美文网首页网络安全实验室
手动打造自己的后门第一季

手动打造自己的后门第一季

作者: 蚁景科技 | 来源:发表于2019-01-29 13:19 被阅读169次

    0x01 前言

    看了Micropoor大牛分享的一系列教程,受益良多。

    PS:下文将Micropoor写做Mp

    笔者对其中几篇谈及后门的文章颇有兴趣,作者在他的文章中给出了一些大体思路但未谈及实现细节,于是笔者按照文中提供的思路动手实践了一下。

    0x02 改造 Notepad之旅

    这里引用一个概念:

    人为化后门一般指被动后门,由人为引起触发导致激活,或者传播要做到高度化定制,足够贴合实际目标,我们可能会需要它。正好之前秒了一台独立服务器,登陆进去发现服务器主人预先安装了Notepad++,这简直是最佳实践…

    服务器有了,缺个后门,不多说我们自己来动手:根据Mp的文章我们去官方git仓库下载其开源的源代码本地编译。

    仓库地址:https://github.com/notepad-plus-plus/notepad-plus-plus

    完整目录如下:

    其中PowerEditor是Notepad++的项目文件

    scintilla是Notepad++引用的代码编辑库。

    我们编译的顺序是先使用VS2017CMD编译scintilla项目,得到SciLexer.dll文件,将其复制到PowerEditor项目内作为动态链接库,再用VS2017编译PowerEditor这个项目。

    具体编译过程:

    找到VS目录,在vs2017\Common7\Tools\VsDevCmd.bat文件夹下找到 VS2017专用CMD ,打开它。

    切换目录到Notepad++的源代码目录下,进入scintilla\win32\目录。(PS:windows下的CD跨磁盘 需要输入/d )。

    输入 nmake NOBOOST=1 DEBUG=1 -f scintilla.mak 回车编译,等待即可。

    将生成的SciLexer.dll文件从scintilla\bin\目录中复制到PowerEditor文件的同一目录下。如果是Release 就放到PowerEditor目录,如果是Debug就放到PowerEditor\visual.net 目录

    另外如果不想动手编译,可以直接在安装好的Notepad++ 根目录找到此dll文件

    这里指出几个编译时掉入的坑:

    Mp 在他的文章中用的VS2017编译,却说要打开notepadPlus.vs2013.vcxproj这个项目文件。

    我猜测这可能是笔误,实际上打开这个项目文件编译会遇到符号问题。对此我专门用半自创英语去官方git 仓库提了issue,大家遇到问题也可以去各种官方库下面提问,一般都会有热心的开源社区人员进行解答

    红线部分可能引起不适。

    得到回复后才明白用VS2017编译的话是要选择notepadPlus.vcxproj这个文件,而不是2013那个文件。

    在项目配置上,点击项目 -> Notepad++属性 -> 配置属性 -> C/C++ -> 常规,将警告视为错误置为否,并选择当前编译器适配的平台,选择 Unicode Debug或者Release + X86 架构。

    有时候编译完成会报错,弹框提示签名证书会验证失败,我在这里将报错处理的语句统统注释掉了。如果遇到下面这种报错:

    解决办法:

    这是因为他验证文件数字签名出问题了,也许是我们自己编译的dll文件存在问题。

    具体我们可以找到Common.cpp,在此文件内搜索isCertificateValidated定位到验证函数:

    简单看了下它的处理异常的代码,写的很详细,有很多种错误类型。不同编译环境可能产生不同的错误,在此我给出一种通用的解决办法:搜索它的报错关键字,哪里报错注释哪里,简单有效。

    定位到catch内部就尝试注释掉它内部的验证逻辑:

    Authenticodecheck failed 错误解决:

    DLLsignature verification failed 错误解决:

    顺利通过编译后,就可以考虑添加后门功能了

    我开始思考下面的问题:

    一个后门之所以称之为后门,必然是有里应外合的功能的,而在C++Win32编程中,基础库执行系统命令使用system()函数可以完成命令,但是会弹出黑色命令窗口。为了隐蔽性,在查阅了官方文档后,找到了WinExec(),使用这个函数来执行系统命令则不会弹黑色命令窗口。

    system("calc");//这种方法会弹出黑框

    WinExec("指令",SW_NORMAL); //这种方法不会弹黑色命令窗口

    接下来仔细想想,弹个计算器也没啥用,直接增加账户又太明显,于是我又去参考网络通信基础模块,扩展指定接收指令执行的功能。这里用了WinInetAPI 实现HTTP 通信,相比于libcurl等第三方库使用起来更方便快捷。

    下面给出实例代码以及相关头文件引用:

    代码中间为了方便调试写了不少弹框,实战中为了避免不必要的麻烦,请务必去掉。

    最终效果

    获取指定URL下的添加账户命令,并且静默执行(请无视个人主机的360防护)。

    上图为测试的动态图片。

    假想触发链:管理员在服务器上打开Notepad++, 则会触发后门,获取我们事先放到VPS的命令。

    优点:

    命令高度可控,可多次执行不同命令。

    隐蔽,无敏感进程,少通信。

    反弹shell可行。

    容易被触发,且无任何提示。

    缺点:

    一旦引起怀疑,容易被捕获流量并溯源。

    不能针对无法访问外网的机器进行定制。

    0x03 写在最后

    本文章纯属对MP大牛提出的一些想法进行了个人踩坑实践,相比于其他后门还是相形见绌,如有错误请大家及时指出。另外,维持权限不要局限于一种工具,或者一类方法。当我们的目标处于不同平台不同环境时,我们会束手无策还是拿出花一样的思路呢?我认为后者才是真本事。希望大家多多和我交流!


    本文仅用于普及网络安全知识,提高小伙伴的安全意识的同时介绍常见漏洞的特征等,若读者因此做出危害网络安全的行为后果自负,与合天智汇以及原作者无关,特此声明。本文为原创文章,转载请注明出处!

    相关文章

      网友评论

        本文标题:手动打造自己的后门第一季

        本文链接:https://www.haomeiwen.com/subject/qhkxsqtx.html