远程控制---实验九：IPC远程植入木马

目录

一、实验目的及要求

二、实验原理

IPC

空会话

IPC建立的过程

木马

三、实验环境

四、实验步骤及内容

五、实验总结

六、分析与思考

---

一、实验目的及要求

1、掌握利用 IPC$入侵目标计算机（windows XP 或 windows 2003）的方法；

2、制作并植入远控木马来达到远程控制对方计算机；

二、实验原理

IPC

IPC(Inter-Process Communication) 进程间通信，是共享"命名管道"的资源，它是为了让进程间通信而开放的命名管道，通过提供可信任的用户名和口令，连接双方可以建立安全的通道并以此通道进行加密数据的交换，从而实现对远程计算机的访问。IPC是NT/2000的一项新功能，它有一个特点，即在同一时间内，两个IP之间只允许建立一个连接。NT/2000在提供了IPC功能的同时，在初次安装系统时还打开了默认共享，即所有的逻辑共享(C,D,E……)和系统目录winnt或windows(admin)共享。

空会话

空会话是在没有信任的情况下与服务器建立的会话，对于一个空会话，LSA提供的令牌的SID（空会话的SID）是S-1-5-7，用户名是：ANONYMOUS LOGON（系统内置的帐号），该访问令牌包含下面伪装的组：Everyone和Network。

IPC建立的过程

1.会话请求者（客户）向会话接收者（服务器）传送一个数据包，请求安全隧道的建立；

2.服务器产生一个随机的64位数（实现挑战）传送回客户；

3.客户取得这个由服务器产生的64位数，用试图建立会话的帐号的口令打乱它，将结果返回到服务器（实现响应）；

4.服务器接受响应后发送给本地安全验证（LSA），LSA通过使用该用户正确的口令来核实响应以便确认请求者身份。

木马

利用计算机程序漏洞侵入后窃取文件的程序程序被称为木马。它是一种具有隐藏性的、自发性的可被用来进行恶意行为的程