后门概念 后门就是不经过正常认证流程而访问系统的通道。

哪里有后门呢？

下面是近些年的一些例子：

我们接下来讲得是一个相对狭义一点的后门的概念，

• 首先得有这么一个程序
  • netcat 系列
  • meterpreter
  • intersect
  • ...特别多
• 其次得放到系统里
  • 正版软件故意或被攻击，包含后门
  • 正版库文件中包含后门
  • 本质上，需要诱骗你下载操作的，都属于各种钓鱼吧
    • 安装包中包含后门，放到网上供下载
    • 绑定到特定文件中，放到网上供下载
    • 直接发送恶意程序给你
    • 直接发送攻击性钓鱼链接给你，恶意网站种马
    • 捡到个U盘，打开个文件看看？
  • 煤女帅锅拿U盘直接拷给你
  • 攻击系统漏洞，获取控制权后，安装后门
• 再次还得运行起来
  • 开机自启动技术
  • win的定时任务
  • linux的cron
  • 伪装成常用软件，诱使用户点击
  • 木马化正常软件
• 最后还得不被本机的恶意代码检测程序发现
  • 恶意代码免杀技术
• 也不能被本机的或网络上的防火墙发现
  • 反弹式连接
  • 加密连接
  • 隧道技术

基础问题回答

(1)例举你能想到的一个后门进入到你系统中的可能方式？ 答：从非正规途径下载软件，如果软件捆绑有木马病毒，则会导致在电脑系统内留下后门，黑客就可以通过该可执行文件对pc进行窃听

(2)例举你知道的后门如何启动起来(win及linux)的方式？ Windows：设置为开机自启动、修改注册表项、用户执行带有后门的可执行文件 Linux：通过crontab功能将后门设为定时启动；也可以通过对正常软件绑定注入shellcode (3)Meterpreter有哪些给你映像深刻的功能？ 录像和录音功能，以及截屏功能 (4)如何发现自己有系统有没有被安装后门？ 利用杀毒软件进行定期的排查 查看任务计划程序、开机自启动项、注册表项中是否有可疑程序

常用的后门工具 win获得linux的shell

典型的平台就包括有：

参数说明：

-p 使用的payload。payload翻译为有效载荷，就是被运输有东西。这里windows/meterpreter/reverse_tcp就是一段shellcode. -x 使用的可执行文件模板，payload(shellcode)就写入到这个可执行文件中。 -e 使用的编码器，用于对shellcode变形，为了免杀。 -i 编码器的迭代次数。如上即使用该编码器编码5次。 -b badchar是payload中需要去除的字符。 LHOST 是反弹回连的IP LPORT 是回连的端口 -f 生成文件的类型

输出到哪个文件

任务二：使用socat获取主机操作Shell, 任务计划启动 socat是ncat的增强版，它使用的格式是，其中两个address是必选项，而options是可选项。

实验中遇到的问题 首先就是我们搞清楚linux和win谁是接受方，谁是监听方，这关系到输入的指令和ip，我在做实验的时候经常把二者弄反，导致实验经常中断。