分類:
網路技術
隨著網民安全意識的日益提高,現在找個安全隱蔽餓後門是越來越難了。用現成的固然省事,但無奈前有防火牆的堵截、後有防毒軟體的追擊,用起來還得百般小心,生怕露出馬腳,被管理員發現,好不容易得來的肉雞又傾刻飛掉,豈不痛心?俗話說「自己動手,豐衣足食」,我就不信自己寫的後門也會立刻被殺!心動不如行動,讓我們馬上開始吧!
需求分析
我們的目的很簡單:①實現乙個後門,②能穿透防火牆,③不能立刻被殺(自己寫的當然不會被殺啦)。
實現方法及原理
①相信大家都知道怎樣通過程式設計把乙個cmd shell繫結到socket吧,我今天要編的這個後門基本上也是使用這種方法。以前黑防的文章已經講過很多了,我就不贅述了。
②穿透防火牆,這是一直以來,尤其是最近大家談的熱點話題之一,也是我這次所要和大家**的主要內容。在具體實現上,我的思路是先找到乙個合法的網路服務程序p,做乙個動態鏈結庫(dll)檔案seize.dll,以createremotethread的方法將其插入程序p,形成執行緒t;執行緒t根據pe檔案格式,查詢p程序的引入函式位址表(iat),並在iat中查詢wsaaccept和accept函式的指標,修改其值使之指向我們自己定義的函式fackwsaaccept;函式fackwsaaccept首先呼叫真正的wsaaccept函式,判斷客戶身份,繫結shell並返回,這就是所謂的劫持。這樣的好處是沒有可疑程序,而且不開端口。
知識準備
動態鏈結庫:乙個可以被某個程序呼叫執行的檔案,它可以包含被程序呼叫的資源、函式、全域性變數等,它也是pe格式檔案。它的入口函式是dllmain ,也可以為空。當dllmain存在時,程序在載入/解除安裝時會呼叫此函式。
pe檔案格式:可移植執行體,分為dos stub、pe header、section tables、sections等幾部分,我們這裡關心的是pe header裡的optional header,它的import address table(iat)成員就指向了我們要修改的引入函式位址表。網上有很多關於pe檔案格式的文章,不做過多分析了。
引入函式位址表:即iat,pe檔案在執行時經常要呼叫api函式,當程序載入時,作業系統會把它要引用到的api函式的位址寫到這個位置,當函式呼叫時,一般會使用如下方式:
push *
…call addr1
…addr1: jmp [addr2]
這裡的addr2就是引入函式位址表中某個api的指標。addr2處的內容就是我們下手的物件了。
總結
這個後門還有一定侷限性的:1.必須在宿主程序呼叫wsaaccept前完成劫持api的工作;2.宿主程序呼叫wsaaccept「失敗」後不能退出,否則我們的shell執行緒就失去了宿主(所謂「魂不附體」);3.肉雞必須暴露在外網,如果有nat(網路位址轉換,相當於肉雞在內網)機制,後門將無法識別客戶端身份;4.在肉雞的程序列表裡會多出乙個cmd.exe程序;5.有dll檔案存在,將來容易被發現。
改進設想:主要是針對第4、5點的問題,可以把劫持功能和執行命令的功能完全用**實現,然後直接將**插入,就不需要dll檔案了,也不需要建立cmd.exe程序了,但會造成程式設計難度增大;對於第3點的問題,我們可以考慮改為劫持wsarecv和recv函式,然後用字串方法驗證客戶端身份,但處理不好,一旦函式呼叫超時或者讓宿主程序發現「非法資料」,socket有可能被close掉。
使用detours實現劫持
detourrestoreafterwith 恢復原來狀態,detourtransactionbegin 攔截開始 detourupdatethread getcurrentthread 重新整理當前執行緒 這裡可以連續多次呼叫detourattach,表明hook多個函式 detourattach...
Ettercap實現DNS劫持
deelmind b站 dns劫持 dns劫持 在上面乙個完整的網域名稱解析過程中,我們可以看到想要獲取目標 的ip,除了在本機中的查詢操作有時還需要第三方伺服器 dns 的參與,但是只要經過第三方的參與,那麼網路就不屬於我們可控制的範圍,那麼就有可能產生dns挾持,具體體現在我們獲取到的ip並不是...
通過BGP實現流量劫持
bgp bgp全稱是border gateway protocol,翻譯成中文是邊界閘道器協議,用於全球各個as之間的路由。它的地位是毋庸置疑的,如果沒有它就沒有全球的網際網路。因為全球各個as都等價的維護乙個bgp也帶來一些安全性問題,只要任意乙個節點的bgp資訊配置失誤都可能對全球網路產生影響。...