前一篇文章詳細講解虛擬機及Windows XP系統安裝,這篇文章將搭建Windows Server 2003服務器,并通過HGZ制作控制目標服務器的目錄。這里僅簡單講解Windows Server 2003服務器的流程,如果虛擬機已經安裝好的直接跳過。
(1) 打開虛擬機,點擊“文件”->“新建虛擬機”。
(2) 默認選項大家常規選擇即可,點擊下一步,如下圖所示。
(3) 此處選擇稍后再安裝系統,稍后我們才會將已經下載的鏡像文件進行安裝。
(4) 選擇Microsoft Windows(W),版本選擇Windows Server 2003 Standard Edition,接著點擊““下一步”。
(5) 設置虛擬機內存,這里設置為512MB。
(6) 網絡類型設置“使用網絡地址轉換(NAT)”,接著其他選擇推薦選項即可。
(7) 選擇“使用現有虛擬磁盤”。
從本地選擇“Windows 2003.vmdk”文件。
(8) 保持現有格式點擊“完成”即可。
接下來我們安裝Windows Server 2003操作系統。
(1) 當虛擬機設置完成之后,我們點擊“開啟此虛擬機”,如下圖所示。
(2) 設置完畢之后,開啟虛擬機,如下圖所示。
(3) 將Windows XP和Windows Server 2003設置為相同的連接方式,比如橋接或NAT模式。
(4) 如果設置第一步的時候沒有進行ip設置,那么這兩臺虛擬機默認就在統一網段內,可以在虛擬機檢查看是否在統一個網段中。在CMD中輸入ipconfig查看網絡連接情況。
Windows XP系統:192.168.44.130
如果兩臺虛擬機的IP地址前三個相同,類似如圖192.168.44.*,那么就在同一個網段內,如果不在同一個網段內,就需要分別設置ip地址在同一網段了。網上也有很多設置IP的教程,在這就不累贅了。
(5) 接著使用Ping命令保證虛擬機XP系統(攻擊者)和Server 2003(受害者)能通信。
(6) 建議惡意樣本分析實驗在虛擬機中,某些樣本還需要斷網、斷共享等功能。
關閉Windows Server 2003防火墻
如果我們想從主機Windows 10系統傳遞資料給虛擬機Windows XP系統,或者Windows XP系統和Windows Server 2003系統傳遞文件,怎么辦呢?
這就涉及到主機和虛擬機文件共享的功能。
(1) 首先,安裝VMware Tool工具。
(2) 在安裝向導中點擊“下一步”進行安裝。
(3) 選擇“典型安裝”。
(4) 點擊“安裝”即可,如下圖所示:
安裝成功如下圖所示。
(5) 設置共享文件夾,先在主機Windows 10系統創建一個虛擬機與主機的共享文件夾,比如“ShareFiles”。
(6) 選擇“虛擬機”->“設置”菜單。
(7) 彈出的對話框如下圖所示,其中“共享文件夾”默認是禁用的,我們設置為“總是啟用”。我們勾選“在Windows客戶機中映射為網絡驅動器”,并添加我們的共享文件夾。
點擊"瀏覽",選擇主機中共享文件夾的路徑。
(8) “啟用此共享”必須選上。“只讀”可根據需要選擇,如果選擇,則以后訪問實體機的文件夾時,里邊所有的內容都不可修改和移動,只能進行訪問。這里作者僅選擇“啟用此共享”,點擊完成。
寫到這里,主機和虛擬機之間的共享文件夾就設置成功。我們打開磁盤,可以看到虛擬機磁盤多了一個Z盤,它就是共享的文件夾。
然后打開Z盤里面的“ShareFiles”文件夾,可以看到主機復制過去的文件。
接著我們開始講解木馬制作過程,在Windows 10操作系統中將軟件共享給虛擬機系統。
推薦前文:
十二.Wireshark安裝入門及抓取網站用戶名密碼(一)
十三.Wireshark抓包原理(ARP劫持、MAC泛洪)及數據流追蹤和圖像抓取(二)
四十九.Procmon軟件基本用法及文件進程、注冊表查看
五十.虛擬機基礎之安裝XP系統、文件共享、網絡快照設置及Wireshark抓取BBS密碼
HGZ軟件是一款集多種控制方式于一體的木馬程序,適用于公司和家庭滲透和管理,其功能十分強大,不但能監視攝像頭、鍵盤記錄、監控桌面、文件操作等。還提供了黑客專用功能,如:偽裝系統圖標、隨意更換啟動項名稱和表述、隨意更換端口、運行后自刪除、毫無提示安裝等,并采用反彈鏈接這種缺陷設計,使得使用者擁有最高權限,一經破解即無法控制。最終導致被黑客惡意使用。
第一步,下載共享的軟件并安裝。
第二步,使用HGZ制作木馬。
HGZ軟件運行如下圖所示。左邊顯示自動上線主機(肉雞),凡是中木馬的肉雞都會自動上線,木馬會主動連接控制方并請求被完全控制。
第三步,我們先要點擊“配置服務程序”生成木馬。
第四步,IP通常是黑客電腦的IP地址,因為生成的木馬需要植入目標,它會自動連接黑客并發送信息,故填寫“192.168.44.130”地址。
第五步,在“安裝選項”中,通常會勾選“安裝成功后自動刪除安裝文件”選項。而提示安裝成功和運行顯示圖標會暴露惡意軟件。
第六步,設置啟動項,這里的顯示名稱設置為“hgz”。
注意,有的木馬為什么比較難找?因為我們會將木馬服務名稱和描述修改,偽裝成正常程序所運行的服務。比如服務名稱修改為“windows system”,描述信息修改為“system重要進程”。
本地服務查找如下圖所示:
第七步,高級選項可以將木馬偽裝成“IEXPLORE.EXE”進程,這里不加殼。
第八步,接著點擊底部的方塊,選擇所制作木馬的保存路徑。這里設置為“eastmount_csdn.exe”。
第九步,最后點擊“生成服務器”,成功制作木馬。
此時,桌面產生了一個“eastmount_csdn.exe”程序,即為我們的木馬。
四.木馬劫持遠程主機實驗
接下來我們想辦法將木馬發送給目標主機Windows Server 2003。這里作者直接通過文件共享功能讓Windows Server 2003服務器主動下載,但真實場景的木馬如何發送給目標也是一個難點,比如之前我們的是通過IPC$漏洞上傳的,其他方法包括遠程共享漏洞、網站釣魚、社會工程學、0day漏洞等。
推薦前文:
四十三.木馬原理詳解、遠程服務器IPC$漏洞及木馬植入實驗
第一步,將生成的木馬“eastmount_csdn”文件共享給Windows Server 2003。
第二步,雙擊木馬運行之后,我們的攻擊機XP系統可以看到目標主機已經上線。
第三步,由于目標服務器只有C盤,我們現在創建一個“hello.txt”文件,如下圖所示。
攻擊機XP系統可以下載目標主機的文件,比如“hello.txt”。
第四步,點擊“屏幕截獲”可以監控目標的屏幕。
點擊“傳送鼠標和鍵盤操作”按鈕,可以操作目標肉雞。
第五步,點擊“視頻語音”可以檢測目標的視頻和語音,所以大家的麥克風和攝像頭一定做好保護措施。
第六步,點擊“Telnet”可以進入控制臺執行相關操作,比如輸入“ipconfig”查看網絡,“md xxx”創建文件夾。
再次強調:一定不能通過該方法去控制別人的機器,這是違法行為。本人堅決反對利用教學方法進行犯罪的行為,一切犯罪行為必將受到嚴懲,綠色網絡需要我們共同維護,更推薦大家了解它們背后的原理,虛擬機中測試,更好地進行防護。
Process Monitor是微軟推薦的一款系統監視工具,能夠實時顯示文件系統、注冊表(讀寫)、網絡連接與進程活動的高級工具。它整合了舊的Sysinternals工具、Filemon與Regmon,其中Filemon專門用來監視系統中的任何文件操作過程,Regmon用來監視注冊表的讀寫操作過程。
Filemon:文件監視器
Regmon:注冊表監視器
推薦前文:
四十九.Procmon軟件基本用法及文件進程、注冊表查看
第一步,打開Procmon軟件并檢測灰鴿子木馬。
第二步,點擊filter->filter,設置過濾器。進程名設置為包含“灰鴿子”。
在彈出的對話框中Architecture下拉框,選擇Process Name填寫要分析的應用程序名字,點擊Add添加,最后點擊右下角的Apply。
第三步,在灰鴿子遠程控制軟件點擊刷新,然后查看灰鴿子軟件相關信息。
輸出結果中包括序號、時間點、進程名稱、PID、操作、路徑、結果、描述等,監控項通常包括文件系統、注冊表、進程、剖析事件。
通過分析,我們發現灰鴿子木馬在“C:\Windows”目錄下生成了一個臨時程序,名稱為“Hacker.com.cn.exe”。同時,讀者可以嘗試更深入地分析,去了解該惡意樣本究竟加載了哪些DLL、EXE文件,從而實現視頻監控、鍵盤記錄、遠程連接等。
由于作者能力有限,后續隨著系統安全學習深入,也會嘗試逆向分析一些惡意樣本。下面的代碼是灰鴿子逆向的部分截圖,其表示復制文件成“C:\Windows\Hacker.com.cn.exe”。
我們在Procmon軟件中選中文件,右鍵“Jump to”可以查看對應的源文件。
第四步,我們在攻擊機中使用Process Mointor監控相關行為。可以看到生成的服務是“IEXPLORE”,如下圖所示。
最后,我們通過分析注冊表行為發現HGZ木馬是通過服務啟動的。
注冊表中對應“Hacker.com.cn”的字段。
下面是隱藏的“hgz”服務,同時每次開機都會自啟動。
思考:如果我們中了灰鴿子木馬,將怎么清除呢?
在Windows Server 2003系統進程中關閉“IEXPLORE.EXE”進程,則控制主機Windows XP會自動下線。
如下圖所示,肉雞已經消失。但是重啟后又會自動上線,那么,如何才能成功清除了嗎?我們需要修改注冊表、刪除文件等一系列操作。
流量分析也是惡意樣本分析的重要手段。本文采用Wireshark監控灰鴿子木馬與控制端的網絡通信,包括TCP三次握手連接、被控端與控制端之間的通信過程、流量信息等。
推薦前文:
十二.Wireshark安裝入門及抓取網站用戶名密碼(一)
第一步,安裝Wirkshark并選擇本地網絡進行流量監控。
第二步,由于灰鴿子是使用tcp通信的,故將條件設置為tcp,此時可以看到很多抓到的tcp連接的包。
顯示的流量信息如下圖所示:
同樣,我們可以設置“ip.addr==192.168.44.131”查看相關流量信息。
寫到這里,這篇文章就介紹完畢,主要包括三部分內容:
HGZ木馬整體流程如下:
我們可以采用下列方式進行防御:
提高警惕性,別占小便宜,別點擊垃圾鏈接或郵件
從官網下載程序,密碼設置復雜,防止弱口令(數字大小寫符號)爆破
設置防火墻、安裝殺毒軟件,定期殺毒并清理電腦
防止社會工程學誘騙或攻擊
關于軟件或系統漏洞,及時關閉遠程服務或端口
攝像頭、麥克風、路由器、網關、服務器等系統漏洞及人為防御
惡意樣本庫建立、黑白名單建立
希望這系列文章對您有所幫助,真的感覺自己技術好菜,要學的知識好多。這是第49篇原創的安全系列文章,從網絡安全到系統安全,從木馬病毒到后門劫持,從惡意代碼到溯源分析,從滲透工具到二進制工具,還有Python安全、頂會論文、黑客比賽和漏洞分享。未知攻焉知防,人生漫漫其路遠兮,作為初學者,自己真是爬著前行,感謝很多人的幫助,繼續爬著,繼續加油!
VMware 虛擬化平臺中虛擬機硬盤有三種類型,它們分別是:厚置備延遲置零(zeroed thick)、厚置備置零(eager zeroed thick)和精簡置備(thin)。
一、厚置備延遲置零(zeroed thick)
創建虛擬機時硬盤類型默認選擇此種類型;
創建虛擬機時為虛擬機硬盤分配的存儲空間即是物理存儲空間,但在分配的過程未將存儲空間置零,僅當虛擬機存在寫入數據時,再按量將存儲空間置零,類似于快速格式化。
-二、厚置備置零(eager zeroed thick)
創建虛擬機時為虛擬機硬盤分配的存儲空間即是物理存儲空間,并且在分配的過程將存儲空間置零,類似于格式化。此類硬盤類型適用于I/O讀寫頻繁的業務虛擬機,如數據庫業務系統。
三、精簡置備(thin)
創建虛擬機時為虛擬機硬盤分配的存儲空間并不等于物理存儲空間,虛擬機實際使用的存儲空間才是它占用的物理存儲空間。當虛擬機寫入數據時,才為其分配物理存儲空間及置零,待分配空間和置備完成后才能進行操作,這對于IO頻繁造成性能會有所下降,但它的好處是節省了存儲空間。
虛擬化操作系統軟件版本:VMware ESXi, 6.7.0;
測試虛擬機系統:Windows 10、Centos 8;
虛擬機硬盤類型由厚置備延遲置零轉換成精簡置備;
第一步:虛擬機關機并查看虛擬機的硬盤類型;
第二步:開啟ESXI物理主機的SSH服務,如下圖所示;
第三步:SSH登陸ESXI物理主機,查看虛擬機的硬盤使用情況;
釋義:du –sh *
查看該目錄下所有文件的大小;
第四步:使用命令“vmkfstools -i test001.vmdk -d thin test001thin.vmdk”進行克隆虛擬硬盤轉換成thin類型。
釋義:vmkfstools -i test001.vmdk -d thin test001thin.vmdk
-i test001.vmdk:克隆源虛擬硬盤test001.vmdk;
-d thin test001thin.vmdk:克隆的源虛擬硬盤轉換成thin類型硬盤test001thin.vmdk;
克隆轉換完成后,通過命令“du –sh *”查看得知:生成兩個文件:test001thin-flat.vmdk和test001thin.vmdk;
第五步:備份源文件并編輯新生成的文件
編輯“test001-flat.vmdk”,修改的內容,如下圖所示;
第六步:從清單中移除該虛擬機并重新注冊
選中虛擬機并點擊右鍵,然后選擇“從清單中移除”,如下圖所示;
虛擬機的重新注冊,參見下圖所示;
第七步:虛擬機開機、查看硬盤類型并觀察虛擬機運行情況;
第八步:刪除備份的文件并關閉ESXI物理主機的SSH服務;
虛擬機開機運行正常并無數據丟失即可刪除備份的文件并關閉ESXI物理主機的SSH服務;
經過實際測試,按照上述操作步驟,Windows10 和CentOS 8系統虛擬機的硬盤類型均可轉換成功;
虛擬機硬盤類型由厚置備延遲置零轉換成精簡置備過程中,會自動生成兩個文件,因此操作前需評估現有物理存儲空間和虛擬機實際占用的存儲空間;
以上總結,希望各位小伙伴有所收獲,不足之處,歡迎各位小伙伴留言指正。