# 第六十二课:高级持续渗透-第六季关于后门 * 本季是作《php安全新闻早八点-高级持续渗透-第一季关于后门》的补充。 * 在第一季关于后门中,文章提到重新编译notepad++,来引入有目标源码后门构造。本季继续以notepad++作为demo,而本季引入无目标源码构造notepad++ backdoor。 针对服务器,或者个人PC,安装着大量的notepad++,尤其是在实战中的办公域,或者运维机等,而这些机器的权限把控尤为重要。 该系列仅做后门思路。 Demo 环境: * Windows 2003 x64 * Windows 7 x64 * notepad++ 7.6.1 * vs 2017 遵守第一季的原则,demo未做任何对抗安全软件,并且demo并不符合实战要求。仅提出思路。**由于demo并未做任何免杀处理。导致反病毒软件报毒。如有测试,建议在虚拟机中进行测试。** Windows 2003: ip 192.168.1.119 ![](https://1465213733-files.gitbook.io/~/files/v0/b/gitbook-legacy-files/o/assets%2F-LZJtlFN7NOR8zMCiJsm%2F-LZXjML3_FcKKksF7yox%2F-LZP76AEXrZ41PMelNtD%2Fb75265b26ccaad160f2b330c1f34cbad.jpg?generation=1551066083282200\&alt=media) **开放端口:** ![](https://1465213733-files.gitbook.io/~/files/v0/b/gitbook-legacy-files/o/assets%2F-LZJtlFN7NOR8zMCiJsm%2F-LZXjML3_FcKKksF7yox%2F-LZP76AHPB1C2_FrHIsS%2F7cabec4d0c6df5398c037a5cf49409e9.jpg?generation=1551066076640442\&alt=media) notepad++版本: ![](https://1465213733-files.gitbook.io/~/files/v0/b/gitbook-legacy-files/o/assets%2F-LZJtlFN7NOR8zMCiJsm%2F-LZXjML3_FcKKksF7yox%2F-LZP76ALINW7Imo6gMCf%2F803ead4ea5a34c01522a57b00234e914.jpg?generation=1551066076581994\&alt=media) 导入dll插件: ![](https://1465213733-files.gitbook.io/~/files/v0/b/gitbook-legacy-files/o/assets%2F-LZJtlFN7NOR8zMCiJsm%2F-LZXjML3_FcKKksF7yox%2F-LZP76AOBK47cuyi3em1%2Fb70624aaa775d1e94bd6f43d7a67a0ca.jpg?generation=1551066078237636\&alt=media) notepad++ v7.6.x以上版本提示,后重新打开notepad++,来触发payload。 ![](https://1465213733-files.gitbook.io/~/files/v0/b/gitbook-legacy-files/o/assets%2F-LZJtlFN7NOR8zMCiJsm%2F-LZXjML3_FcKKksF7yox%2F-LZP76ARgQAByIt-CzbK%2F4d150b5afc1fdf0c2282f6cd0e336053.jpg?generation=1551066085038270\&alt=media) 开放端口变化如下: ![](https://1465213733-files.gitbook.io/~/files/v0/b/gitbook-legacy-files/o/assets%2F-LZJtlFN7NOR8zMCiJsm%2F-LZXjML3_FcKKksF7yox%2F-LZP76AUdNFABeOI-S74%2Fe5a060d48960be08f10fe584929bc78f.jpg?generation=1551066079514422\&alt=media) msf连接: ![](https://1465213733-files.gitbook.io/~/files/v0/b/gitbook-legacy-files/o/assets%2F-LZJtlFN7NOR8zMCiJsm%2F-LZXjML3_FcKKksF7yox%2F-LZP76A_dFtJsQQc0kjf%2Ffc72a7bb494445813a098e0b26245dc5.jpg?generation=1551066075822007\&alt=media) ![](https://1465213733-files.gitbook.io/~/files/v0/b/gitbook-legacy-files/o/assets%2F-LZJtlFN7NOR8zMCiJsm%2F-LZXjML3_FcKKksF7yox%2F-LZP76AdVTjpkKKV6MHI%2F45b069f7d3ce3035e7996b7187efc8d1.jpg?generation=1551066100276751\&alt=media) **后者的话:** demo借助了notepad++的证书,在通过notepad++来调用自身。本季的demo并不符合实战要求。在实战中,当目标人启动notepad++时,或者抓取密码发送到指定邮箱,或者在做一次调起第四方后门等,这是每一位信息安全从业人员应该考虑的问题。 关于后门,无论是第一季还是最六季,都侧面的强调了shellcode的分离免杀,后 门”多链”的调用触发。同样,攻击分离,加大防御者的查杀成本,溯源成本,以及时间成本。给攻击者争取最宝贵的时间。 PS: 关于mimikatz的分离免杀参考上一季《体系的本质是知识点串联》, [https://micropoor.blogspot.com/2018/12/blog-post.html。](https://micropoor.blogspot.com/2018/12/blog-post.html%E3%80%82) 本demo 不支持notepad++ v7.6版本。因为此问题为notepad++官方bug。7.6.1更新如下: ![](https://1465213733-files.gitbook.io/~/files/v0/b/gitbook-legacy-files/o/assets%2F-LZJtlFN7NOR8zMCiJsm%2F-LZXjML3_FcKKksF7yox%2F-LZP76AgjKE_SPHP98PE%2Fbc3b1d714d98b0c1a02cd99923b06173.jpg?generation=1551066080626566\&alt=media) **为此调试整整一天。才发现为官方bug。** Demo for dll: **由于demo并未做任何免杀处理。导致反病毒软件报毒。如有测试,建议在虚拟机中进行测试。demo仅做开放443端口。等待主机连接。** > **HTMLTags\_x32.dll** 大小: 73728 字节文件版本: 1.4.1.0 修改时间: 2018年12月31日, 18:51:20 MD5: FDF30DD5494B7F8C61420C6245E79BFE SHA1: D23B21C83A9588CDBAD81E42B130AFE3EDB53EBB CRC32: D06C6BD1 > **HTMLTags\_x64.dll** 大小: 88064 字节文件版本: 1.4.1.0 修改时间: 2018年12月31日, 18:51:09 MD5: D7355FF1E9D158B6F917BD63159F4D86 SHA1: 9E6BC1501375FFBC05A8E20B99DC032C43996EA3 CRC32: 606E5280 > Micropoor