渗透测试之木马后门实验

一、实验背景

根据CNCERT的监测数据显示，2018年位于美国的1.4万余台木马或僵尸网络控制服务器，控制了中国境内334万余台主机；2018年位于美国的3325个IP地址向中国境内3607个网站植入木马，根据对控制中国境内主机数量及控制中国境内遭植入木马的网站数量统计，在境外攻击来源地排名中，美国独占鳌头。有关专家表示，一直以来，美国都指责中国时美国网络安全的主要威胁，但从上述数据可以看出，美国才是网络攻击的最大来源国。
木马是隐藏在正常程序中的具有特殊功能的后门程序。它隐藏在目标计算机里，可以随计算机自动启动并在某一端口监听来及控制端的控制消息。

二、实验设备

1. 一台win7桌面主机，作为内网终端
2. 增加一个网络net：cloud0
3. 一台模拟黑客主机Kali
4. 一台边界路由器
5. 一台接入交换机
6. FTP-sever软件，用于物理主机搭建FTP服务器

三、实验拓扑图

四、实验目的

1. 熟悉安全服务工作中，渗透测试的方法
2. 学会渗透测试报告的书写
3. 了解木马反弹端口技术原理和传播机制
4. 熟悉msfvemon制作shellcode木马的方法
5. 学会使用metasploit辅助模块的方法
6. 熟练metasploit的常见命令
7. 加深对木马的安全防范意识

五、实验要求、步骤如下：

1.边界路由器实现内部DHCP分配和边界NAT需求，其配置如下：

Router(config)#int f0/0
Router(config-if)#ip address dhcp
Router(config-if)#no shutdown
Router(config-if)#ip nat outside
Router(config)#int f1/0
Router(config-if)#no shutdown
Router(config-if)#ip nat inside
Router(config-if)#ip address 192.168.100.254 255.255.255.0
Router(config-if)#exit
Router(config)#access-list 1 permit 192.168.100.0 0.0.0.255
Router(config)#ip nat inside source list 1 interface f0/0 overload
Router(config)#ip dhcp pool lan
Router(dhcp-config)#network 192.168.100.0 255.255.255.0
Router(dhcp-config)#default-router 192.168.100.254
Router(dhcp-config)#dns-server 114.114.114.114

注意：此时内网路由为直连，缺省路由自动通过dhcp获得网关产生，故无需特殊配置

2.接入层交换机保持默认属于vlan1配置即可

3.内网Windows7桌面自动获得IP即可，并测试与外网的连通性：

4.接下来开启Kali虚拟机，制作可针对Windows任何版本的木马，配置如下：


5.开启metasploit工具，使用辅助模块auxiliary监控木马上线即开启木马客户端程序配置如下：


此时，木马已生成且开启监控模块，等待木马上线，接下来需通过模拟一个ftp服务器软件下载站点，欺骗诱惑等社会工程学方式，使内网Windows主机访问木马并执行。

6.将物理主机模拟成一台FTP服务器，提供下载功能，配置如下：

物理主机上的vmnet8网卡的IP就是ftp服务器的IP

7.黑客主机Kali访问FTP服务器，将生成的zhongyuan.exe木马上传到服务器上，如下：

注意：木马为恶意程序，安全杀毒软件都会将其杀掉，做实验时需临时关闭安全软件

8.内网Windows7桌面访问FTP服务器并下载木马运行，此时在msf上获得shell会话：


9.使用物理主机连接ftp服务器允许木马，发现也可以拿到shell对话，如下：

生成Java后门程序

生成PHP后门程序

生成Android后门程序