本季度是《高級不断渗透-第七季demo的发展》的持续。

点一下文尾左下角“阅读”可阅读文章第七季文章正文。

在第一季有关后门中，文章内容提及再次编译程序notepad ，来引入有目标源代码后门结构。

在第六季有关后门中，文章内容假定不在获知notepad 的源代码，来引入无目标源代码沟门结构。

在第七季有关后门中，文章内容让demo与上哪季中比照，更接近于实战演练。

而在第八季，再次提升升级demo，注重后门链在高級不断渗透中的功效。

该系列产品仅做后门构思。

在上季中引入一个定义：“安全性是一个链安全性，进攻引入链进攻，后门引入链后门”，而”链”的实质是提升敌人的经济成本，钱财成本费，人工成本等。

第七季的文章内容末尾是那样写到：

而增改后门每一个功能，则必须变更demo的功能，或是提升好多个功能的结合。那麼它并并不是一个规范的"链"后门。为了更好地更强的注重“链”后门在高級不断渗透中的功效。第八季把demo打导致一个远程控制。及其可融合随意第三方渗透架构。

远程控制4四大因素：

可实行cmd指令

可远程访问目标机文档，文件夹名称等

可查询目标监控摄像头

注册表文件和服务项目实际操作

这些

而之上功能必须很多的编码及其很多的特点添加到该dll里，而这时，后门没有合乎实战演练规定。进而必须再次搭建后门。构思以下：dll不完成一切后门功能，只做“后门分布式数据库”。而之上功能则第四方来完成。第三方做为与后门创建联接关联。

Demo 自然环境：

Windows2003 x64

Windows 7x64

Debian

notepad 7.6.1，notepad 7.5.9

vs 2017

Windows 2003： ip 192.168.1.119

开放端口：

notepad 版本号：

notepad v7.6下列版本号软件立即放进X:Program Files(x86)Notepad plugins文件目录下就可以。

置放后门：

配备后门链：

配备下载服务器：

配备msf：

再度开启notepad ：

转变以下：

下载服务器：

msf网络服务器：

实行次序为：

notepad 脱机dll后门

后门浏览下载服务器载入shellcode

依据shellcode內容，载入运行内存

实行shellcode

Micropoor.rb关键编码以下：

而这时，不用在对dll的功能更改而变更目标网络服务器，只需变更下载服务器shellcode，以messagebox为例子：

msf转化成shellcode以下：

更换下载服务器shellcode：

再度运作notepad ，弹出来messagebox，而无msf payload功能。

在第八季中，只需配备一次目标网络服务器，便完成了对目标网络服务器的“后门”所有配备。以减少降到最低触碰目标网络服务器，来降低被发觉。而之后得所有配备，则在下载服务器中。来启用第四方架构。而且目标网络服务器只落地式一次文档，将来别的功能都可能立即载入到运行内存。极大地提升了管理者的抵抗成本费。“后门链”的实质是提升敌人的经济成本，钱财成本费，人工成本等。而针对网络攻击而言，免费下载，实行，后门各自在不一样的IP。针对抵抗防护软件，只是必须做“落地式”的exe的加解密shellcode。

附：

文档1:Micropoor.rb

尺寸: 1830 字节数

修改时间: 2019年1月4日, 15:46:44

MD5: D5647F7EB16C72B94E0C59D87F82F8C3

SHA1: BDCFB4a9B421ACE280472B7A8580B4D9AA97FC22

CRC32: ABAB591B

文档2:MicroNc.exe

注：强烈要求在虚似中检测，因Micropoor已被防护软件添加特点，故报毒。

尺寸: 93696 字节数

修改时间: 2019年1月4日, 15:50:41

MD5: 42D900BE401D2A76B68B3CA34D227DD2

SHA1: B94E2D9828009D80EEDDE3E795E9CB43C3DC2ECE

CRC32: CA014C3E