一种使用网站关键字来触发系统中shellcode的技术。
这种技术的主要优点是shellcode直接从内存中执行,不容易被发现,通过注册表项实现持久化。
C2Code -PowerShell脚本如下:
![图片[1]-后门技巧之使用网站关键字进行反连-使者云](https://i58-1251178265.cos.ap-nanjing.myqcloud.com/2024/03/20240331113401747.jpg?imageMogr2/format/webp/interlace/1/quality/100)
当PowerShell脚本在目标主机上执行时,它将在网站上查找已经给出的特定关键字,如果关键字存在将执行有效负载
![图片[2]-后门技巧之使用网站关键字进行反连-使者云](https://i58-1251178265.cos.ap-nanjing.myqcloud.com/2024/03/20240331113407972.jpg?imageMogr2/format/webp/interlace/1/quality/100)
打开一个Meterpreter会话进行监听,成功反弹回来。
![图片[3]-后门技巧之使用网站关键字进行反连-使者云](https://i58-1251178265.cos.ap-nanjing.myqcloud.com/2024/03/20240331113413502.jpg?imageMogr2/format/webp/interlace/1/quality/100)
![图片[4]-后门技巧之使用网站关键字进行反连-使者云](https://i58-1251178265.cos.ap-nanjing.myqcloud.com/2024/03/20240331113421962.jpg?imageMogr2/format/webp/interlace/1/quality/100)
Matt Nelson还创建了一个Office宏,执行相同的技术,但是会另外创建一个注册表项,每次用户登录时执行C2Code PowerShell脚本,以保持持久性。
![图片[5]-后门技巧之使用网站关键字进行反连-使者云](https://i58-1251178265.cos.ap-nanjing.myqcloud.com/2024/03/20240331113427409.jpg?imageMogr2/format/webp/interlace/1/quality/100)
当用户打开Office文档时,宏将运行,并且执行托管在控制网站上的Invoke-ShellCode脚本。
![图片[6]-后门技巧之使用网站关键字进行反连-使者云](https://i58-1251178265.cos.ap-nanjing.myqcloud.com/2024/03/20240331113433543.jpg?imageMogr2/format/webp/interlace/1/quality/100)
Meterpreter监听时同样会建立连接:
![图片[7]-后门技巧之使用网站关键字进行反连-使者云](https://i58-1251178265.cos.ap-nanjing.myqcloud.com/2024/03/20240331113439148.jpg?imageMogr2/format/webp/interlace/1/quality/100)
这是一个很好的后门方式,没有引入任何新的东西或造成很大的动静,就可以完成一次交互,小编和他的小伙伴都惊呆了。
感谢您的来访,获取更多精彩文章请收藏本站。

暂无评论内容