Ψ小川Ψ dě Blog

标签:后门

Powershell恶意代码的N种姿势

0x00 引言

人在做,天在看。

技术从来都是中性的,被用来行善还是作恶完全取决于运用它的人。原子能可以用来发电为大众提供清洁能源,也可以用来制造能毁灭全人类的核武器,这不是一个完善的世界,于是我们既有核电站也有了核武器。

Powershell,曾经Windows系统管理员的称手工具,在恶意代码制造和传播者手里也被玩得花样百出。由于Powershell的可执行框架部分是系统的组件不可能被查杀,而驱动它的脚本是非PE的而非常难以通过静态方法判定恶意性,同时脚本可以非常小巧而在系统底层的支持下功能却可以非常强大,这使利用Powershell的恶意代码绕过常规的病毒防护对系统为所欲为。因此,360天眼实验室近期看到此类恶意代码泛滥成灾就毫不奇怪,事实上,我们甚至看到所跟踪的APT团伙也开始转向Powershell。

本文我们向大家展示一些看到的实际恶意代码的例子。

Powershell各种反弹姿势以及取证(一)

0x00 前言

当我看了DM_牛发的http://zone.wooyun.org/content/20429,我的心情久久不能平静,这本应属于我的精华+WB,被他先发了,这娃真是可恶,可恨 :-),后来DM_牛又发了我一些资料让我学习,我就写了此文,刚入门,肯定有错误的地方,希望小伙伴们讨论,指出。

这次Labofapenetrationtester是以”week of powershell shell”的形式放出来的,就是每天一篇,一共五篇,分别是

  1. Day 1 Interactive PowerShell shells over TCP
  2. Day 2 Interactive PowerShell shells over UDP
  3. Day 3 Interactive PowerShell shells over HTTP/HTTPS
  4. Day 4 Interactive PowerShell shells with WMI
  5. Day 5 Interactive PowerShell shells over ICMP and DNS

Web后门隐藏与维持

前言

在一个成功的测试后,通常会想让特权保持的更久些.留后门的工作就显得至关重要,通常布设的后门包括但不限于数据库权限,WEB权限,系统用户权限等等.此文则对大众后门隐藏的一些思路做科普.

以PHP-WEBBACKDOOR为例,抛砖引玉

Subtty记录Linux密码的利器

一直在寻找一款能够记录SSH密码的工具,subtty这款工具能够记录su,sudo,SSH,gpg, cryptmount等,非常强大,只要是一个交互的终端即可。
该工具作者是Julien Tinnes,感谢这位大神,这里也分享给大家。
在作者博客下载的只有编译好的二进制程序(回头找他要源码),这里简单说一下使用方法,这个程序不需要root权限,但是很快就有root了。
可以有四种方式调用程序来记录密码:

Linux下利用grep查找webshell

grep (global search regular expression(RE) and print out the line,全面搜索正则表达式并把行打印出来)是一种强大的文本搜索工具,它能使用正则表达式搜索文本,并把匹配的行打印出来。Unix的grep家族包括grep、egrep和fgrep。

利用grep命令我们可以查找常见的漏洞、webshell和其他恶意文件。本文使用的grep版本为2.9,如果你使用一个低于2.5.4的grep,那本片文章中的一些命令可能无法正常工作。可以用grep -v或grep -version确定一下版本。你也可以使用grep –help查看更多信息。如下图:

1

如何在 WordPress 站点创建后门

是不是在很多场合听说过后门(Backdoor),特别是一些高科技的电影里面,那些系统或者程序的作者都会通过自己留下的后门来拯救世界 :-) 。其实程序的后门留我们根本不远,其实你用的很多软件或者程序都是有后门的,下面给大家演示的一个很简单的案例,就可以给 WordPress 站点留下后门,获取管理员权限,当然这只是一篇教学文章,个人强烈你在使用 WordPress 帮人作网站的时候,千万不要这样做。

<?php
add_action( 'wp_head', 'my_backdoor' );

PHP后门一枚

转自:Return Blogs: www.creturn.com

代码:

<?php
/*
 * PHP后门程序
 * 使用说明:此程序默认会在当前目录下生成一句话cmd.php密码cmd
 * 不含有任何敏感函数有它也查不出来所以免杀是必然的。生成的一句
 * 不是免杀的,要免杀原理已经能看到了,自行处理。
 * 亲,使用的时候注意删除这里的注释~~
 * BY: Return Data:2012.6.29
 */