記學習滲透測試之使用後門和惡意軟體保持訪問權五

 netcat是一個作為網路分析工具編寫的應用程式。他可以使用任何埠在兩臺機器之間開啟TCP和UDP連線。如果需要或是其他方法無效，還可將其作用於類似於nmap的埠掃描工具。
 此外,netcat可用於向遠端系統開放一個連線。如果單獨使用netcat，則可以有效地在系統上開啟一個遠端shell。但如果將netcat捆綁在另一個可執行檔案中，則可以將其作用於木馬並將其傳遞給目標。

netcat只有一個可執行檔案，可以配置為客戶端或伺服器執行，取決於具體的目標。通常，使用netcat的過程包括將其植入受害系統，然後使用客戶端連線到系統，並向主機發出命令（可以通過製作一個木馬或其他方法，將該軟體部署到受害系統上實現）。也可以簡單地通過純粹的社會工程方法（如網路釣魚），將該軟體植入受害系統上。

此時假定netcat已經存在受害者客戶端（Windows）中，我們可以隨意安裝和配置netcat軟體。要使用netcat，首先要了解他的語法和工作原理。基礎語法為：

cc [選項] <主機地址> <埠號>

該命令將以類似Telnet的方式，向由主機地址和埠號定義的遠端系統傳送請求。

和Telnet十分類似，netcat並不加密也不採取其他措施保護通訊，因此可能對其進行竊聽和監測。

如果需要更高的隱藏級別，也可以建立到主機的UDP連線。要使用基於UDP的連線，只需要執行以下命令：

nc -u <主機地址> <埠號>

瞭解這一基本語法後，即可使用netcat來執行先前進行的操作，例如埠掃描，執行以下命令：

nc -z -v <主機地址> 1-1000

 該命令將掃描1到1000的所有埠。-z選項使netcat不嘗試連線，從而降低被檢測的風險。最後，-v將netcat置於詳情模式，此模式可提供有關其正在執行的操作的更多資訊,輸出一般與下圖類似

該掃描將提供大量資訊，但掃描完成後，即可知道目標開啟或關閉了哪些埠。

現在設想將netcat作為木馬部署到系統中。在受害者不知不覺地將該軟體安裝在他們的系統中後，即可達到使用這種技術掃描受害者自己網路中的其他主機。

返回的訊息將傳送到標準錯誤（standard error）。可將標準錯誤訊息傳送到標準輸出，這樣可便於過濾結果。

與netcat通訊

 netcat具備很多功能，例如在主機之間進行通訊。可在客戶機-伺服器關係中連線netcat的兩個例項並進行通訊。
 兩臺計算機中伺服器和客戶端是在初始配置中設定的，然後即可進行通訊。建立連線後，兩點之間的雙向通訊是完全同步的。
 要進行此類通訊，必須執行幾步操作。首先，需要定義客戶端，可以通過執行以下命令來完成：

nc -l 4444

zhejiang配置netcat偵聽埠4444的連線

接下來，在第二臺機器上通過執行以下命令發起連線：

netcat zebes.com 4444

在客戶端中，因為沒有開啟任何命令視窗，似乎沒有任何事情發生。但是，在連線成功時，將在系統上得到一個命令提示符，可從中向遠端主機發出命令。

完成訊息傳遞後，只需要按Ctrl+D即可關閉連線。

使用netcat傳送檔案

基於上面的例子，還可以完成更有用的任務。下面介紹如何將檔案傳輸到遠端主機，之後利用此功能可以很容易地構建一些更強大的攻擊。因為建立了一個標準的TCP連線，可以通過該連線傳輸任何型別的資訊——在這種情況下，傳輸一個檔案。

為了實現這一點，必須首先選擇連線的一端為偵聽端。然而，在此並不是與上一個例子中一樣，將資訊列印到螢幕上，而是將所有資訊直接存入一個檔案中：

netcat -l 4444 > received_file

在第二臺計算機上，通過輸入以下內容建立一個簡單的文字檔案：

echo "Hello,this is a file" > original_file

現在即可使用此檔案，作為下一步向監聽計算機建立的netcat連線的輸入。該檔案將被傳輸到監聽計算機，就像它是以互動方式輸入的一樣：

netcat zebes.com 4444 < original_file

可以在偵聽連線的計算機上看到，其中現有一個名為received_file的新檔案，檔案中包含另一臺計算機上所輸入的檔案的內容：

Notepad received_file
Hello,this is a file

如你所見，通過使用netcat，可以很容易地利用此連線傳輸各種資訊，包括整個目錄的資訊。

安裝rookit

rookit是一種非常危險的惡意軟體形式。這種型別的惡意軟體從核心級植入到計算機中，可以提供遠端訪問、系統資訊和資料資訊、執行偵察行動、安裝軟體以及執行許多其他任務，所有這些行為都不會向系統或使用者暴露其存在。

rookit最早出現於20世紀90年代，經過多年的演變，他變得更加危險。事實上，現代版本的rookit可以將其自身嵌入作業系統的核心，從而可以從根本上改變作業系統本身的行為。它們可以攔截來自作業系統（外延到應用程式）的請求，並用虛假資訊響應。由於rookit通常設計為從作業系統和系統日誌隱藏其程式，因此難以檢測和刪除。

在理想情況下，採用之前敘述的方法，例如木馬程式，攻擊者可以快速有效地將rookit植入系統中。接收惡意內容的使用者可能無意中啟用rookit並將其安裝到系統中。安裝過程快速而隱祕，不會顯示任何危險訊號。在其他情況下，僅僅是瀏覽網頁時訪問受感染網站的行為就足以導致感染。

在安裝rookit後，只要目標計算機聯機，黑客即可祕密的與其通訊，以觸發任務或竊取資訊。在其他情況下，rookit可用於安裝更多的隱藏程式，並在系統中建立“後門”。如果黑客想竊取資訊，可以安裝一個鍵盤記錄程式。該程式將在線上和離線狀態下，祕密記錄受害者錄入的所有內容，並在下一次有機會時，將結果提供給攻擊者。

rookit的其他惡意用途包括攻擊數百甚至數十萬臺計算機，形成一個稱為“殭屍網路（botnet）”的遠端“rookit網路”。殭屍網路用於向其他計算機發動分散式拒絕服務（DDoS）攻擊，傳送垃圾郵件、病毒和木馬。這項活動如果追溯到發件人，可能會導致rookit網路的受害者被當成有惡意目的的攻擊者。

本作品採用《CC 協議》，轉載必須註明作者和本文連結