后门技巧之使用网站关键字进行反连

Twitter大牛@MattGraeber和@ChrisCampbell介绍了一种使用网站关键字来触发系统中shellcode的技术。

这种技术的主要优点是shellcode直接从内存中执行，不容易被发现，通过注册表项实现持久化。

C2Code -PowerShell脚本如下:

当PowerShell脚本在目标主机上执行时，它将在网站上查找已经给出的特定关键字，如果关键字存在将执行有效负载

打开一个Meterpreter会话进行监听，成功反弹回来。

Matt Nelson还创建了一个Office宏，执行相同的技术，但是会另外创建一个注册表项，每次用户登录时执行C2Code PowerShell脚本，以保持持久性。

当用户打开Office文档时，宏将运行，并且执行托管在控制网站上的Invoke-ShellCode脚本。

Meterpreter监听时同样会建立连接：

这是一个很好的后门方式，没有引入任何新的东西或造成很大的动静，就可以完成一次交互，小编和他的小伙伴都惊呆了。

扫描下方二维码学习更多WEB安全知识：

Ms08067安全实验室

专注于普及网络安全知识。团队已出版《Web安全攻防：渗透测试实战指南》，《内网安全攻防：渗透测试实战指南》，目前在编Python渗透测试，JAVA代码审计和二进制逆向方面的书籍。

团队公众号定期分享关于CTF靶场、内网渗透、APT方面技术干货，从零开始、以实战落地为主，致力于做一个实用的干货分享型公众号。

官方网站：www.ms08067.com