20145325张梓靖 《网络对抗技术》 后门原理与实践

20145325张梓靖 《网络对抗技术》 后门原理与实践

  

实验内容

  • 使用netcat、socat获取主机操作Shell,并分别设置cron启动与任务计划启动
  • 使用MSF meterpreter生成后门的可执行文件,并利用ncat或socat传送给主机,接着运行文件获取目标主机的音频、摄像头、击键记录、提权等内容 

基础问题回答

  1. 例举你能想到的一个后门进入到你系统中的可能方式?
    通过邮件发送,并不小心点开了恶意链接;
    QQ上的朋友被盗号,点开了发送过来的文件;
    U盘里的文件不安全,插入电脑将其文件保存在电脑内;
    上不可靠、不安全的网站,误点小广告;
    云盘里共享的文件可能带有恶意代码,将其下载并保存在了电脑里。
  2. 例举你知道的后门如何启动起来(win及linux)的方式?
    自己不小心点击运行了后门程序;
    篡改了注册表,将其设为开机自动运行;
    被控端被设置了cron启动,定时循环启动;
    被控端被设置了任务计划启动,在被控端达到某个条件时程序运行,且此时控制端可自由连接控制被控端;
    与其他具有正常功能的程序进行了绑定,在运行正常程序时,连带着运行后门;
    后门被设置为成服务,且其名字与系统服务名字类似。
  3. Meterpreter有哪些给你映像深刻的功能?
    可以将后门程序迁移到其他正在运行的正常程序里,能隐藏得很深
    可以用被控端的命令,截个当前被控端的屏幕、获取被控端的键盘录入
    可以使用MSF自带的POST模块,像导出被控端用户密码之类的
  4. 如何发现自己有系统有没有被安装后门?
    查看注册表、进程、服务等,是否有未知的程序

实验总结与体会

    通过这次后门的实验,了解到了现在确实不仅仅是说程序原本就有可能在设计上就存在专门的后门,更多的是有了专门的后门程序,这还不止,更是有了专业生成符合不同类型机器的后门程序。在平时使用电脑的时候,就要开始多加注意了,不要不小心让后门进了系统,更不要在感染了后门后还不自知。后门的存在真的是一个很大威胁,一旦攻破电脑,得到最大权限,那电脑就不再只独属于自己,更别说将后门的运行设置为电脑锁屏的时候,如果真是这样,而自己平时又不多加注意检查的话,估计很长时间都还以为自己的电脑安全又健康。平时也可以多翻翻电脑设置,很多都还挺有意思的。

实践过程记录

使用netcat:linux获得win shell

  • 首先查询linux的IP,并打开netcat监听端口

  • 在win中使用netcat绑定cmd连接到linux的正在监听的端口

  • linux获取到了win shell

使用netcat:win获得linux shell

  • 在win中打开netcat,监听端口

  • linux使用使用netcat绑定/bin/sh连接到win的正在监听的端口

  • win获取到了linux shell

设置cron启动,使用netcat获得linux shell

  • 在linux中使用crontab指令增加一条定时任务(使用netcat连接道控制端的命令)

  • 查看刚刚添加的定时任务

  • win一直开启netcat监听,等到45分后,win获取linux shell成功

使用sotcat:win获得linux shell

  • 在linux中,使用socat绑定bash与端口号,监听,等待连接

  • win中使用socat对linux进行tcp固定端口连接,成功获取linux shell

设置任务计划启动,使用sotcat获得win shell

  • 打开win操作面板里管理工具的任务计划,新建

  • 对触发器进行设定

  • 对操作进行设定(参数为win使用socat绑定cmd进行监听等待连接的命令)

  • 设定完后保持,并启动该任务测试一下:linux连接被控端,获得win shell

使用MSF meterpreter生成后门并传到被控主机获取shell

  • 生成可执行文件(反弹式),确定好反弹回来的IP地址与端口号

  • linux使用netcat传输可执行文件

  • win使用netcat接受可执行文件

  • 查看win下是否成功接受可执行文件

  • 在linux中,使用MSF修改好与可执行文件对应的IP地址和端口号后,打开监听进程

  • 在win中双击运行可执行文件以前,需要将win中的杀毒软件与防火墙设置一下(因为它们会把可执行文件直接作为病毒杀掉)

  • 在杀毒软件中,一般都会有文件白名单,即免杀、跳过病毒扫描

  • 将可执行文件放入信任区

  • 在防火墙中同样有“允许程序通过windous防火墙通信”的设置,所以只需将可执行文件添加进去,防火墙就不会对该文件的通信进行阻止

  • 这时再双击启动win上的可执行文件,linux成功获取win shell

使用MSF meterpreter生成获取目标主机某些内容

  • 获取目标主机的当前屏幕

  • 获取目标主机的摄像头使用权

没成功,它说目标主机没有可以用来浏览器??????

  • 获取目标主机的击键记录

  • 获取目标主机的提权

posted @ 2017-03-15 15:59  20145325张梓靖  阅读(397)  评论(0编辑  收藏  举报