云安全产品配置与应用 产品配置与实践 特殊漏洞与扫描方法.docxVIP

特殊漏洞与方法扫描 【实验环境】 图3.4.71 实验环境 实验环境如 REF _Ref270664021 * MERGEFORMAT 图3.4.71所示，其中： Windows实验台IP地址：以172.20.3.32/16为例，具体可根据实际网络环境进行配置 本地主机：Windows XP操作系统、SimpleISES系统客户端、Netbus软件nbpro210.exe、Wireshark抓包工具、UltraEdit工具 本地主机IP地址：以172.20.1.32/16为例，具体可根据实际网络环境进行配置 【实验内容】 安装Netbus软件并抓包分析其正常连接过程 启动后门漏洞扫描并并抓包分析其扫描过程 分析对应的脚本 特殊漏洞与方法扫描 【实验原理】 网络中存在一些特殊的网络设备，比如防火墙、IDS，它们本身也可能存在一些特殊的、非常见的漏洞，另外，漏洞扫描也可能利用一些非常规的攻击方式，比如暴力破解验证弱口令、采用一些远程操作手段获取系统权限以及利用系统后门等。 Netbus是一个软件程序，它创建于1998年，并且对它被用于后门程序的可能性一直存在很大争议。在 Netbus 客户－服务器结构中有两个组成部分。服务器必须安装和运行在应该被远程控制的计算机上。当第一次启动时，这个服务器会自动安装在这台计算机上，包括修改 Windows 注册，因此它在每次系统启动时自动进行。客户机是一个分离的程序，展示在一个图形用户界面，其允许客户在这个远程计算机上执行很多的行为，例如，按键记录、按键插入、屏幕捕捉、程序执行、文件浏览、关闭系统、打开/关闭CD碟、通过许多系统的隧道 NetBus 连接等。 特殊漏洞与方法扫描 【实验步骤】 在客户端主机和目标主机(选择启动Windows实验台为目标主机)内安装NETBUS软件(双击nbpro210.exe安装)，安装的起始界面如图3.4.72所示。 图3.4.72 安装NETBUS软件 在目标主机中运行NetBus Pro Server，如图3.4.73所示，点击“Setting”；打开允许连接(密码可设为空)，如图3.4.74所示。 图3.4.73 启动NETBUS服务器 图3.4.74 设置允许连接 在客户端主机运行NetBus Pro，如图3.4.75所示，点击新建一个连接，输入目标主机IP，如图3.4.76所示。 图3.4.75 新建连接 图3.4.76 连接设置 客户端启动Wireshark抓包工具开始抓包；然后启动新建的Netbus连接，如图3.4.77所示；分析Netbus客户端与服务器直接的交互。图3.4.78为客户端发出的数据包，图3.4.79为服务器端返回的数据包。注意：在Wireshark中输入ip.dst == 目标主机IP和ip.src == 目标主机IP，可以提取发到目标主机的数据包和从目标主机发出的数据包，以利于分析；在扫描过程中若实验台系统死机可重启实验台再次扫描，若经常死机无法完成实验，可将一台学生客户端作为目标主机替代实验台进行实验。 图3.4.77 发起连接 图3.4.78 客户端发送的关键数据包 图3.4.79 服务端返回的关键数据包 启动实验实施面板，对目标主机进行后门漏洞扫描，如图3.4.710所示；扫描完毕后查看实验结果，如图3.4.711所示；并抓包分析，如图3.4.712和图3.4.713所示。通过实验结果报告了解Netbus后门漏洞的基本原理，比较扫描过程与正常登录时的交互过程。注意：在Wireshark中输入tcp.port == 20034提取数据包以利于分析，同时注意PSH标志。 图3.4.710 后门漏洞扫描 图3.4.711 扫描结果报告 图3.4.712 客户端发送的扫描数据包 图3.4.713 服务端返回的特征数据包 用UltraEdit打开客户端ISES安装目录\HoleScan\scandll\scripts\ netbus2.nasl(打开该文件时不要转换格式)，如图3.4.714所示。同时对比正常连接与扫描过程中的交互过程分析扫描的原理。 图3.4.714 脚本分析