3.4 使用RemotelyAnywhere工具入侵系统
RemotelyAnywhere工具是利用浏览器进行远程连接入侵控制的小程序,使用时需要实现在目标主机上安装该软件,并知道该主机的连接地址及端口,这样其他任何主机都可以通过浏览器来访问目标主机了。
3.4.1 安装RemotelyAnywhere
安装RemotelyAnywherel软件,具体操作步骤如下。
Step 01 运行RemotelyAnywhere安装程序,在弹出的对话框中单击Next按钮。
Step 02 弹出RemotelyAnywhere License Agreement对话框,单击I Agree按钮。
Step 03 弹出Software options对话框,选中Custom单选按钮,可以手工指定软件安装配置项,本实例选中Typical单选按钮,使用默认配置,单击Next按钮。
Step 04 弹出Choose Destination Location对话框,单击Browse按钮,可以改变安装目录,本实例采用默认配置,单击Next按钮。
Step 05 弹出Start copying files对话框,显示已配置信息,信息中说明连接服务器的端口为2000,单击Next按钮。
Step 06 弹出Install status对话框,Remotely Anywhere程序正在安装。
Step 07 安装完成后,弹出Setup Completed对话框,对话框中标明可以使用地址http://DESKTOP-JMQAA08:2000和http://ipaddress:2000连接服务器,单击Finish按钮。
Step 08 弹出Windows验证页面,在其中需要输入此计算机的用户名和密码。
Step 09 单击“登录”按钮,弹出Remotely Anywhere激活方式选择界面,可以选中“我已是RemotelyAnywhere用户或已具有RemotelyAnywhere许可证”单选按钮进行激活,也可以选择“我希望现在购买RemotelyAnywhere”在线激活,本实例选择“我想免费试用”,单击“下一步”按钮。
Step 10 在弹出界面的“电子邮件地址”文本框中输入激活使用的邮箱地址,并在“产品类型”下拉列表中选择试用产品类型,本实例采用“服务器版”,单击“下一步”按钮。
Step 11 在弹出的界面中依次输入指定内容,单击“下一步”按钮。
Step 12 RemotelyAnywhere激活成功,需要重新启动RemotelyAnywhere程序,单击“重新启动REMOTELYANYWHERE”按钮。
3.4.2 连接入侵远程主机
安装RemotelyAnywhere软件并成功激活后,就可以通过浏览器连接入侵目标主机了,具体的操作步骤如下。
Step 01 打开浏览器,然后在地址栏中输入RemotelyAnywhere安装过程中提示的地址,通用格式为“http://{目标服务器IP|主机名|域名}:2000”,本实例使用https://desktop-rjknmoc:2000/main.html进行讲解,在“用户名”文本框和“密码”文本框中输入有效的远程管理账户的信息,默认使用Administrator账号登录。
Step 02 单击“登录”按钮,进入Remotely Anywhere远程管理界面,左侧显示管理功能列表,用户可以使用不同的管理功能对远程主机进行多功能全方位的管理操作。
Step 03 单击“继续”按钮进行远程主机信息查看与管理,默认显示“控制面板”管理功能界面。
通过该页面可以快速了解远程服务器的多种状态、信息,具体内容如下。
(1)系统信息:显示系统版本、CPU型号、物理内存使用情况、总内存(包括虚拟内存)使用情况、系统已启动时间、登录系统账户。
(2)事件:显示最近发生的系统事件,默认显示5个事件。
(3)进程:显示进程的系统资源占用情况,默认以CPU占用比例为序,显示CPU占用率最高的5个进程。
(4)已安装的修补程序:最近安装的系统补丁,默认显示5个补丁信息。
(5)网络流量:动态显示网络流量信息。
(6)磁盘驱动器:所有分区的空间使用情况。
(7)计划的任务:显示最后执行的任务计划,默认为5个。
(8)最近的访问:系统最近访问记录。
(9)日记:管理员可在此区域编辑管理日记。
3.4.3 远程操控目标主机
当成功侵入目标主机后,就可以通过浏览器远程操控目标主机了,具体的操作步骤如下。
Step 01 选择左侧列表中的“远程控制”选项,在右侧窗格中显示了远程主机的界面,通过该窗格可以利用本地的鼠标、键盘、显示器直接控制远程主机。在窗格上侧有部分工具可以使用,包括颜色调整、远程桌面大小调整等。
Step 02 选择左侧列表中的“文件管理器”选项,在右侧窗格中显示了本地和远程主机的资源管理器,在两个资源管理器中可以随意地拖曳文件,以实现资料互传。
Step 03 选择左侧列表中的“桌面共享”选项,在右侧窗格中显示了实现桌面共享的操作方法。按照提示方法右击桌面状态栏的程序图标,在弹出的快捷菜单中选择Share my Desktop...选项。
Step 04 弹出“桌面共享”对话框,选中“邀请来宾与您一起工作”单选按钮,单击“下一步”按钮。
Step 05 弹出“邀请详情”对话框,可以在该对话框中配置邀请名,默认按时间显示,方便以后查看,还可以设置本次邀请的有效访问时限,在最后一个文本框中输入被邀请人连接目标主机使用的地址,全部选择默认配置,单击“下一步”按钮。
Step 06 弹出“已创建邀请”对话框,在文本框中显示了被邀请人获得的地址,可以通过单击“复制”和“电子邮件”两个按钮,让被邀请人获得邀请地址,单击“完成”按钮,完成本次邀请。
Step 07 单击左侧列表中“聊天”选项,通过右侧窗格可以与被管设备聊天,一般被管设备很少有人在,所以该功能用得比较少。
Step 08 选择左侧列表中的“计算机管理”→“用户管理器”选项,在右侧“用户管理器”窗格中显示了远程主机的用户和组信息,单击“添加用户”按钮可以为远程主机增加用户,同时可以单击用户名对其进行编辑。
Step 09 选择左侧列表中的“计算机管理”→“事件查看器”选项,在右侧窗格中显示了“事件查看器”窗格,通过该窗格可以查看远程主机的事件信息。
Step 10 选择左侧列表中的“计算机管理”→“服务”选项,在右侧窗格中显示了“服务”窗格,通过该窗格可以查看远程主机所有的服务项,也可以单击这些服务项进行启动、禁用和删除等操作。
Step 11 选择左侧列表中的“计算机管理”→“进程”选项,在右侧窗格中显示了“进程”窗格,通过该窗格可以查看远程主机所有的进程,单击PID为1016的进程。
Step 12 弹出新界面,显示出进程1752的进程名为Runtime Broker.exe,同时还显示了该进程的其他信息,通过修改“优先级类”下拉列表选项可以调整该进程的优先级别,可以为需要优先执行的进程做调整。
Step 13 选择左侧列表中的“计算机管理”→“注册表编辑器”选项,在右侧窗格中显示了“注册表编辑器”窗格,通过该窗格可以查看远程主机的注册表信息。
Step 14 选择左侧列表中的“计算机管理”→“重新引导选项”,在右侧窗格中显示了“重新引导选项”窗格,通过该窗格可以根据需求对远程主机做各种引导操作,只需要单击指定的图标按钮就可以。
Step 15 选择左侧列表中的“计算机设置”→“环境变量”选项,在右侧窗格中显示了“环境变量”窗格,通过该窗格可以修改远程主机的环境变量信息,通过单击指定环境变量选项进行调整。
Step 16 选择左侧列表中的“计算机设置”→“虚拟内存”选项,在右侧窗格中显示了“虚拟内存”窗格,通过该窗格可以修改远程主机的不同磁盘驱动器提供虚拟内存的数量,建议不要选择C盘,总量设置为物理内存的1.5倍,单击“应用”按钮使配置生效。
Step 17 通过RemotelyAnywhere还可以配置个别主机的配置,例如FTP、活动目录。不过该功能一般不建议使用。
Step 18 在左侧选项列表中选择“计划与警报”选项,该选项下有两个子选项,分别是“电子邮件警报”和“任务计划程序”。通过“电子邮件警报”选项可以监视系统接收的电子邮件信息,对垃圾邮件等有安全威胁的信息提供警报提示,通过“任务计划程序”选项可以为系统配置任务计划。
Step 19 在左侧选项列表中选择“性能信息”→“CPU负载”选项,在右侧显示“CPU负载”窗格,该窗格显示了CPU的使用情况图表,从下方列表中可以看到各个进程的CPU使用情况。
Step 20 在左侧选项列表中选择“性能信息”→“驱动器与分区信息”选项,在右侧显示“驱动器与分区信息”窗格,该窗格显示了远程主机磁盘分区情况,以及各个分区的状态信息,在其中可以单击指定分区进行分区调整。
Step 21 在左侧选项列表中选择“安全”→“访问控制”选项,在右侧显示“访问控制”窗格,通过该窗格可以设置部分访问控制内容,如为特定用户指定访问权限。配置完成后,单击“应用”按钮生效。
Step 22 在左侧选项列表中选择“安全”→“IP地址锁定”选项,在右侧显示“IP地址锁定”窗格,通过该窗格可以对非法访问远程主机的地址进行锁定操作,主要通过“拒绝服务过滤器”和“验证攻击过滤器”两项来完成配置。“拒绝服务过滤器”根据对服务器HTTP无效请求数进行IP地址锁定,“验证攻击过滤器”根据对服务器无效验证数进行IP地址锁定,超出阀值的按照规定时间锁定地址。
Step 23 在左侧选项列表中选择“安全”→“IP过滤”选项,在右侧显示“IP过滤”窗格,通过单击右侧窗格的“添加”按钮,可以为远程服务器添加IP过滤策略;选择配置好的配置文件,单击“使用配置文件”按钮,可以使该项IP过滤策略生效。
