20145325张梓靖 《网络对抗技术》 后门原理与实践

20145325张梓靖 《网络对抗技术》 后门原理与实践

　　

实验内容

• 使用netcat、socat获取主机操做Shell，并分别设置cron启动与任务计划启动
• 使用MSF meterpreter生成后门的可执行文件，并利用ncat或socat传送给主机，接着运行文件获取目标主机的音频、摄像头、击键记录、提权等内容　

基础问题回答

1. 例举你能想到的一个后门进入到你系统中的可能方式？
   经过邮件发送，并不当心点开了恶意连接；
   QQ上的朋友被盗号，点开了发送过来的文件；
   U盘里的文件不安全，插入电脑将其文件保存在电脑内；
   上不可靠、不安全的网站，误点小广告；
   云盘里共享的文件可能带有恶意代码，将其下载并保存在了电脑里。
2. 例举你知道的后门如何启动起来(win及linux)的方式？
   本身不当心点击运行了后门程序；
   篡改了注册表，将其设为开机自动运行；
   被控端被设置了cron启动，定时循环启动；
   被控端被设置了任务计划启动，在被控端达到某个条件时程序运行，且此时控制端可自由链接控制被控端；
   与其余具备正常功能的程序进行了绑定，在运行正常程序时，连带着运行后门；
   后门被设置为成服务，且其名字与系统服务名字相似。
3. Meterpreter有哪些给你映像深入的功能？
   能够将后门程序迁移到其余正在运行的正常程序里，能隐藏得很深
   能够用被控端的命令，截个当前被控端的屏幕、获取被控端的键盘录入
   可使用MSF自带的POST模块，像导出被控端用户密码之类的
4. 如何发现本身有系统有没有被安装后门？
   查看注册表、进程、服务等，是否有未知的程序

实验总结与体会

经过此次后门的实验，了解到了如今确实不只仅是说程序本来就有可能在设计上就存在专门的后门，更多的是有了专门的后门程序，这还不止，更是有了专业生成符合不一样类型机器的后门程序。在平时使用电脑的时候，就要开始多加注意了，不要不当心让后门进了系统，更不要在感染了后门后还不自知。后门的存在真的是一个很大威胁，一旦攻破电脑，获得最大权限，那电脑就再也不只独属于本身，更别说将后门的运行设置为电脑锁屏的时候，若是真是这样，而本身平时又很少加注意检查的话，估计很长时间都还觉得本身的电脑安全又健康。平时也能够多翻翻电脑设置，不少都还挺有意思的。

实践过程记录

使用netcat：linux得到win shell

• 首先查询linux的IP，并打开netcat监听端口
  

• 在win中使用netcat绑定cmd链接到linux的正在监听的端口
  

• linux获取到了win shell
  

使用netcat：win得到linux shell

• 在win中打开netcat，监听端口
  

• linux使用使用netcat绑定/bin/sh链接到win的正在监听的端口
  

• win获取到了linux shell
  

设置cron启动，使用netcat得到linux shell

• 在linux中使用crontab指令增长一条定时任务（使用netcat链接道控制端的命令）
  

• 查看刚刚添加的定时任务
  

• win一直开启netcat监听，等到45分后，win获取linux shell成功
  

使用sotcat：win得到linux shell

• 在linux中，使用socat绑定bash与端口号，监听，等待链接
  

• win中使用socat对linux进行tcp固定端口链接，成功获取linux shell
  

设置任务计划启动，使用sotcat得到win shell

• 打开win操做面板里管理工具的任务计划，新建

• 对触发器进行设定
  

• 对操做进行设定（参数为win使用socat绑定cmd进行监听等待链接的命令）
  

• 设定完后保持，并启动该任务测试一下：linux链接被控端，得到win shell
  

使用MSF meterpreter生成后门并传到被控主机获取shell

• 生成可执行文件（反弹式），肯定好反弹回来的IP地址与端口号
  

• linux使用netcat传输可执行文件
  

• win使用netcat接受可执行文件
  

• 查看win下是否成功接受可执行文件
  

• 在linux中，使用MSF修改好与可执行文件对应的IP地址和端口号后，打开监听进程
  

• 在win中双击运行可执行文件之前，须要将win中的杀毒软件与防火墙设置一下（由于它们会把可执行文件直接做为病毒杀掉）

• 在杀毒软件中，通常都会有文件白名单，即免杀、跳过病毒扫描
  

• 将可执行文件放入信任区
  

• 在防火墙中一样有“容许程序经过windous防火墙通讯”的设置，因此只需将可执行文件添加进去，防火墙就不会对该文件的通讯进行阻止
  

• 这时再双击启动win上的可执行文件，linux成功获取win shell
  

使用MSF meterpreter生成获取目标主机某些内容

• 获取目标主机的当前屏幕
  

• 获取目标主机的摄像头使用权
  

没成功，它说目标主机没有能够用来浏览器??????

• 获取目标主机的击键记录
  

• 获取目标主机的提权