0x01 前言
看了Micropoor大牛分享的一系列教程,受益良多。
PS:下文将Micropoor写做Mp
笔者对其中几篇谈及后门的文章颇有兴趣,作者在他的文章中给出了一些大体思路但未谈及实现细节,于是笔者按照文中提供的思路动手实践了一下。
0x02 改造 Notepad之旅
这里引用一个概念:
人为化后门:一般指被动后门,由人为引起触发导致激活,或者传播要做到高度化定制,足够贴合实际目标,我们可能会需要它。正好之前秒了一台独立服务器,登陆进去发现服务器主人预先安装了Notepad++,这简直是最佳实践…
服务器有了,缺个后门,不多说我们自己来动手:根据Mp的文章我们去官方git仓库下载其开源的源代码本地编译。
仓库地址:https://github.com/notepad-plus-plus/notepad-plus-plus
完整目录如下:
其中PowerEditor是Notepad++的项目文件
scintilla是Notepad++引用的代码编辑库。
我们编译的顺序是先使用VS2017CMD编译scintilla项目,得到SciLexer.dll文件,将其复制到PowerEditor项目内作为动态链接库,再用VS2017编译PowerEditor这个项目。
具体编译过程:
找到VS目录,在vs2017\Common7\Tools\VsDevCmd.bat文件夹下找到 VS2017专用CMD ,打开它。
切换目录到Notepad++的源代码目录下,进入scintilla\win32\目录。(PS:windows下的CD跨磁盘 需要输入/d )。
输入 nmake NOBOOST=1 DEBUG=1 -f scintilla.mak 回车编译,等待即可。
将生成的SciLexer.dll文件从scintilla\bin\目录中复制到PowerEditor文件的同一目录下。如果是Release 就放到PowerEditor目录,如果是Debug就放到PowerEditor\visual.net 目录
另外如果不想动手编译,可以直接在安装好的Notepad++ 根目录找到此dll文件
这里指出几个编译时掉入的坑:
Mp 在他的文章中用的VS2017编译,却说要打开notepadPlus.vs2013.vcxproj这个项目文件。
我猜测这可能是笔误,实际上打开这个项目文件编译会遇到符号问题。对此我专门用半自创英语去官方git 仓库提了issue,大家遇到问题也可以去各种官方库下面提问,一般都会有热心的开源社区人员进行解答
得到回复后才明白用VS2017编译的话是要选择notepadPlus.vcxproj这个文件,而不是2013那个文件。
在项目配置上,点击项目 -> Notepad++属性 -> 配置属性 -> C/C++ -> 常规,将警告视为错误置为否,并选择当前编译器适配的平台,选择 Unicode Debug或者Release + X86 架构。
有时候编译完成会报错,弹框提示签名证书会验证失败,我在这里将报错处理的语句统统注释掉了。如果遇到下面这种报错:
解决办法:
这是因为他验证文件数字签名出问题了,也许是我们自己编译的dll文件存在问题。
具体我们可以找到Common.cpp,在此文件内搜索isCertificateValidated定位到验证函数:
简单看了下它的处理异常的代码,写的很详细,有很多种错误类型。不同编译环境可能产生不同的错误,在此我给出一种通用的解决办法:搜索它的报错关键字,哪里报错注释哪里,简单有效。
定位到catch内部就尝试注释掉它内部的验证逻辑:
Authenticodecheck failed 错误解决:
DLLsignature verification failed 错误解决:
顺利通过编译后,就可以考虑添加后门功能了
我开始思考下面的问题:
一个后门之所以称之为后门,必然是有里应外合的功能的,而在C++Win32编程中,基础库执行系统命令使用system()函数可以完成命令,但是会弹出黑色命令窗口。为了隐蔽性,在查阅了官方文档后,找到了WinExec(),使用这个函数来执行系统命令则不会弹黑色命令窗口。
system("calc");//这种方法会弹出黑框
WinExec("指令",SW_NORMAL); //这种方法不会弹黑色命令窗口
接下来仔细想想,弹个计算器也没啥用,直接增加账户又太明显,于是我又去参考网络通信基础模块,扩展指定接收指令执行的功能。这里用了WinInetAPI 实现HTTP 通信,相比于libcurl等第三方库使用起来更方便快捷。
下面给出实例代码以及相关头文件引用:
最终效果
获取指定URL下的添加账户命令,并且静默执行(请无视个人主机的360防护)。
假想触发链:管理员在服务器上打开Notepad++, 则会触发后门,获取我们事先放到VPS的命令。
优点:
命令高度可控,可多次执行不同命令。
隐蔽,无敏感进程,少通信。
反弹shell可行。
容易被触发,且无任何提示。
缺点:
一旦引起怀疑,容易被捕获流量并溯源。
不能针对无法访问外网的机器进行定制。
0x03 写在最后
本文章纯属对MP大牛提出的一些想法进行了个人踩坑实践,相比于其他后门还是相形见绌,如有错误请大家及时指出。另外,维持权限不要局限于一种工具,或者一类方法。当我们的目标处于不同平台不同环境时,我们会束手无策还是拿出花一样的思路呢?我认为后者才是真本事。希望大家多多和我交流!
本文仅用于普及网络安全知识,提高小伙伴的安全意识的同时介绍常见漏洞的特征等,若读者因此做出危害网络安全的行为后果自负,与合天智汇以及原作者无关,特此声明。本文为原创文章,转载请注明出处!