20145325張梓靖 《網絡對抗技術》 後門原理與實踐

20145325張梓靖 《網絡對抗技術》 後門原理與實踐

　　

實驗內容

• 使用netcat、socat獲取主機操做Shell，並分別設置cron啓動與任務計劃啓動
• 使用MSF meterpreter生成後門的可執行文件，並利用ncat或socat傳送給主機，接着運行文件獲取目標主機的音頻、攝像頭、擊鍵記錄、提權等內容　

基礎問題回答

1. 例舉你能想到的一個後門進入到你係統中的可能方式？
   經過郵件發送，並不當心點開了惡意連接；
   QQ上的朋友被盜號，點開了發送過來的文件；
   U盤裏的文件不安全，插入電腦將其文件保存在電腦內；
   上不可靠、不安全的網站，誤點小廣告；
   雲盤裏共享的文件可能帶有惡意代碼，將其下載並保存在了電腦裏。
2. 例舉你知道的後門如何啓動起來(win及linux)的方式？
   本身不當心點擊運行了後門程序；
   篡改了註冊表，將其設爲開機自動運行；
   被控端被設置了cron啓動，定時循環啓動；
   被控端被設置了任務計劃啓動，在被控端達到某個條件時程序運行，且此時控制端可自由鏈接控制被控端；
   與其餘具備正常功能的程序進行了綁定，在運行正常程序時，連帶着運行後門；
   後門被設置爲成服務，且其名字與系統服務名字相似。
3. Meterpreter有哪些給你映像深入的功能？
   能夠將後門程序遷移到其餘正在運行的正常程序裏，能隱藏得很深
   能夠用被控端的命令，截個當前被控端的屏幕、獲取被控端的鍵盤錄入
   可使用MSF自帶的POST模塊，像導出被控端用戶密碼之類的
4. 如何發現本身有系統有沒有被安裝後門？
   查看註冊表、進程、服務等，是否有未知的程序

實驗總結與體會

經過此次後門的實驗，瞭解到瞭如今確實不只僅是說程序本來就有可能在設計上就存在專門的後門，更多的是有了專門的後門程序，這還不止，更是有了專業生成符合不一樣類型機器的後門程序。在平時使用電腦的時候，就要開始多加註意了，不要不當心讓後門進了系統，更不要在感染了後門後還不自知。後門的存在真的是一個很大威脅，一旦攻破電腦，獲得最大權限，那電腦就再也不只獨屬於本身，更別說將後門的運行設置爲電腦鎖屏的時候，若是真是這樣，而本身平時又很少加註意檢查的話，估計很長時間都還覺得本身的電腦安全又健康。平時也能夠多翻翻電腦設置，不少都還挺有意思的。

實踐過程記錄

使用netcat：linux得到win shell

• 首先查詢linux的IP，並打開netcat監聽端口
  

• 在win中使用netcat綁定cmd鏈接到linux的正在監聽的端口
  

• linux獲取到了win shell
  

使用netcat：win得到linux shell

• 在win中打開netcat，監聽端口
  

• linux使用使用netcat綁定/bin/sh鏈接到win的正在監聽的端口
  

• win獲取到了linux shell
  

設置cron啓動，使用netcat得到linux shell

• 在linux中使用crontab指令增長一條定時任務（使用netcat鏈接道控制端的命令）
  

• 查看剛剛添加的定時任務
  

• win一直開啓netcat監聽，等到45分後，win獲取linux shell成功
  

使用sotcat：win得到linux shell

• 在linux中，使用socat綁定bash與端口號，監聽，等待鏈接
  

• win中使用socat對linux進行tcp固定端口鏈接，成功獲取linux shell
  

設置任務計劃啓動，使用sotcat得到win shell

• 打開win操做面板裏管理工具的任務計劃，新建

• 對觸發器進行設定
  

• 對操做進行設定（參數爲win使用socat綁定cmd進行監聽等待鏈接的命令）
  

• 設定完後保持，並啓動該任務測試一下：linux鏈接被控端，得到win shell
  

使用MSF meterpreter生成後門並傳到被控主機獲取shell

• 生成可執行文件（反彈式），肯定好反彈回來的IP地址與端口號
  

• linux使用netcat傳輸可執行文件
  

• win使用netcat接受可執行文件
  

• 查看win下是否成功接受可執行文件
  

• 在linux中，使用MSF修改好與可執行文件對應的IP地址和端口號後，打開監聽進程
  

• 在win中雙擊運行可執行文件之前，須要將win中的殺毒軟件與防火牆設置一下（由於它們會把可執行文件直接做爲病毒殺掉）

• 在殺毒軟件中，通常都會有文件白名單，即免殺、跳過病毒掃描
  

• 將可執行文件放入信任區
  

• 在防火牆中一樣有「容許程序經過windous防火牆通訊」的設置，因此只需將可執行文件添加進去，防火牆就不會對該文件的通訊進行阻止
  

• 這時再雙擊啓動win上的可執行文件，linux成功獲取win shell
  

使用MSF meterpreter生成獲取目標主機某些內容

• 獲取目標主機的當前屏幕
  

• 獲取目標主機的攝像頭使用權
  

沒成功，它說目標主機沒有能夠用來瀏覽器??????

• 獲取目標主機的擊鍵記錄
  

• 獲取目標主機的提權