安全路透社
当前位置:安全路透社 > 网络转载 > 正文

来自后方世界的隐匿威胁:后门与持久代理(二)

*本文原创作者:2cat

继上篇后门与代理内容后,我觉得应该继续写下去。

考虑到第一篇内容发出后不少看官提出了质疑与不同看法,有人认为技术点过于老旧,甚至高级黑的后门手段都是购买而来。对此,身为圈内人,我只想笑而不语。

身为一名安全技术从业者,任何好的技术都靠买来用之,岂不正如鲁迅先生文中说的“只食嗟来之食”一般?买来的技术再好,也终归是他人之物,只有把所有的技术研究透彻,清楚来龙去脉,从而变成属于自己的知识技巧才是实际。技术都是由浅入深,循序渐进的更新迭代。

任何安全运维从业人员都有属于自己的骄傲,一个属于技术工作者特有的荣誉。哪怕再古老的技术,也可帮你拓展思路,从而增加成功的机率,更好的帮助你完成工作,能够快速的发现目标问题并解决问题,那这个技术就是好技术。

特别是对于刚刚加入安全服务行业的新人而言,前期大量的借助前辈们积累下来的经验一点点的摸爬滚打,在术业有成之时去考虑创新才会更加实用。

因此,本文的内容仅为个人分享与技术交流,并非炫耀与盲推,还望各位具有分享精神的看官们只论技术不谈人心。

回到本篇内容的正题:后门与代理(二)。

上篇中,我提到了Telnet和GUI两种建立后门持久链接的技巧方式。下面,我们再来讨论关于Netcat利用原始TCP和UDP数据包建立持久后门的技术分享。

Netcat作为一种支持网络连接中完成对数据读写操作的便利工具,与Telnet和FTP服务所形成的数据包又有不同,原因是Netcat所生成的数据包是不具备包头和其它特殊信道的信息。

整体通信信道比较简化,可以使用大部分通信信道。Netcat具备众多功能,如端口扫描、识别服务、端口重定向和代理、数据取证、远程备份、后门及代理等。

通常在使用Netcat时,我们会将名为nc.exe的执行文件上传到要被攻击的目标系统当中去,考虑到操作系统会默认屏蔽并消除掉命令中的“\”,所以在输入命令时,我们会特意使用“\”来对命令进行保护。

执行upload命令将nc.exe上传到被攻击目标主机:c:\windows\system32

来自后方世界的隐匿威胁:后门与持久代理(二)

此时,大家可以看到nc.exe执行文件成功上传到system32文件夹下。

或许有新人看官不太理解,文件为何一定要上传到system32文件夹中?

这是因为该文件夹中文件数量众多且类型多样不一,是隐藏后门程序的最佳位置。假如手头没有Meterpreter连接的帮助,看官们可以考虑使用TFTP来替代进行文件传输工作。

当然,为了方便对目标系统的监听工作,我们在使用命令时要对注册表进行配置,以便目标系统运行时可以自动启动NC服务。在配置注册表后,使用者也不能将监听端口拉下,有关端口方面的配置可以根据个人习惯来进行设定,本次分享内容中我们暂用444端口为范例。

执行reg setval –k 具体命令如下:

来自后方世界的隐匿威胁:后门与持久代理(二)

再借助queryval命令来确认我们是否对注册表修改成功。

执行queryval命令并得到确认注册表已修改成功。

来自后方世界的隐匿威胁:后门与持久代理(二)

在注册表修改得到确认后,我们开始对目标系统主机进行入侵工作前的最后一步操作:让防火墙对远程连接端口进行放行操作。

这里需要补充说明,大家在操作时要注意目标主机的操作系统信息。Windows Vista、Windows Server 2008和Windows最新版本需要使用netsh advfirewall firewall命令格式来进行操作,此前的老版本Windows系统依旧使用netsh firewall命令。

执行netsh命令:

“allow netcat”//放行端口

“show portopening”//查看防火墙规则

来自后方世界的隐匿威胁:后门与持久代理(二)

当上述配置工作完毕后,需要重新启动目标系统和服务,以便确认此前操作是否成功。

执行重启命令,查看启动服务命令如下:

方法1:reboot

方法2:shutdown -r -t 0

待系统重启后我们还要对后门NC植入成功与否进行验证。

演示命令:

root@2cats:~# nc –v 192.168.25.133 444

来自后方世界的隐匿威胁:后门与持久代理(二)

在系统重启及程序运行后,最终证实此前的后门成功植入。

可惜NC没有认证机制,在传输数据时也不采用加密方式,因此很容易被反病毒软件检测发现并抓取到。在此,我建议看官们可以使用cryptcat来进行加密,它是NC的一个升级版本,使用了Twofish高级对称分组加密算法,可以很好的保护数据的安全性。

2cats@linux:~# cryptcat –k password –l –p 444

root@2cats:~# cryptcat –k password 192.168.25.138 444

来自后方世界的隐匿威胁:后门与持久代理(二)

来自后方世界的隐匿威胁:后门与持久代理(二)

经过对NC执行文件的加密后,确保了后门存活率,但在对cryptcat进行反病毒测试时,依旧会对一些杀毒软件呈现疲软态势。

此时,看官们可以尝试用16进制编辑器对NC的源代码进行编辑,使其避过恶意代码工具的检测,防止发出病毒软件签名对比机制生效。

好啦,今天就暂时分享到这里,希望能给各位兄弟带来一点帮助,欢迎沟通交流,批评指正。

*本文原创作者:2cat

未经允许不得转载:安全路透社 » 来自后方世界的隐匿威胁:后门与持久代理(二)

赞 (0)
分享到:更多 ()

评论 0

评论前必须登录!

登陆 注册