20145308 《網絡對抗》 MAL_後門應用與實踐 學習總結

20145308 《網絡對抗》 MAL_後門應用與實踐 學習總結

實踐目的

• 使用nc實現win和Linux間的後門鏈接
• meterpreter的應用

• MSF POST的應用

  知識點學習總結

• 後門：通常指開發者預留的能夠通過不正常的流程得到訪問系統權限的通道
• netcat能夠收發TCP、UDP報文，與其餘軟件結合，能夠實現後門效果

• meterpreter能夠生成有後門效果的可執行文件

  基礎問題回答

• (1)例舉你能想到的一個後門進入到你係統中的可能方式？
• 買了蘋果的電腦，但是要找人幫忙作雙系統，結果。。。
• 插了選修計算機病毒的同窗的U盤，結果中招
• 在網上下載軟件時候被安插後門

• 和淘寶賣家線下交易，點了賣家發來的網站連接

• (2)例舉你知道的後門如何啓動起來(win及linux)的方式？

• 反彈端口鏈接，能夠躲避防火牆的查殺

• (3)Meterpreter有哪些給你印象深入的功能？

• 抓攝像頭，本身鏡頭前的一舉一動都會被人看到，嚇得我摸了摸本身被糊住的鏡頭

• (4)如何發現本身有系統有沒有被安裝後門？

• 監控每個端口，發現有沒有異常鏈接

實驗總結與體會

• 本次實驗本身作了一個低級的小後門程序，雖然電腦的兩個殺毒軟件都查殺出了後門程序，可是在實驗過程當中，關閉了兩個殺毒軟件仍是讓人很恐懼的，此次試驗讓我對本身的電腦安全愈來愈重視

  實踐過程記錄

  Win得到Linux Shell

• 首先Linux中有自帶的nc，Windows系統中沒有，將碼雲上的nc下載並解壓在C://

• 查看windows系統IP,IP爲192.168.1.107
  

• 進入nc所在文件夾，打開windows的監聽，指定端口號5308
  

• Linux反彈鏈接到Windows監聽的端口
  

• Windows獲取Linux Shell成功
  

Linux得到Win Shell

• 首先查看Linux的IP,Linux IP爲192.168.44.128
  

• 在Linux系統中運行監聽5308端口
  

• 用Windows反彈鏈接Linux監聽的5308端口
  

• 得到Shell成功，能夠在Linux上獲取Windows的命令行
  

nc傳輸數據

• Windows監聽準備接收文件,並存儲接收到的文件名爲5308，後綴exe
  

• Linux發送pwn1
  

• Windows成功接收到Linux發來的文件
  

socat:Windows獲取Linux Shell

• 下載好socat並解壓

• Linux用socat綁定5308端口
  

• Linux反彈鏈接socat綁定的端口
  

• Windows開啓對Linux對應端口的監聽，Windows獲取Linux Shell成功
  

Meterpreter

• 首先在Linux中生成一個後門程序
  

• 在Windows中安插後門，將生成的後門程序複製到Windows中

• MSF打開監聽進程，首先進入設置MSF
  

• 設置payload與後門程序一致，LHOST與生成後門程序的主機IP相同，LPORT也與生成的後門程序中的端口號相同
  

• 啓動監聽
  

• 雙擊Windows中複製的後門程序，自動鏈接預先設置的Linux，獲取Windows Shell
  

Meterpreter基本功能

• help指令
  

• 根據help指令提示，進行一些操做，shell獲取windows Shell,exit退出
  

• irb獲取ruby交互界面，exit退出
  

• PS列出當前進程號，migrate進程遷移，getpid顯示進程號，將meterpreter HOOk遷移到其餘進程上
  

• screenshot抓當前系統桌面，根據提示的保存路徑就能找到抓到的屏幕
  

cron

• 在crontab指令增長一條定時任務，-e表示編輯,修改IP和端口號爲Windows對應主機端口號，修改時間爲30
  

• 用crontab -l指令查看修改結果
  

• Windows進入ncat對應文件夾，打開對應端口的監聽
  

• 到30分，Linux自動鏈接Windows，獲取Linux Shell成功