后门技巧之使用网站关键字进行反连

admin 2021年3月18日00:00:50评论61 views字数 674阅读2分14秒阅读模式

Twitter大牛@MattGraeber和@ChrisCampbell介绍了一种使用网站关键字来触发系统中shellcode的技术。

这种技术的主要优点是shellcode直接从内存中执行,不容易被发现,通过注册表项实现持久化。

C2Code -PowerShell脚本如下:


后门技巧之使用网站关键字进行反连

PowerShell脚本在目标主机上执行时,它将在网站上查找已经给出的特定关键字,如果关键字存在将执行有效负载


后门技巧之使用网站关键字进行反连

打开一个Meterpreter会话进行监听,成功反弹回来。

后门技巧之使用网站关键字进行反连

后门技巧之使用网站关键字进行反连

Matt Nelson还创建了一个Office执行相同的技术,但是会另外创建一个注册表项,每次用户登录时执行C2Code PowerShell脚本,以保持持久性。

后门技巧之使用网站关键字进行反连

当用户打开Office文档时,宏将运行,并且执行托管在控制网站上的Invoke-ShellCode脚本

后门技巧之使用网站关键字进行反连

Meterpreter监听时同样会建立连接:

后门技巧之使用网站关键字进行反连


这是一个很好的后门方式,没有引入任何新的东西或造成很大的动静,就可以完成一次交互,小编和他的小伙伴都惊呆了。


扫描下方二维码学习更多WEB安全知识:

后门技巧之使用网站关键字进行反连







后门技巧之使用网站关键字进行反连
Ms08067安全实验室
专注于普及网络安全知识。团队已出版《Web安全攻防:渗透测试实战指南》,《内网安全攻防:渗透测试实战指南》,目前在编Python渗透测试,JAVA代码审计和二进制逆向方面的书籍。
团队公众号定期分享关于CTF靶场、内网渗透、APT方面技术干货,从零开始、以实战落地为主,致力于做一个实用的干货分享型公众号。
官方网站:www.ms08067.com

本文始发于微信公众号(Ms08067安全实验室):后门技巧之使用网站关键字进行反连

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年3月18日00:00:50
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   后门技巧之使用网站关键字进行反连https://cn-sec.com/archives/292612.html

发表评论

匿名网友 填写信息