• 实验环境

靶机：一台Windows server 2003(IP:192.168.80.200)服务器

攻击者：一台Windows xp主机(IP:192.168.80.205)和一台kali主机(IP:192.168.80.206)

• 实验原理

（1）445端口的smb服务提供了主机远程访问的服务器的潜在威胁

（2）Windows下共享文件服务开启时，存在隐藏共享文件

（3）Windows server 2003自带telnet功能，存在安全隐患

• 实验步骤

信息收集

在Windows xp上运行端口扫描软件scan port，对服务器进行扫描，可以发现服务器开放445端口

暴力破解

在kali上运行hydra工具，使用准备好的用户名和密码字典对服务器smb服务进行暴力破解

1）2003系统中的已有用户账号

2）在Kali系统上建立暴力破解的用户名字典和密码字典

gedit  userlist.txt

gedit  pass.txt

3）实施爆破攻击

4）分析Windows Server 2003日志

建立连接

1）利用服务器445端口漏洞，建立ipc$空连接

net  use  \\192.168.231.231\ipc$  /user:administrator  123.com

2）在Windows Server 2003上分析建立IPC$空连接的事件记录

实现远程访问服务器文件

借助Windows的隐藏共享文件漏洞，在Windows xp主机端实现对服务器文件的远程访问，并将服务器c盘文件映射到主机z盘

在Windows Server 2003服务器上未找到攻击者XP访问C：盘共享的事件记录

远程设置、开启服务器的telnet服务

 

6. 以Telnet方式远程登录Windows服务器

在Windows Server 2003上分析Telnet登录记录

7. 留下后门

创建新用户并添加到管理员组

net  user  hack   123.com  /add

net  localgroup  administrators  hack  /add

net  localgroup  administrators

8. 给服务器端植入灰鸽子服务器端

采取多种方法均可以实现该步骤，方法主要由以下几种：

1）telnet登录，手工运行灰鸽子服务器端

2）将灰鸽子服务器直接拷贝到目标靶机的启动文件夹

3）添加计划任务（需要用到at命令），此处选择第一种方法并演示灰鸽子服务器端配置

使用telnet远程运行后即可在客户端查看服务器信息

事件日志分析：

1）九头蛇爆破攻击的痕迹

2）连接ipc$的痕迹

3）修改telnet server服务启动状态为：自动，的痕迹

4）开启telnet  server服务的痕迹

5）telnet登录的痕迹

6）创建后门用户：hack，并添加到administrators组中的痕迹