前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >BrowserBackdoor | 一款基于JavaScript WebSocket的后门套装

BrowserBackdoor | 一款基于JavaScript WebSocket的后门套装

作者头像
FB客服
发布2018-02-08 11:56:00
1.5K0
发布2018-02-08 11:56:00
举报
文章被收录于专栏:FreeBuf

*免责声明:本站提供的安全工具仅供安全测试、安全研究用途,禁止非法使用

BrowserBackdoor是一款基于Electron框架的后门安全测试工具,使用JavaScript WebSocket来连接监听器。配套的BrowserBackdoorServer是一个WebSocket服务器,用于监听WebSocket连接并创建用于向远程服务器发送命令的命令行接口。

FreeBuf百科:

Electron 框架的前身是 Atom Shell,可以让你写使用 JavaScript,HTML 和 CSS 构建跨平台的桌面应用程序。Electron 是开源的,由 GitHub 维护,有一个活跃的社区。最重要的是,Electron 应用服务构建和运行在 Mac,Windows 和 Linux。

BrowserBackdoor中的JavaScript后门支持所有WebSockets的浏览器,可通过Electron API执行下列操作:

1、打开浏览器窗口,详见server/modules/openURL.js文件。 2、更改并读取剪贴板,详见server/modules/readClipboard.js和server/modules/writeClipboard.js 3、访问跨平台操作系统的通知和OS X或Windows平台上的Tray 4、截屏,详见server/modules/screenshot.js 5、执行任意系统命令,详见server/modules/execCommand.js 6、在启动时运行,详见client/main.js()和server/modules/manageStartup.js

用例

客户端应用程序会在后台运行,如果需要检查它的运行,可以按“CommandOrControl+Alt+\”(OS X平台上用Command,Windows/Linux平台上用Control,也可以在main.js文件中更改快捷键)来选择启用或禁用启动。

具体用例说明可在命令行中输入“help”。

安装

BrowserBackdoor要求在NodeJS平台上并使用NPM工具进行安装。BrowserBackdoorServer则要求在Ruby 2.1+环境中并且具备Gem包。

BrowserBackdoor可以在所有支持Electron的设备中运行,当前支持的平台有Windows 32/64,OS X 64,Linux 32/64。BrowserBackdoorServer在Ubuntu 14.04、Debian 8和Kali Linux平台上测试通过。

首先需要克隆Git资源库:

git clone https://github.com/IMcPwn/browser-backdoor cd browser-backdoor

安装并运行BrowserBackdoor Electron:

cd client npm install # Configure index.html and main.js before the next command npm start

创建全平台的可执行文件:

cd client npm install electron-packager -g electron-packager . –all

安装并运行BrowserBackdoorServer:

cd server gem install bundler bundle install # Configure config.yml before the next command ruby bbsconsole.rb

命令行截图

默认配置的命令行界面:

帮助界面(文本内容会随着时间改变):

会话打开的状态(本例中包含3个会话):

向所有会话发送命令:

向指定的会话发送命令:

下载地址

BrowserBackdoor下载地址:github

*原文地址:kitploit,安小白编译,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)

本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2016-07-04,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 FreeBuf 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
目录
  • FreeBuf百科:
  • 用例
  • 安装
  • 下载地址
相关产品与服务
手游安全测试
手游安全测试(Security Radar,SR)为企业提供私密的安全测试服务,通过主动挖掘游戏业务安全漏洞(如钻石盗刷、服务器宕机、无敌秒杀等40多种漏洞),提前暴露游戏潜在安全风险,提供解决方案及时修复,最大程度降低事后外挂危害与外挂打击成本。该服务为腾讯游戏开放的手游安全漏洞挖掘技术,杜绝游戏外挂损失。
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档