一个 "RPC后门"的基本模拟

作者:Sec-Labs | 发布时间:

RPC后门仿真

该项目是一个 "RPC后门 "的基本实现,旨在模拟某些团体使用的TTPs。

该项目包含一个具有五个功能的RPC服务器。

  • 用cmd.exe /c和CreateProcess API调用执行一个命令。
  • 通过cmd.exe /c和CreateProcessWithTokenW API调用窃取一个令牌并执行一个命令。
  • 从远程主机下载一个文件。
  • 上传一个文件到远程主机。
  • 终止RPC服务器。

该服务器以可执行文件(RpcServer)和DLL(RpcServerDll)两种形式实现。

该服务器注册了两个RPC服务器。

  • 通过命名的管道进行RPC,使用硬编码的管道名称 "ncacn_np"。
  • 通过TCP/IP的RPC,端口号为4747,是硬编码的。

客户端被实现为一个本地可执行文件(RpcClient)和一个.NET可执行文件(RpcSharpClient)。

项目地址

https://github.com/eladshamir/RPC-Backdoor

标签:工具分享