代码区项目交易流程

PHP安全新闻早八点-高级持续渗透-第六季关于后门


在第一季关于后门中,文章提到重新编译notepad++,来引入有目标源码后门构造。本季继续以notepad++作为demo,而本季引入无目标源码构造notepad++ backdoor。

针对服务器,或者个人PC,安装着大量的notepad++,尤其是在实战中的办公域,或者运维机等,而这些机器的权限把控尤为重要。本系列仅引出后门思路。

Demo 环境:

windows 2003 x64

Windows 7 x64

notepad++ 7.6.1

vs 2017

遵守第一季的原则, demo 未做任何对抗安全软件,并且 demo 并不符合实战要求。仅提出思路。 由于 demo 并未做任何免杀处理。导致反病毒软件报毒。如有测试,建议在虚拟机中进行测试。

Windows 2003 : ip 192.168.1.119
PHP安全新闻早八点-高级持续渗透-第六季关于后门

开放端口:


PHP安全新闻早八点-高级持续渗透-第六季关于后门

notepad++版本:


PHP安全新闻早八点-高级持续渗透-第六季关于后门

导入dll插件:


PHP安全新闻早八点-高级持续渗透-第六季关于后门

notepad++ v7.6.x 以上版本提示,后重新打开 notepad++ ,来触发 payload 。


PHP安全新闻早八点-高级持续渗透-第六季关于后门

开放端口变化如下:


PHP安全新闻早八点-高级持续渗透-第六季关于后门

msf连接:


PHP安全新闻早八点-高级持续渗透-第六季关于后门
PHP安全新闻早八点-高级持续渗透-第六季关于后门
后者的话:

demo 借助了 notepad++ 的证书,在通过 notepad++ 来调用自身。本季的 demo 并不符合实战要求。在实战中,当目标人启动 notepad++ 时,或者抓取密码发送到指定邮箱,或者在做一次调起第四方后门等,这是每一位信息安全从业人员应该考虑的问题。

关于后门,无论是第一季还是最六季,都侧面的强调了 shellcode 的分离免杀,后门 ” 多链 ” 的调用触发。同样,攻击分离,加大防御者的查杀成本,溯源成本,以及时间成本。给攻击者争取最宝贵的时间。

PS :

关于 mimikatz 的分离免杀参考上一季《体系的本质是知识点串联》

链接:

https://micropoor.blogspot.com/2018/12/blog-post.html

本 demo 不支持 notepad++ v7.6 版本。因为此问题为 notepad++ 官方 bug 。 7.6.1 更新如下:


PHP安全新闻早八点-高级持续渗透-第六季关于后门

为此调试整整一天。才发现为官方bug。

Demo for dll :

由于 demo 并未做任何免杀处理。导致反病毒软件报毒。如有测试,建议在虚拟机中进行测试。 demo 仅做开放 443 端口。等待主机连接。

HTMLTags_x32.dll

大小 : 73728 字节

文件版本 : 1.4.1.0

修改时间 : 2018 年 12 月 31 日 , 18:51:20

MD5: FDF30DD5494B7F8C61420C6245E79BFE

SHA1: D23B21C83A9588CDBAD81E42B130AFE3EDB53EBB

CRC32: D06C6BD1

地址:

https://drive.google.com/open?id=1_sFKMWi6Zuy1_v82Ro1wZR8OrqKr7GD4

HTMLTags_x64.dll

大小 : 88064 字节

文件版本 : 1.4.1.0

修改时间 : 2018 年 12 月 31 日 , 18:51:09

MD5: D7355FF1E9D158B6F917BD63159F4D86

SHA1: 9E6BC1501375FFBC05A8E20B99DC032C43996EA3

CRC32: 606E5280

地址:

https://drive.google.com/open?id=1JwmW8KrxYoQ1Dk_VNtnDs0MxM6tuqCs_

本文开发(php)相关术语:php代码审计工具 php开发工程师 移动开发者大会 移动互联网开发 web开发工程师 软件开发流程 软件开发工程师

点击收藏

LAST PHP form validation for a store does not work Laravel: Eloquent Sort By Relation NEXT