后门概念 后门就是不经过正常认证流程而访问系统的通道。
哪里有后门呢?
下面是近些年的一些例子:
我们接下来讲得是一个相对狭义一点的后门的概念,
- 首先得有这么一个程序
- netcat 系列
- meterpreter
- intersect
- ...特别多
- 其次得放到系统里
- 正版软件故意或被攻击,包含后门
- 正版库文件中包含后门
- 本质上,需要诱骗你下载操作的,都属于各种钓鱼吧
- 安装包中包含后门,放到网上供下载
- 绑定到特定文件中,放到网上供下载
- 直接发送恶意程序给你
- 直接发送攻击性钓鱼链接给你,恶意网站种马
- 捡到个U盘,打开个文件看看?
- 煤女帅锅拿U盘直接拷给你
- 攻击系统漏洞,获取控制权后,安装后门
- 再次还得运行起来
- 开机自启动技术
- win的定时任务
- linux的cron
- 伪装成常用软件,诱使用户点击
- 木马化正常软件
- 最后还得不被本机的恶意代码检测程序发现
- 恶意代码免杀技术
- 也不能被本机的或网络上的防火墙发现
- 反弹式连接
- 加密连接
- 隧道技术
基础问题回答
(1)例举你能想到的一个后门进入到你系统中的可能方式? 答:从非正规途径下载软件,如果软件捆绑有木马病毒,则会导致在电脑系统内留下后门,黑客就可以通过该可执行文件对pc进行窃听
(2)例举你知道的后门如何启动起来(win及linux)的方式? Windows:设置为开机自启动、修改注册表项、用户执行带有后门的可执行文件 Linux:通过crontab功能将后门设为定时启动;也可以通过对正常软件绑定注入shellcode (3)Meterpreter有哪些给你映像深刻的功能? 录像和录音功能,以及截屏功能 (4)如何发现自己有系统有没有被安装后门? 利用杀毒软件进行定期的排查 查看任务计划程序、开机自启动项、注册表项中是否有可疑程序
常用的后门工具 win获得linux的shell
典型的平台就包括有:
参数说明:
-p 使用的payload。payload翻译为有效载荷,就是被运输有东西。这里windows/meterpreter/reverse_tcp就是一段shellcode. -x 使用的可执行文件模板,payload(shellcode)就写入到这个可执行文件中。 -e 使用的编码器,用于对shellcode变形,为了免杀。 -i 编码器的迭代次数。如上即使用该编码器编码5次。 -b badchar是payload中需要去除的字符。 LHOST 是反弹回连的IP LPORT 是回连的端口 -f 生成文件的类型
输出到哪个文件
任务二:使用socat获取主机操作Shell, 任务计划启动 socat是ncat的增强版,它使用的格式是,其中两个address是必选项,而options是可选项。
实验中遇到的问题 首先就是我们搞清楚linux和win谁是接受方,谁是监听方,这关系到输入的指令和ip,我在做实验的时候经常把二者弄反,导致实验经常中断。