后门技巧之使用网站关键字进行反连

  • A+
所属分类:安全文章

Twitter大牛@MattGraeber和@ChrisCampbell介绍了一种使用网站关键字来触发系统中shellcode的技术。

这种技术的主要优点是shellcode直接从内存中执行,不容易被发现,通过注册表项实现持久化。

C2Code -PowerShell脚本如下:


后门技巧之使用网站关键字进行反连

PowerShell脚本在目标主机上执行时,它将在网站上查找已经给出的特定关键字,如果关键字存在将执行有效负载


后门技巧之使用网站关键字进行反连

打开一个Meterpreter会话进行监听,成功反弹回来。

后门技巧之使用网站关键字进行反连

后门技巧之使用网站关键字进行反连

Matt Nelson还创建了一个Office执行相同的技术,但是会另外创建一个注册表项,每次用户登录时执行C2Code PowerShell脚本,以保持持久性。

后门技巧之使用网站关键字进行反连

当用户打开Office文档时,宏将运行,并且执行托管在控制网站上的Invoke-ShellCode脚本

后门技巧之使用网站关键字进行反连

Meterpreter监听时同样会建立连接:

后门技巧之使用网站关键字进行反连


这是一个很好的后门方式,没有引入任何新的东西或造成很大的动静,就可以完成一次交互,小编和他的小伙伴都惊呆了。


扫描下方二维码学习更多WEB安全知识:

后门技巧之使用网站关键字进行反连







后门技巧之使用网站关键字进行反连
Ms08067安全实验室
专注于普及网络安全知识。团队已出版《Web安全攻防:渗透测试实战指南》,《内网安全攻防:渗透测试实战指南》,目前在编Python渗透测试,JAVA代码审计和二进制逆向方面的书籍。
团队公众号定期分享关于CTF靶场、内网渗透、APT方面技术干货,从零开始、以实战落地为主,致力于做一个实用的干货分享型公众号。
官方网站:www.ms08067.com

本文始发于微信公众号(Ms08067安全实验室):后门技巧之使用网站关键字进行反连

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: