文档介绍:《网络安全与维护》课程设计班级:姓名:学号:基于认证的攻击设计报告一、课程设计目的:1、熟悉使用端口扫描进行漏洞检测;2、掌握基于认证的攻击方法;3、掌握留后门和清脚印的方法。二、课程设计内容:1、认证漏洞的检测在物理主机使用X-Scan检测自己的虚拟机的密码(虚拟机的密码设置为空密码或者简单的密码)2、使用IPC$进行连接,祛除NTLM验证利用相关命令进行IPC$连接,连接成功后,编写Bat文件祛除虚拟机中的NTML验证,文件名自己设定。3、利用IPC$服务。4、连接,连接和相关的软件,在虚拟机中设立一个服务名称是Mytel的服务,且该服务为开机自启动服务,服务。5、留下后门账号和清除自己的脚印自己编写批处理文件,留下后门账号,并将前面进行攻击所使用的所有文件和系统日志清除,并在最后清除批处理文件本身。6、端口扫描使用端口扫描工具X-scan对自己的虚拟机进行端口扫描,分别使用Syn扫描和Fin扫描进行探测,比较两种扫描方式的不同点。三、课程实施方案:-scan进行扫描打开x-scan扫描,在“设置”菜单里点击“扫描参数”,进行全局核查建设置。在“检测范围”中的“指定IP范围”输入要检测的目标主机的域名或IP,也可以对一个IP段进行检查在全局设置中,我们可以选择线程和并发主机数量。在“端口相关设置”中我们可以自定义一些需要检测的端口。检测方式“TCP”、“SYN”两种。“SNMP设置”主要是针对简单网络管理协议(SNMP)信息的一些检测设置。“NETBIOS相关设置”workBasicInput/OutputSystem)BIOS是一个网络协议,包括的服务有很多,我们可以选择其中的一部分或全选。“漏洞检测脚本设置”主要是选择漏洞扫描时所用的脚本。漏洞扫描大体包括CGI漏洞扫描、POP3漏洞扫描、FTP漏洞扫描、SSH漏洞扫描、HTTP漏洞扫描等。这些漏洞扫描是基于漏洞库,将扫描结果与漏洞库相关数据匹配比较得到漏洞信息;漏洞扫描还包括没有相应漏洞库的各种扫描,比如Unicode遍历目录漏洞探测、FTP弱势密码探测、OPENRelay邮件转发漏洞探测等,这些扫描通过使用插件(功能模块技术)进行模拟攻击,测试出目标主机的漏洞信息。开始扫描设置好参数以后,点击“开始扫描”进行扫描,X-Scan会对目标主机进行详细的检测。扫描过程信息会在右下方的信息栏中看到,如图所示:扫描结果扫描结束后,默认会自动生成HTML格式的扫描报告,显示目标主机的系统、开放端口及服务、安全漏洞等信息:可以看到管理员密码为空2使用IPC$进行连接,去除NTLM验证建立ipc$,其中手段之一就是在远程被控主机的【控制面板】窗口中,打开事件记录窗口,从中对服务器日志进行手工清除。具体的实现方法如下:(1)入侵者先用IPC$连接过去之后,在远程主机的【控制面板】窗口中,双击【管理工具】图标项打开【管理工具】窗口。(2)双击其中的【计算机管理】图标项,即可打开【计算机管理】窗口。(3)展开【计算机管理(本地)】→【系统工具】→【事件查看器】选项之后,打开事件记录窗格,其中的事件日志分为三类:“应用程序”日志、“安全性”日志及“系统”日志,如图12-10所示。(4)这三类日志分别记录不同种类的事件,右击相应日志,在弹出的快捷菜单中选择【清除】菜单项,即可清除指定日志。(5)如果入侵者想做得更干净一点,则可以在【计算机管理】窗口的左窗格中展开【计算机管理(本地)】→【服务和应用程序】→【服务】选项,再在其右窗格中找到“EventLog”服务,并把该服务禁用,如图所示。经过上述设置之后,用户只要重新启动了系统,该主机/服务器就不会对任何操作进行日志记录了。四、课程设计结果:出现的问题及解决方法:1、在进行帐号克隆和清除日志时经常会遇到到空连接和ipc$连接,它们区别在哪里?解答:在进行帐号克隆和清除日志时都需要用到远程上传工具,这就用到了连接,其中最常用的就是空连接和ipc$连接,可以从概念和访问方式上对其进行区分。空连接是指在没有信任的情况下与服务器建立的会话,即它是一个到服务器的匿名访问,不需要用户名和密码。而IPC$连接是为了让进程间通信而开放的命名管道,可以通过验证用户名和密码获得相应的权限,有许多的远程工具必须用到IPC$连接,use\\IP\ipc$“”/user:“””就可以简单地和目标主机建立一个空连接(需要目标开放ipc$)。2、在克隆帐号时,需要对注册表中用于存放帐号所有属性的SAM键值进行访问,但在手动克隆帐号时却会出现无法访问SAM键的情况,该怎样