后门_黑客技术

记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

web后门生成工具WeBaCoo和实战

webacoo(web backdoor cookie)是一个web后门脚本工具包，旨在通过HTTP在客户端和web服务器之间提供类似隐形终端连接。它是一个后渗透利用工具，能够维持对已被拿下的web服务器的权限访问。WeBaCoo可以绕过最新的AV，NIDS，IPS，网络防火墙和应用防火墙的检测，能够在被拿下的服务器中悄无声息的执行系统命令这种混淆的通信是在有效的客户端HTTP请求和服务器响应中利用HTTP头信息cookie字段来完成的。使用WeBaCoo生成PHP后门文件的命令如下：webacoo -g -o /root/backdoor.php只要攻击者将恶意代码发送到某个网站以便访问

发布时间:2018-09-03 12:20 | 阅读:20906 | 评论:0 | 标签:Web安全 backdoor getshell webacoo 后门

还有多少个X站在被后门、webshell寄生？

事件回顾近日，国内某知名二次元视频网站（以下简称X站）遭遇黑客攻击，近千万条用户数据外泄，其中包括用户 ID、昵称、" 加密存储 " 的密码等信息。同时在某群、github上也出现了黑客的贩卖及勒索信息。黑客入侵分析根据曝光的信息初步判断，黑客应该是利用X站某台互联网服务器上的应用漏洞上传后门或webshell，成功穿过防火墙等安全设备并getshell，之后通过东西向流动渗透内网，成功窃取近千万条用户数据并控制内网主机。根据黑客的描述，目前该后门仍未被清除，如果不及时处理不仅仅是数据泄露的问题，黑客还有可能进行锁死服务器、清除数据等极端操作。也许你的安全已经做到了90分，但干掉你的往往是剩下那个

发布时间:2018-08-20 12:20 | 阅读:27695 | 评论:0 | 标签:事件后门

后门混淆和反检测技术

后门是一种绕过认证或系统加密的方法。有时开发人员会出于某原因，为自己的程序构建后门程序。例如，为了提供简单的维护，开发人员引入了一个后门，可以恢复设备厂商的默认密码。而另一方面，攻击者则会将后门注入到有漏洞的服务器来接管服务器，执行攻击和上传恶意payload。比如，攻击者会注入后门来获取代码执行或上传文件的权限。后门的类型后门有许多类型，是由不同编程语音编写的。比如，PHP语言编写的后门可以运行在PHP服务器上，用ASP编写的后门可以运行在.NET服务器上。后门的作用也是不同的，比如webshell可以用在受感染的系统上执行后门，从而使攻击者上传和执行文件。Github上有很多开源的后门，黑客可以选择注入一些知名的后

发布时间:2018-08-04 12:20 | 阅读:42765 | 评论:0 | 标签:技术反检测技术后门混淆后门

Office漏洞被用于传播FELIXROOT后门

攻击活动详情2017年9月，FireEye的研究人员发现针对乌克兰的工具活动中使用FELIXROOT后门作为payload，该攻击活动中包括恶意的乌克兰银行文档，该文档中含有可以下载FELIXROOT的宏文件。近期，研究人员发现该后门被用于一起新的攻击活动中。这次，声称含有研讨会信息的武器化的诱饵文档利用了Office CVE-2017-0199（WORD/RTF嵌入OLE调用远程文件执行漏洞）和CVE-2017-11882（Office远程代码执行漏洞）两个漏洞在受害者机器上释放和执行后门二进制文件。图1: 攻击概览恶意软件通过用Office漏洞武器化的恶意文档进行传播，如图2所示。恶意文档名称是“Seminar.r

发布时间:2018-08-01 12:20 | 阅读:39034 | 评论:0 | 标签:二进制安全漏洞 Office漏洞后门

通过USB调试安装固件后门以实现 “邪恶女仆” 攻击

调试机制被攻击者反利用应该说调试机制是目前几乎所有软件运行平台上用来跟踪故障根源的标准组件，调试机制主要用于监控平台上的软件运行，但也经常用于维护和修复以前的漏洞。比如，当开发商写完全部代码后，如果不了解网络基础设施，也没有操作系统的任务调度需要考虑，那么就可以利用这些调试方法使一个应用程序运行起来。最常见的调试问题可以大致划分为如下5类： 1.同步问题；2.内存和寄存器讹误；3.与中断相关的问题；4.固件配置问题；5.异常情况；这样安全研究人员使用调试功能随时提前预判攻击，包括定位和使用JTAG（Joint Test Action Group，联合测试工作组，是一种国际标准测试协议，主要用于芯片内部测试），

发布时间:2018-08-01 12:20 | 阅读:32750 | 评论:0 | 标签:系统安全 USB调试后门

恶意宏劫持桌面快捷方式传播后门

宏文件是一种比较古老的技术了，但黑客还在使用恶意宏文件来传播恶意软件，只不过传播的方式更加高效也更加创新了。最近的一起案例中，攻击者就以一种间接的方式使用了宏文件，首先在用户系统中搜索特定的快捷方式文件，然后用下载的恶意软件的位置去替换该快捷方式。当用户点击修改的桌面快捷方式时，下载的恶意软件就会执行。恶意软件执行后，会恢复原始的快捷方式文件来打开正确的应用。然后，恶意软件会组合其payload。恶意软件会从互联网上，下载常用的工具如WinRAR、Ammyy Admin来收集信息并通过SMTP发送回服务器。宏和下载的恶意软件并不复杂，攻击者使用的方法也有一些继续的标记，可能是还没有开发完成。图1. 恶意软件感染链文档攻

发布时间:2018-07-10 12:20 | 阅读:41585 | 评论:0 | 标签:Web安全恶意宏后门

微信支付爆“0元购”后门，真的没风险了吗

7月3日，一位名为1024rosecode的疑似外国安全人员在Twitter上联系360Netlab及趋势科技，并公开了一篇名为《微信支付SDK中的XXE漏洞》（XXE in WeChat Pay Sdk ( WeChat leave a backdoor on merchant websites)）的文章。在文章中，该安全人员称：在使用微信支付时，商家需要提供一个接收通知的网址，用来接受异步付款信息。不过，在此时的Java版SDK中，有一个XXE漏洞。此次曝光的漏洞一旦被利用，可根据需要窃取商家服务器的任何信息。一旦攻击者获得商家的关键安全密钥（md5-key和merchant-Id等），甚至可以通过发送

发布时间:2018-07-05 12:20 | 阅读:36683 | 评论:0 | 标签:漏洞微信支付漏洞后门

供应链污染！Python官方软件包被植入后门

作者：{whiteater}@ArkTeam SSH-Decorator是一个github开源项目，以更加友好的接口提供SSH client功能，可以从PIP下载安装。本月5号，有人在github上质问SSH-Decorator的开发者Uri Goren，为什么要保存用户隐私信息并且这段代码没有在github上公开。Uri Goren表示无辜，并且迅速做出了应对——重传一份干净的代码。图1 mowshon和urigoren在github上的问答 SSH-Decorator里的这段后门代码还是比较光明磊落、简单粗暴的，并不屑于加密、混淆，直接就把SSH服务器的用户名、密码、IP地址、端口、私钥发给了ssh-decorate.cf这个站点。ssh-decorate.cf的whois信息做了

发布时间:2018-05-11 18:15 | 阅读:73348 | 评论:0 | 标签:ArkView 后门

[原]Linux后门入侵检测工具，附bash漏洞解决方法

0x00 rootkit简介rootkit是Linux平台下最常见的一种木马后门工具，它主要通过替换系统文件来达到入侵和和隐蔽的目的，这种木马比普通木马后门更加危险和隐蔽，普通的检测工具和检查手段很难发现这种木马。rootkit攻击能力极强，对系统的危害很大，它通过一套工具来建立后门和隐藏行迹，从而让攻击者保住权限，以使它在任何时候都可以使用root权限登录到系统。rootkit主要有两种类型：文件级别和内核级别，下面分别进行简单介绍。0x01 文件级别rootkit 文件级别的rootkit一般是通过程序漏洞或者系统漏洞进入系统后，通过修改系统的重要文件来达到隐藏自己的目的。在系统遭受rootkit攻击后，合法的文件被木马程序替代，变成了外壳程序，而其内部是隐藏着的后门程序。通常容易被rootkit替换

发布时间:2018-04-20 01:05 | 阅读:57024 | 评论:0 | 标签:后门漏洞

黑客组织“海莲花”打造的全新macOS后门

前言趋势科技于上周三（4月4号）宣称，一种新型的MacOS后门程序（目前趋势科技已将其定义为OSX_OCEANLOTUS.D ）正被黑客组织“海莲花”所使用，而其攻击目标是那些安装有Perl语言编程软件的Mac用户。传播过程分析海莲花（OceanLotus，又名Cobalt Kitty、SeaLotus、APT-C-00和APT 32）是高度组织化的、专业化的境外国家级黑客组织。自2012年4月起针对中国政府的海事机构、海域建设部门、科研院所和航运企业,展开了精密组织的网络攻击,很明显这是一个有国外政府支持的APT(高级持续性威胁)行动。趋势科技的研究人员认为，这个全新macOS后门是“海莲花”所使用的最新的攻击工具。

发布时间:2018-04-11 12:20 | 阅读:65734 | 评论:0 | 标签:Web安全 web安全后门

Chaos：Linux后门卷土重来

本文描述了一个在我们的SSH蜜罐中发现的后门，它生成了一个完全加密和完整性检查的反向shell，并在蒙特利尔的GoSec 2017上展示过。我们将该后门命名为Chaos，与攻击者在系统中给出的名称一致。经过进一步研究，我们发现该后门是2013年左右活跃的sebd rootkit的一部分。因为无法找到任何关于此后门技术细节的文档，我们决定自己来！一、导语今年夏天，我们有一个项目是在FreeBSD系统中寻找恶意软件，或者至少评估是否存在。为此，我们使用了FreeBSD jails，它被描述为“chroot on steroids”。我们的想法是仅使用jails来模拟Intranet结构，这是可行的，因为jails可以在主机

发布时间:2018-03-06 12:20 | 阅读:71216 | 评论:0 | 标签:技术后门

利用VSTO实现的office后门

0x00 前言最近看了一篇文章《VSTO: The Payload Installer That Probably Defeats Your Application Whitelisting Rules》，介绍了利用VSTO实现Office后门的方法，我在之前的文章《Use Office to maintain persistence》和《Office Persistence on x64 operating system》曾对Office的后门进行过学习，本文将结合自己的研究心得，对该方法进行复现，分析利用思路，分享实际利用方法，最后介绍如何识别这种后门。文章地址：https://bohops.com/2018/01

发布时间:2018-03-05 17:20 | 阅读:97412 | 评论:0 | 标签:系统安全 VSTO 插件渗透测试后门

来自后方世界的隐匿威胁：后门与持久代理（二）

*本文原创作者：2cat，本文属FreeBuf原创奖励计划，未经许可禁止转载继上一篇后门与持久代理内容后，我个人继续带来第二篇基础类内容分享。上篇中，我提到了Telnet和GUI两种建立后门持久链接的技巧方式。下面，我们再来讨论关于Netcat利用原始TCP和UDP数据包建立持久后门的技术分享。 Netcat作为一种支持网络连接中完成对数据读写操作的便利工具，与Telnet和FTP服务所形成的数据包又有不同，原因是Netcat所生成的数据包是不具备包头和其它特殊信道的信息。整体通信信道比较简化，可以使用大部分通信信道。Netcat具备众多功能，如端口扫描、识别服务、端口重定向和代理、数据取证、远程备份、后门及代理等。通常在使用Netcat时，我们会将名为nc.exe的执行文件上传到要被攻击的目标系统当中

发布时间:2018-01-15 10:10 | 阅读:78130 | 评论:0 | 标签:系统安全代理后门

后门之王：谈一谈加密算法中的数学后门

政府和情报机构力图控制或绕过对数据及通信的加密防护，而给加密算法开个后门，被认为是实现加密控制的最佳办法。安全研究人员常会找寻加密算法实现中的漏洞，但却不会投入太多精力在查找数学后门上。在加密防护上，研究人员开始验证信息安全交换和电子商务的支撑技术。埃里克·菲利奥尔，法国高等计算机、电子及自动化学院(ESIEA)操作密码学及病毒学实验室研究主管。他认为，只有在协议/实现/管理层面的后门实现被普遍考虑到了，而在查找数学后门或设计后门上投入的努力，还远远不够。上周举行的欧洲黑帽大会上，菲利奥尔和他的同事阿诺德·般涅尔做了演讲，题为“加密系统设计后门——我们能信任外国加密算法吗？”，阐述了设计数学后门的可能性。演讲中，两位研究人员提出了BEA-1块加密算法。该算法类似AES，但含有一个可供进行有效密码分析的数学后门。

发布时间:2018-01-05 15:10 | 阅读:65706 | 评论:0 | 标签:黑极空间加密算法后门加密

Captcha插件后门分析和修复

0×00 前言近日看到网上爆出wordpress官方插件captcha出现后门，大惊，本人当初千辛万苦找验证码插件，在十几个插件中选了这款，感觉还挺好用，竟然爆后门，赶紧去博客排查，还好由于安装比较早，并没发现后门，发文纪念一下这次差点中招…… 0×01 概述据说这个后门是偶然被发现的，是因为含后门版本的作者对使用wordpress商标的问题，接着wordpress把captcha下架，继而wordfence(为wordpress提供waf的厂商)检查发现插件后门。这个后门是更新触发，从4.3.6版本开始(本人安装的版本)就有后门，执行插件更新就会加入后门代码。这个后门利用userID(admin)创建会话，设置认证cookie，接着

发布时间:2017-12-27 17:50 | 阅读:70019 | 评论:0 | 标签:WEB安全 Captcha 后门