直接運行程序出錯，提示內(nèi)存地址34333231不可讀OllyDbg中查看可執(zhí)行模塊，定位system函數(shù)在內(nèi)存的位置（6CA408C2）并設置斷點用UE編輯input文件，將31、32、33、34分別改為C2、08、A4、6C，即system地址的倒序Input文件”cdaaaaaa”8個字符修改為”cacl.exe”，并將后面1個字節(jié)修改為16進制的0重新調(diào)試，運行到斷點，”cacl.exe”所在的地址為0019FF50。UE打開input文件”90ab”4個字符修改為16進制的50、FF、19、00再次重新調(diào)試運行到斷點，觀察棧內(nèi)容窗口，system函數(shù)的輸入?yún)?shù)和命令字符串已準備就緒，繼續(xù)運行，彈出計算器程序，漏洞利用成功01020304050607675.3問題討論1、在4.7節(jié)棧溢出利用實驗中，關(guān)閉了VisualStudio的哪些安全防護措施？如果不關(guān)閉這些措施，實驗會有什么結(jié)果？請通過實驗逐個驗證這些防護措施的作用。附錄工具資源VisualStudio2013：

/zh-hans/vs/older-downloads/

https:///soft/1226121.htm

https:///pcsoft/yingyong/34316.html

OllyDbg：

http://www.ollydbg.de/

https:///soft/43009.htm（漢化版）

http:///downinfo/67902.html（漢化版）第五章Web應用攻擊建議學時：4假消息攻擊目錄contentSQL注入實驗2XSS跨站腳本實驗1文件上傳漏洞實驗3跨站請求偽造實驗4711XSS跨站腳本實驗實驗原理XSS跨站腳本攻擊的目標是瀏覽器端程序，其利用Web應用對用戶輸入內(nèi)容過濾不足的漏洞，在Web頁面中插入惡意代碼，當用戶瀏覽該頁面時，嵌入其中的惡意代碼就會被執(zhí)行，從而帶來危害，如竊取用戶Cookie信息、盜取賬戶信息、劫持用戶會話、給網(wǎng)頁掛馬、傳播蠕蟲等。XSS跨站腳本攻擊包括三種類型：反射型XSS、存儲型XSS和DOM型XSS。實驗目的理解XSS跨站腳本攻擊的原理，掌握XSS跨站腳本攻擊的基本方法。721.1實驗設計WampserverApache2.4.×PHP5.6.×MySQL5.7.×教學管理模擬系統(tǒng)tms2021實驗方法實驗工具實驗在單機環(huán)境下完成，其操作系統(tǒng)為Windows10，64位。實驗環(huán)境通過瀏覽器訪問存在漏洞的頁面，構(gòu)造XSS跨站攻擊腳本觸發(fā)漏洞，驗證和掌握XSS跨站腳本攻擊原理。731.2實驗步驟安裝配置wampserver，按照實驗教程選擇Apache、

PHP、

MySQL對應版本安裝配置教學管理模擬系統(tǒng)，可以正常訪問學號/工號查詢功能處輸入“<script>alert(1);</script>”，出現(xiàn)彈框，實現(xiàn)XSS跨站腳本攻擊學生用戶在課程評價功能處輸入“<script>alert(1);</script>”，發(fā)現(xiàn)關(guān)鍵字過濾防護輸入攻擊代碼“<SCRIPT>alert(1);</SCRIPT>”進行繞過，出現(xiàn)彈框，實現(xiàn)XSS跨站腳本攻擊切換其他學生，進入課程評價，同樣出現(xiàn)彈框，表明這里是存儲型XSS跨站腳本攻擊010203040506742SQL注入實驗實驗原理SQL注入攻擊一般針對服務器端的數(shù)據(jù)庫，其利用Web應用程序?qū)斎氪a過濾不足的漏洞，使用戶輸入影響SQL查詢語句的語義，從而帶來危害，如繞過系統(tǒng)的身份驗證、獲取數(shù)據(jù)庫中數(shù)據(jù)及執(zhí)行命令等。一般Web應用會根據(jù)用戶請求，通過執(zhí)行SQL語句從數(shù)據(jù)庫中提取相應數(shù)據(jù)生成動態(tài)網(wǎng)頁并返回給用戶。在執(zhí)行SQL查詢功能時，如果輸入內(nèi)容引起SQL語句語義的變化，那么SQL語句的執(zhí)行效果會發(fā)生改變從而產(chǎn)生攻擊。實驗目的理解SQL注入攻擊的基本原理，掌握SQL注入攻擊的基本方法。752.1實驗設計Wampserver教學管理模擬系統(tǒng)

tms2021SQLMAP：一款基于Python開發(fā)的開源SQL注入攻擊工具，可從其官網(wǎng)下載最新版本。在使用SQLMAP前，需要安裝Python運行環(huán)境實驗方法實驗工具實驗在單機環(huán)境下完成，其操作系統(tǒng)為Windows10，64位。實驗環(huán)境通過瀏覽器訪問存在漏洞的頁面，構(gòu)造SQL注入攻擊腳本觸發(fā)漏洞，驗證和掌握SQL注入攻擊原理。使用SQLMAP重復攻擊過程，了解和掌握SQLMAP的原理與使用。762.2實驗步驟安裝SQLMAP學號/工號查詢功能處輸入“a’or

‘a(chǎn)’=‘a(chǎn)’

--”，獲取teachers和students兩個表格中的全部信息，發(fā)生了SQL注入攻擊利用SQLMAP工具實現(xiàn)學號/工號查詢功能的SQL注入攻擊過程的自動化用戶登錄功能的工號/學號處輸入“1or1=1--”，不用輸入密碼，直接登錄系統(tǒng)，發(fā)生了SQL注入攻擊，可以完成老師/學生賬號的各種操作01020304772.3問題討論1、針對學生成績管理系統(tǒng)，根據(jù)SQL注入的攻擊原理，構(gòu)造更多的會產(chǎn)生SQL注入攻擊的輸入。2、如何避免SQL注入攻擊？根據(jù)SQL注入攻擊原理和防護方法，修改相應的PHP程序，使其能夠防范SQL注入攻擊。783文件上傳漏洞實驗實驗原理文件上傳漏洞攻擊主要針對服務器端程序，如果Web應用對上傳的文件檢查不周，導致可執(zhí)行腳本文件上傳，從而獲得執(zhí)行服務器端命令的能力，這樣就形成了文件的上傳漏洞。文件上傳漏洞攻擊的危害非常大，攻擊者甚至可以利用該漏洞控制網(wǎng)站。文件上傳漏洞攻擊具備三個條件：一是Web應用沒有對上傳的文件進行嚴格檢查，使攻擊者可以上傳腳本文件，如PHP程序文件等；二是上傳文件能夠被Web服務器解釋執(zhí)行，如上傳的PHP文件能夠被解釋執(zhí)行等；三是攻擊者能夠通過Web訪問到上傳的文件。實驗目的理解文件上傳漏洞的基本原理，掌握文件上傳漏洞攻擊的基本方法。793.1實驗設計Wampserver教學管理模擬系統(tǒng)

tms2021中國菜刀：Webshell管理工具實驗方法實驗工具實驗在單機環(huán)境下完成，其操作系統(tǒng)為Windows10，64位。關(guān)閉WindowsDefender等系統(tǒng)的防護功能實驗環(huán)境利用教學管理模擬系統(tǒng)中的文件上傳漏洞上傳一句話木馬程序，使用Webshell管理工具實現(xiàn)靶機站點管理，驗證和掌握文件上傳漏洞原理。803.2實驗步驟教學管理模擬系統(tǒng)的資料上傳功能處上傳測試文件test.html打開Web服務器的tms2021目錄，可以看到已經(jīng)上傳的test.html文件上傳的文件位于Web站點upload目錄，輸入地址http:///upload/test.html訪問編輯一句話木馬程序test.php并上傳運行中國菜刀，添加控制網(wǎng)站所需要的網(wǎng)址和參數(shù)。雙擊添加的條目，啟動控制界面可以對文件進行處理，包括上傳文件、下載文件、編輯、刪除等功能010203040506813.3問題討論1、根據(jù)文件上傳漏洞攻擊過程，分析可能在哪些環(huán)節(jié)采取什么樣的防御方法？824跨站請求偽造實驗實驗原理跨站請求偽造攻擊利用會話機制的漏洞，引誘用戶點擊惡意網(wǎng)頁，觸發(fā)惡意網(wǎng)頁中包含的執(zhí)行代碼，從而引發(fā)攻擊。其攻擊結(jié)果就是能夠冒充用戶執(zhí)行一些特定操作，如遞交銀行轉(zhuǎn)賬數(shù)據(jù)等。用戶在瀏覽網(wǎng)站并進行一些重要操作時，網(wǎng)站一般通過一個特殊的Cookie標識用戶，稱為會話ID（這個ID一般需要用戶登錄后才能夠產(chǎn)生）。當用戶進行操作時，會發(fā)送包含會話ID的HTTP請求，使網(wǎng)站可以識別用戶，攻擊者在誘騙用戶點擊惡意網(wǎng)頁時，一般已在惡意網(wǎng)頁中包含了用戶進行某些操作的代碼，從而能夠冒充用戶完成操作，這樣攻擊就發(fā)生了。實驗目的理解CSRF攻擊的基本原理，掌握CSRF攻擊的基本方法。834.1實驗設計Wampserver教學管理模擬系統(tǒng)tms2021Burpsuite：用于Web應用滲透測試的集成平臺。Burpsuite包含了許多工具，并為這些工具設計了標準接口，可加快Web應用滲透測試的過程實驗方法實驗工具實驗在單機環(huán)境下完成，其操作系統(tǒng)為Windows10，64位。實驗環(huán)境利用教學管理模擬系統(tǒng)中存在的CSRF漏洞，使用Burpsuite實現(xiàn)漏洞利用，分析數(shù)據(jù)交互過程，驗證和掌握CSRF漏洞原理。844.2實驗步驟老師登錄系統(tǒng)，“老師操作->更改成績”功能處輸入學生學號和成績進行更新安裝Burpsuite并啟動，配置Burpsuite的HTTP代理，配置瀏覽器的HTTP本地代理參數(shù)瀏覽器訪問http://0/tms2021/，登錄老師賬號，錄入成績，并進行修改操作Burpsuite中選擇“POST/tms2021/index.php?action=change”的HTTP通信數(shù)據(jù)，雙擊查看HTTP協(xié)議通信過程，可以看到會話ID和修改的成績數(shù)據(jù)把此條數(shù)據(jù)發(fā)送到“Repeater”，手工構(gòu)造HTTP協(xié)議數(shù)據(jù)，修改POST請求包中的grade參數(shù)，然后點擊“Send”按鈕，進行

CSRF攻擊，完成成績的修改根據(jù)通信數(shù)據(jù)構(gòu)造惡意網(wǎng)頁，通過訪問惡意網(wǎng)頁csrf.html來自動實現(xiàn)成績修改010203040506854.3問題討論1、根據(jù)CSRF攻擊的原理和實驗過程，分析可能的防御該攻擊的方法。附錄工具資源Wampserver3：

/projects/wampserver/

教學管理模擬系統(tǒng)：

tms2021SQLMAP：

/

https:///sqlmapproject/sqlmap/tarball/master

https:///downloads/

（建議安裝python3）中國菜刀：

https:///detail/53/526011.shtml

Burpsuite：https:///burp/releases

第六章惡意代碼建議學時：4內(nèi)部網(wǎng)絡滲透目錄content手工脫殼實驗2木馬程序的配置與使用實驗1基于沙箱的惡意代碼檢測實驗3手工查殺惡意代碼實驗4891木馬程序的配置與使用實驗實驗原理Metasploit包括漏洞掃描、漏洞利用、木馬生成、木馬操作等多個模塊，通過不同的參數(shù)設置可實現(xiàn)較為完整的滲透測試過程。Metasploit由msfvenom前端和msfconsole后端構(gòu)成，前端用于生成木馬或shellcode，后端用于掃描、漏洞利用和木馬的操控。實驗目的了解Metasploit如何配置和生成木馬、植入木馬，了解木馬程序遠程控制功能。結(jié)合Nmap掃描和Metasploit漏洞利用功能，了解網(wǎng)絡攻擊從利用漏洞獲取權(quán)限到木馬植入控守的完整過程。901.1實驗設計實驗方法實驗工具使用Metasploit：（1）掃描目標主機，利用ms17_010漏洞獲取目標主機的權(quán)限（2）配置生成可執(zhí)行木馬trbackdoor.exe

（3）利用獲取的目標權(quán)限植入木馬，并對主機進行遠程控制Metasploit：免費的滲透測試框架。Kali集成Nmap：使用最廣泛的掃描工具之一。Kali集成911.1實驗設計實驗環(huán)境實驗環(huán)境為兩臺虛擬機組建的局域網(wǎng)絡，其中虛擬機網(wǎng)絡選擇NAT模式虛擬機1模擬目標主機，其操作系統(tǒng)為Windows7，需關(guān)閉防火墻虛擬機2模擬攻擊主機，其操作系統(tǒng)為KaliLinux921.2實驗步驟環(huán)境準備，啟動虛擬機1和2通過msfvenom工具配置一款用于x64的Windows主機的可執(zhí)行木馬trbackdoor.exe利用Nmap對目標靶機4進行掃描，查看端口及漏洞情況使用Metasploit的輔助模塊對漏洞情況進行驗證選擇相應的漏洞利用模塊進行攻擊，獲取遠程主機的權(quán)限利用upload命令將之前配置好的木馬trbackdoor.exe上傳到遠程主機并啟動從漏洞利用得到的shell中退出，選擇exploit/multi/handler監(jiān)聽模塊并進行設置，與木馬一致進行攻擊，獲取遠程主機的權(quán)限0102030405060708932手工脫殼實驗實驗原理惡意代碼分析技術(shù)可分為靜態(tài)分析和動態(tài)分析兩類。惡意代碼的靜態(tài)分析是指不執(zhí)行惡意代碼程序，通過結(jié)構(gòu)分析、控制流分析、數(shù)據(jù)流分析等技術(shù)對程序代碼進行掃描，確定程序功能，提取特征碼的惡意代碼分析方法；靜態(tài)分析技術(shù)最大的挑戰(zhàn)在于代碼采用了加殼、混淆等技術(shù)阻止反匯編器正確反匯編代碼，因此對加殼的惡意代碼正確脫殼是靜態(tài)分析的前提。對于一些通用的軟件殼，通用脫殼軟件就可以方便地將其還原為加殼前的可執(zhí)行代碼，但是對于自編殼或者是專用殼，就需要進行人工調(diào)試和分析。實驗目的利用調(diào)試工具、PE文件編輯工具等完成一個加殼程序的手工脫殼，掌握手工脫殼的基本步驟和主要方法。942.1實驗設計實驗方法實驗環(huán)境對于給定的加過UPX殼的病毒樣本程序email-worm.win32.mydoom.exe，首先利用查殼工具PEiD確定軟件殼類型，然后通過動態(tài)調(diào)試工具OllyICE和PE文件編輯工具LordPE等完成樣本的手工脫殼實驗在單機環(huán)境下完成，使用Windows10系統(tǒng)靶機952.1實驗設計實驗工具PEiD：著名的查殼工具，可以檢測幾乎所有軟件殼類型。除了檢測加殼類型外，它還自帶Windows平臺下的自動脫殼器插件，可以實現(xiàn)部分加殼程序的自動脫殼。OllyICE：OllyDBG的漢化版本，它將靜態(tài)分析工具IDA與動態(tài)調(diào)試工具SoftICE結(jié)合起來，工作在Ring3級。此外它還支持插件擴展功能。LoadPE：一款PE文件編輯工具，主要功能包括：查看、編輯可執(zhí)行文件，從內(nèi)存中導出程序內(nèi)存映像，程序優(yōu)化和分析等。ImportREConstructor：ImpREC，一款重建導入表的工具。對由于程序加殼而形成的雜亂的導入地址表IAT，可以重建導入表的描述符、IAT和所有的ASCII函數(shù)名。用它配合手動脫殼工具，可以實現(xiàn)UPX、CDilla1、PECompact、PKLite32、Shrinker、ASPack、ASProtect等的脫殼。UPX：一款壓縮殼，其主要功能是壓縮PE文件（如exe、dll等文件），也常被惡意代碼用于逃避檢測962.2實驗步驟利用PEiD確定email-worm.win32.mydoom.exe加殼類型使用OllyICE尋找程序的OEP（原始入口點），此時運行的程序已經(jīng)處于脫完殼的狀態(tài)使用LoadPE工具將運行的程序從內(nèi)存轉(zhuǎn)存到磁盤使用ImpREC工具重建導入表修改OEP信息，查找IAT信息獲得IAT信息，修訂PE文件完成脫殼工作0102030405972.3問題討論1、在6.4節(jié)，針對UPX殼介紹了一種利用常見指令定位OEP位置的方法，還有沒有可適用于其他類型殼的定位OEP位置的通用方法？983基于沙箱的惡意代碼檢測實驗實驗原理惡意代碼的動態(tài)分析則是將代碼運行在沙箱、虛擬機等受控的仿真環(huán)境中，通過監(jiān)控運行環(huán)境的變化、代碼執(zhí)行的系統(tǒng)調(diào)用等來判定惡意代碼及其實現(xiàn)原理。實驗目的通過安裝、配置和使用沙箱，熟練掌握沙箱的基本使用方法；結(jié)合沙箱分析器工具BSA（BusterSandboxAnalysis）掌握利用沙箱分析惡意代碼行為的基本原理和主要方法。993.1實驗設計Sandboxie：Sandboxie會在系統(tǒng)中虛擬出一個與系統(tǒng)完全隔離的空間，稱為沙箱環(huán)境。在這個沙箱環(huán)境內(nèi)，運行的一切程序都不會對實際操作系統(tǒng)產(chǎn)生影響。BSA：一款監(jiān)控沙箱內(nèi)進程行為的工具。它通過分析程序行為對系統(tǒng)環(huán)境造成的影響，確定程序是否為惡意軟件。通過對Sandboxie和BSA的配置，可以監(jiān)控程序?qū)ξ募到y(tǒng)、注冊表、端口甚至API函數(shù)等的操作實驗方法實驗工具實驗在單機環(huán)境下完成，使用Windows10系統(tǒng)靶機實驗環(huán)境安裝配置沙箱Sandboxie和沙箱分析器工具BSA，對給出的惡意代碼wdshx.exe（Trojan.SalityStub）進行分析，并生成對該惡意代碼行為的分析報告。1003.2實驗步驟安裝與配置Sandboxie和BSA監(jiān)控木馬程序“wdshx.exe”在沙箱內(nèi)運行的行為啟動BSA進行監(jiān)控在沙箱內(nèi)加載木馬程序wdshx.exe通過BSA記錄的結(jié)果，觀察木馬程序的具體行為0102031013.3問題討論1、在利用沙箱動態(tài)分析惡意代碼的過程中，除了可觀察惡意代碼對文件系統(tǒng)、注冊表等操作外，還能監(jiān)控惡意代碼執(zhí)行的API函數(shù)，利用這些函數(shù)能夠做什么？1024手工查殺惡意代碼實驗實驗原理對于普通的計算機用戶，在主機上安裝主機防火墻和具有實時更新功能的殺毒軟件是防范惡意代碼的基本配置。但是采用了免殺技術(shù)的惡意代碼有時依然能夠穿透防線，順利地植入主機并加載運行。有一定經(jīng)驗的用戶通過主機系統(tǒng)的異?？砂l(fā)現(xiàn)可疑的進程，再借助第三方分析工具，如文件系統(tǒng)監(jiān)控、注冊表監(jiān)控和進程監(jiān)控等，分析惡意代碼進程，終止其運行并使系統(tǒng)恢復正常。實驗目的借助進程檢測和注冊表檢測等系統(tǒng)工具，終止木馬程序運行，消除木馬程序造成的影響，掌握手工查殺惡意代碼的基本原理和主要方法。1034.1實驗設計ProcessMonitor：精確監(jiān)控某一指定進程對文件系統(tǒng)和注冊表的操作。ProcessExplorer：可以強制關(guān)閉任何進程（包括系統(tǒng)級別的進程）。Autoruns：它能夠從系統(tǒng)的菜單、計劃任務、服務、注冊表等多個位置找出開機自啟動的程序或模塊，為用戶查找惡意代碼的自啟動方式提供幫助。實驗方法實驗工具實驗在單機環(huán)境下完成，使用Windows10系統(tǒng)靶機實驗環(huán)境對于給定的木馬程序arp.exe，利用進程和注冊表檢測工具ProcessMonitor、ProcessExplore、Autoruns實現(xiàn)對木馬程序進程的定位、終止和清除1044.2實驗步驟將干凈的虛擬機進行快照保存創(chuàng)建被感染的系統(tǒng)環(huán)境，運行惡意代碼樣本任務管理器定位木馬進程將虛擬機還原為之前干凈的快照。打開ProcMon，配置過濾規(guī)則為監(jiān)控進程arp.exe和ati2avxx.exe，運行惡意代碼樣本查看木馬進程之間的派生關(guān)系查看目標進程對文件系統(tǒng)和注冊表的操作記錄終止進程及所有子進程，還原系統(tǒng)010203040605071054.3問題討論1、在手工查殺惡意代碼過程中，如何斷定惡意代碼被完全終止了，如何確定惡意代碼被清除干凈了？2、除了隱藏和免殺外，木馬也會采取遞歸自啟的方式頻繁衍生新進程來對抗用戶終止其運行，遇到這種情況，有什么方法可以終止木馬進程呢？3、當前殺毒軟件的功能越來越強大，如果惡意代碼試圖達到免殺的效果，那么它需要采用哪些方法避免被殺毒軟件發(fā)現(xiàn)？附錄工具資源Metasploit、Nmap：Kali默認安裝PEiD：

https:///pcsoft/yingyong/23616.html

OllyICE：

http:///soft/138775.html

LoadPE：http:///soft/226477.html

ImportREC：https:///pcsoft/yingyong/3634.html

UPX：/

Sandboxie：/soft/49367.htm

BSA：https://bsa.isoftware.nl/

ProcessMonitor：http:///soft/10734.htm

ProcessExplorer：https:///soft/19289.htm

Autoruns：https:///soft/21022.htm

惡意代碼清單：trbackdoor.exe、wdshx.exe、arp.exe第七章內(nèi)部網(wǎng)絡滲透建議學時：8內(nèi)部網(wǎng)絡滲透目錄content基于SOCKS的內(nèi)網(wǎng)正向隱蔽通道實驗2本機信息收集實驗1基于SOCKS的內(nèi)網(wǎng)反向隱蔽通道實驗31091本機信息收集實驗實驗原理全面的內(nèi)網(wǎng)信息收集是進行內(nèi)部網(wǎng)絡環(huán)境判斷的基礎(chǔ)，可以分為本機信息收集、內(nèi)網(wǎng)存活主機探測和端口掃描等。如果內(nèi)部網(wǎng)絡為域網(wǎng)絡，還需要進行域相關(guān)信息收集。實驗目的了解本機信息收集實驗的方法，掌握內(nèi)網(wǎng)主機信息收集的相關(guān)命令行工具，并能夠依據(jù)返回結(jié)果判斷內(nèi)部網(wǎng)絡環(huán)境。1101.1實驗設計WMIC：Windows管理規(guī)范命令行工具。netsh：Windows系統(tǒng)提供的功能強大的網(wǎng)絡配置命令行工具，可以實現(xiàn)對防火墻等網(wǎng)絡功能進行配置實驗方法實驗工具單臺虛擬機模擬被控內(nèi)網(wǎng)主機，其操作系統(tǒng)為Windows10，64位。實驗環(huán)境使用系統(tǒng)自帶的命令行工具實現(xiàn)對內(nèi)網(wǎng)主機的操作系統(tǒng)、權(quán)限、內(nèi)網(wǎng)IP地址段、殺毒軟件、端口、服務、補丁更新頻率、網(wǎng)絡連接、共享、會話等信息的收集，并依據(jù)結(jié)果進行絡環(huán)境判斷。1111.2實驗步驟環(huán)境準備，啟動Windows10虛擬機查詢本機操作系統(tǒng)及軟件信息查詢本機服務和進程信息查看啟動項和計劃任務信息查詢用戶及權(quán)限信息查詢端口、會話和共享信息查看網(wǎng)絡信息查看防火墻配置01020304050607081121.3問題討論1、在本機信息收集實驗中，還可以通過查看系統(tǒng)和應用軟件日志發(fā)現(xiàn)內(nèi)部網(wǎng)絡IP地址段、網(wǎng)絡連接等信息，請通過實驗完成。1132基于SOCKS的內(nèi)網(wǎng)正向隱蔽通道實驗實驗原理常用的內(nèi)網(wǎng)隱蔽通信隧道技術(shù)可以分為網(wǎng)絡層隧道技術(shù)、傳輸層隧道技術(shù)和應用層隧道技術(shù)。應用層隧道技術(shù)利用的應用協(xié)議難以被邊界設備禁用，成為主流渠道。SOCKS代理服務能夠支持以多種協(xié)議（包括HTTP、FTP等）與目標內(nèi)網(wǎng)主機進行通信。SOCKS代理一般有正向代理和反向代理兩種模式，正向代理是主動通過代理服務來訪問目標內(nèi)網(wǎng)主機，適用于外網(wǎng)主機能夠訪問受控的內(nèi)網(wǎng)主機/服務器的情況。實驗目的了解基于SOCKS的內(nèi)網(wǎng)隱蔽通信原理，掌握基于SOCKS的內(nèi)網(wǎng)正向隱蔽通道的搭建過程。1142.1實驗設計實驗方法實驗工具通過Earthworm和Proxychains工具實現(xiàn)不同情景下的內(nèi)網(wǎng)正向隱蔽通道搭建，驗證和掌握內(nèi)網(wǎng)隱蔽通信原理EarthWorm：一套便攜式的網(wǎng)絡穿透工具。具有SOCKS5服務架設和端口轉(zhuǎn)發(fā)兩大核心功能，能夠以“正向”、“反向”、“多級級聯(lián)”等方式打通一條網(wǎng)絡隧道，在復雜網(wǎng)絡環(huán)境下完成網(wǎng)絡穿透。Proxychains：一款在Linux下實現(xiàn)全局代理的軟件，支持HTTP、SOCKS4、SOCKS5類型的代理服務器。在Kali2021.2中默認安裝4.14版本Putty：一款免費開源的遠程登錄客戶端軟件，本實驗中使用的是最新的0.76版本1152.1實驗設計實驗環(huán)境宿主機模擬DMZ區(qū)服務器，其操作系統(tǒng)為Windows10，64位虛擬機1模擬外網(wǎng)攻擊主機，其操作系統(tǒng)為Kali2021.2，64位虛擬機2模擬內(nèi)網(wǎng)主機，其操作系統(tǒng)為Windows10，64位虛擬機3模擬內(nèi)網(wǎng)服務器，其操作系統(tǒng)為Ubuntu21.04，64位1162.2實驗步驟環(huán)境準備，按照實驗網(wǎng)絡拓撲配置宿主機與虛擬機1、2、3，并判斷網(wǎng)絡連通性內(nèi)網(wǎng)一級正向隧道搭建宿主機上使用ew的ssocksd方式構(gòu)建正向SOCKS代理，虛擬機1上進行proxychains配置，添加宿主機為代理服務器在虛擬機1上通過proxychains使用nmap對虛擬機2進行掃描在3389端口開放的條件下，通過proxychains使用rdesktop連接虛擬機2的遠程桌面虛擬機1對內(nèi)部網(wǎng)絡虛擬機3嘗試進行SSH連接，被虛擬機3拒絕01021172.2實驗步驟內(nèi)網(wǎng)二級正向隧道搭建在虛擬機2上啟動putty，能夠?qū)μ摂M機3進行SSH訪問在虛擬機2上使用ew的ssocksd方式構(gòu)建正向SOCKS代理，宿主機上采用lcx_tran方式監(jiān)聽本地端口接收代理請求，轉(zhuǎn)交給代理提供主機虛擬機2虛擬機1上進行proxychains配置，添加宿主機為代理服務器在虛擬機1通過proxychains使用SSH連接虛擬機3，輸入虛擬機3的用戶口令后正常登錄。接下來，可以將虛擬機2作為跳板，對內(nèi)網(wǎng)進行下一步滲透031182.3問題討論1、基于SOCKS的內(nèi)網(wǎng)隱蔽通道實驗中，若宿主機沒有外網(wǎng)地址（即DMZ區(qū)服務器沒有公網(wǎng)IP地址，該情況實際中也較常見），則需運用EarthWorm工具的rcsocks和rssocks模式搭建反彈SOCKS代理服務器實現(xiàn)內(nèi)網(wǎng)隱蔽通信，請通過實驗完成。1193基于SOCKS的內(nèi)網(wǎng)反向隱蔽通道實驗實驗原理SOCKS代理一般有正向代理和反向代理兩種模式，正向代理是主動通過代理服務來訪問目標內(nèi)網(wǎng)主機，適用于外網(wǎng)主機能夠訪問受控的內(nèi)網(wǎng)主機/服務器的情況；反向代理是指目標內(nèi)網(wǎng)主機通過代理服務主動進行連接，適用于防火墻只允許受控的內(nèi)網(wǎng)主機/服務器數(shù)據(jù)進出的情況。實驗目的了解基于SOCKS的內(nèi)網(wǎng)隱蔽通信原理，掌握基于SOCKS的內(nèi)網(wǎng)反向隱蔽通道搭建的實現(xiàn)過程。1203.1實驗設計Frp：一款高性能的反向代理工具EarthWorm、Proxychains、Putty實驗方法實驗工具同7.4基于SOCKS的內(nèi)網(wǎng)正向隱蔽通道實驗實驗環(huán)境通過Frp、Earthworm和Proxychains工具實現(xiàn)不同情景下的內(nèi)網(wǎng)反向隱蔽通道搭建，驗證和掌握內(nèi)網(wǎng)隱蔽通信原理1213.2實驗步驟環(huán)境準備同7.4基于SOCKS的內(nèi)網(wǎng)正向隱蔽通道實驗內(nèi)網(wǎng)一級反向隧道搭建在虛擬機1上使用frps配置反向代理服務端，宿主機上使用frpc.exe配置反向代理客戶端在虛擬機1上進行proxychains配置，添加本機為代理服務器在3389端口開放的條件下，虛擬機1通過proxychains使用rdesktop連接虛擬機2的遠程桌面虛擬機1對內(nèi)部網(wǎng)絡虛擬機3嘗試進行SSH連接，被虛擬機3拒絕01021223.2實驗步驟內(nèi)網(wǎng)二級反向隧道搭建在虛擬機2上啟動putty，能夠?qū)μ摂M機3進行SSH訪問在虛擬機1上利用一級反向通道通過遠程桌面連接將frp文件上傳到虛擬機2在虛擬機1上使用frps配置反向代理服務端，宿主機上使用ew采用lcx_tran方式監(jiān)聽本地端口接收代理請求，轉(zhuǎn)交給代理提供主機虛擬機1在虛擬機2上，修改frpc.ini配置反向代理客戶端信息虛擬機1上進行proxychains配置，添加本機為代理服務器在虛擬機1通過proxychains使用SSH連接虛擬機3，輸入虛擬機3的用戶口令后正常登錄。通過虛擬機2和宿主機上搭建的反向隧道，虛擬機1成功實現(xiàn)了對虛擬機3的SSH訪問031233.3問題討論1、在7.4節(jié)和7.5節(jié)實驗中，還可以利用EarthWorm、Frp、Proxychains工具在區(qū)分DMZ區(qū)、內(nèi)網(wǎng)辦公區(qū)、內(nèi)網(wǎng)核心區(qū)的多層內(nèi)網(wǎng)環(huán)境下實現(xiàn)內(nèi)網(wǎng)隱蔽通信，請通過實驗完成。附錄工具資源EarthWorm：

/idlefire/ewProxychains：kali內(nèi)置，proxychains配置文件路徑為:/etc/proxychains.confPutty：/Frp：

/fatedier/frp第八章假消息攻擊建議學時：4假消息攻擊目錄contentDNS欺騙實驗2ARP欺騙實驗1HTTP中間人攻擊實驗31271ARP欺騙實驗實驗原理ARP協(xié)議并沒有采用加密機制，也沒有做嚴格的身份驗證。以太網(wǎng)上的任何主機都可以冒充網(wǎng)內(nèi)其他主機來發(fā)送ARP請求或響應包，無論這個數(shù)據(jù)包是請求類型還是響應類型，被欺騙主機都會將虛假的IP-MAC地址對映射于緩存。被欺騙主機今后再往該IP地址發(fā)送數(shù)據(jù)時，都會被發(fā)送到虛假MAC地址上。實驗目的通過在局域網(wǎng)內(nèi)部進行ARP欺騙，實現(xiàn)對內(nèi)網(wǎng)流量的嗅探，使讀者掌握ARP欺騙的實施方法，理解ARP欺騙原理。1281.1實驗設計Ettercap：一款開源的基于C語言開發(fā)的網(wǎng)絡嗅探工具，支持對TCP、UDP、ICMP、WIFI等協(xié)議的主動和被動分析，可發(fā)起ARP欺騙、DNS欺騙、DHCP欺騙、會話劫持、密碼嗅探等攻擊，是實現(xiàn)局域網(wǎng)中間人攻擊的利器。Kali2021.2中默認安裝版本。實驗方法實驗工具使用Ettercap工具，修改ARP緩存，實現(xiàn)對內(nèi)網(wǎng)流量的嗅探。實驗環(huán)境虛擬機1為被欺騙主機，其操作系統(tǒng)為Windows10，64位。虛擬機2為攻擊主機，其操作系統(tǒng)為Kali2021.2，64位。1.1實驗設計1301.2實驗步驟環(huán)境準備，安裝虛擬機Windows10和Kali2021.2，并進行網(wǎng)絡設置啟動Ettercap圖形化界面，并進行配置使用Ettercap進行主機掃描和目標設置，開始ARP欺騙在目標主機上查看ARP緩存，Ettercap中查看嗅探信息ARP欺騙終止01020304051311.3問題討論1、在ARP欺騙實驗中，還可以利用Ettercap工具在ARP欺騙的基礎(chǔ)上，實現(xiàn)對用戶名和口令嗅探，請通過實驗完成。1322DNS欺騙實驗實驗原理DNS欺騙的過程：客戶端首先以特定的ID向DNS服務器發(fā)送域名查詢數(shù)據(jù)包；DNS服務器查詢之后以相同的ID給客戶端發(fā)送域名響應數(shù)據(jù)包；攻擊者捕獲到這個響應包后，將域名對應的IP地址修改為其他IP地址，并向客戶端返回該數(shù)據(jù)包；客戶端將收到的DNS響應數(shù)據(jù)包ID與自己發(fā)送的查詢數(shù)據(jù)包ID相比較，如果匹配則信任該響應信息。此后客戶端在訪問該域名時將被重定向到虛假的IP地址。實驗目的在ARP欺騙基礎(chǔ)上通過DNS欺騙攻擊實現(xiàn)對訪問網(wǎng)站的重定向，使讀者掌握DNS欺騙的實施方法，理解DNS欺騙原理。1332.1實驗設計Ettercap：詳見上節(jié)的實驗工具介紹實驗方法實驗工具同8.3節(jié)ARP欺騙實驗的實驗環(huán)境實驗環(huán)境使用Ettercap工具修改DNS響應包，實