远程控制(command&control, C2)---常用端口,非常用端口

最新推荐文章于 2024-06-05 15:16:35 发布
最新推荐文章于 2024-06-05 15:16:35 发布
阅读量3.1k 收藏 1
点赞数
分类专栏: 远控-Command&Control
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/AG9GgG/article/details/89878936
版权

攻击者经常使用这些端口,将攻击混迹于正常通信行为中,来绕过防火墙或检测软件:

  • TCP HTTP: 80
  • TCP HTTPS:443
  • TCP SMTP:25
  • TCP/UDP DNS:53

内部网络通信常用协议:
TCP/UDP RPC:135
TCP/UDP SSH:22
TCP/UDP RDP:3389

防御

在网路级的预防上可以使用基于网络流量签名的网络入侵检测和防御系统,针对一些特定的恶意软件是有效的。签名通常是唯一的协议指示符,可以基于特定攻击者或工具所使用的特定协议,不同的恶意软件家族或版本之间的签名可能各不相同。

攻击者可能时常改变工具的C2签名,或者是改变协议的构建以避免被常见的检测工具发现。

检测

分析不常见的网络数据(如,客户端发送的数据明显多于接收到的数据)。关注不常见的应用利用网络的方式以及可疑的通信。分析数据包的内容以检测端口上不遵循正常协议应有行为的通信。

非常用端口

攻击者可能使用非常用端口进行远控通信,可以钻未正确配置的代理或防火墙的检测漏洞。

AG9GgG
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
远程控制(command&control,C2)---远程文件拷贝,标准应用层协议,标准加密协议,标准非应用层协议,网络服务
AG9GgG的博客
05-07 983
远程文件拷贝 文件可以从一个系统拷贝到另一个攻击者工具或者其他文件,可以将工具从一个攻击者控制的外部系统通过远控信道或其他具有此功能的协议,如FTP,拷贝到受害者网络内,也可以将文件通过如scp, rsync和sftp等本地工具在Mac和Linux等不同操作系统之间进行拷贝。 攻击者还可以在受害者之间进行横向文件拷贝,使用固有的文件共享协议进行远程文件拷贝,例如通过SMB与连接的网络共享或使用Wi...
吐血整理所有常用端口,遇到端口问题一查就懂!
weixin_33941350的博客
05-02 667
大家在学习计算机的时候,对于最常用的几个端口比如80端口肯定有很深的印象,但是对于其他一些不是那么常用端口可能就没那么了解。所以,在一些使用频率相对较高的端口上,很容易会引发一些由于陌生而出现的错误,或者被***利用某些端口进行***。对于这件事情,大部分人都很头疼——最多可达65535个的端口,让人怎么记?别怕,这次专门给大家整理了一些比较常见端口信息,遇到问题,一查就好!注意:一个计算机最多...
实战shell免杀&C2远控&工具魔改(免杀日记 - 上篇)
最新发布
guanjian_ci的博客
06-05 1755
1、上面实验内容并不多,但是工具的使用、环境的安装、代码的排错够新手玩上几天了。2、绕过杀毒软件的本质就是防止被杀毒库匹配,代码、工具指纹等等!3、一个好的免杀,一定具备了多方面的性能:防杀软、绕过流量平台、防沙箱、防逆向调试后依然能够正常运行上线!4、此文章分上 、 中 、下,未完待续... ...
远程桌面控制,端口
weixin_30916125的博客
07-14 232
为系统添加远程桌面 默认状态下,Windows 2000及其之前的系统并没有安装远程桌面,要想在这些系统中使用远程桌面,需要自己手工添加。 在Windows XP系统安装光盘的“SUPPORTTOOLS”目录中,可找到一个名为“Msrdpcli.exe”的程序,它实际上就是远程桌面连接登录器。将此程序复制到没有远程桌面的系统中并运行后,即可自动在系统中安装远程桌面连接程序。安装过程非...
远程控制(command&control,C2)---Fast flux
AG9GgG的博客
05-23 1546
Single Flux 顾名思义,single flux是只有一层变化的fast flux,一个域名拥有一个不断变化的IP地址列表,列表可能包含成百上千条IP地址。为了实现频繁的IP地址变化,控制者控制最底层域名服务器,这个服务器返回频繁变化的C2服务器IP地址,如果使用别人提供的域名服务器,频繁的更改IP表容易被管理者检测出来,导致僵尸网络暴露。 Double Flux 较single flu...
windows远程控制端口设置
魔幻之翼的坚持
04-28 7675
众所周知,远程终端服务基于端口3389。入侵者一般先扫描主机开放端口,一旦发现其开放了3389端口,就会进行下一步的入侵,所以我们只需要修改该务默认端口就可以避开大多数入侵者的耳目。 步骤:打开“开始→运行”,输入“regedit”,打开注册表,进入以下路径:[HKEY_LOCAL_MACHINE/SYSTEM/ CurrentControlSet/Control/Terminal Server/
c2-SMS-源码.rar
10-10
【标题】:“c2-SMS-源码.rar”通常指的是一个包含C2Command and Control)系统短信功能的源代码压缩文件。C2系统在IT领域中是指恶意软件或网络攻击者用来远程控制受感染设备的通信框架。在这个特定的例子中,重点...
网络攻击与防御-第四章 Metasploit渗透攻击.pptx
06-29
- **C2Command & Control Server)**:C2服务器是攻击者用来指挥和控制被侵入系统的中心节点。 2. **Metasploit涉及内容** Metasploit框架包含了多个关键组件: - **数据库**:存储扫描结果、漏洞信息和会话...
cobaltstrike-linux.zip
07-09
4. **Malleable C2**:这是Cobalt Strike的特色功能,允许自定义C2Command and Control)通信协议,以避免被防火墙或安全设备检测到。 5. **Persistence**:Cobalt Strike支持多种持久化机制,确保即使系统重启,...
Cobalt_Strike_C2隐匿多级nginx反向代理1
08-03
在网络安全领域,C2Command and Control)服务器是用来控制受感染设备的远程服务器。Cobalt Strike 是一种广泛使用的红队工具,它提供了多种功能,包括建立 C2 通道、执行命令、收集信息等。在本文中,我们将讨论...
第一百一十二课:利用Dropbox中转C2流量1
08-03
在网络安全领域,C2Command and Control)通信是恶意软件与攻击者之间的重要桥梁。本篇将详细阐述如何利用Dropbox作为中转站来实施C2流量的隐蔽传输。这种方法使得攻击者能够避开常规检测,通过看似无害的云存储...
常用端口大全
Zhang_Jian
12-17 381
https://blog.csdn.net/l_smalltiger/article/details/81951824
计算机网络常用端口汇总!总有你不知道的端口及对应的服务!
weixin_43996007的博客
02-21 5679
计算机网络常用端口汇总!总有你不知道的端口及对应的服务! 端 口 服 务 及 说 明 20 ftp-data。FTP文件传输协议(默认数据端口) 21 ftp。 FTP文件传输协议(控制端口) 22 ssh。SSH远程登录协议 23 telnet。telnet标准终端仿真协议 25 smtp。简单邮件传输协议,用于发送邮件 37 time。 时间协议 ...
常用和不常用端口一览表收藏
weixin_34015566的博客
07-14 8271
大家在学习计算机的时候,对于最常用的几个端口比如80端口肯定有很深的印象,但是对于其他一些不是那么常用端口可能就没那么了解。所以,在一些使用频率相对较高的端口上,很容易会引发一些由于陌生而出现的错误,或者被黑客利用某些端口进行入侵。对于这件事情,大部分人都很头疼——最多可达65535个的端口,让人怎么记? 别怕,这次专门给大家整理了一些比较常见端口信息...
常见端口与服务的攻击手法
qq_42352268的博客
09-20 1259
常见端口与服务的攻击手法
常见端口对照说明
05-13 698
<!--google_ad_client = "pub-3250284447844828";google_ad_width = 728;google_ad_height = 90;google_ad_format = "728x90_as";google_ad_type = "text_image";google_ad_channel ="";google_color_
攻击技术:命令和控制服务器(C2)是什么意思
网络研究观
03-10 5494
解决基于命令和控制服务器的威胁需要持续的承诺和强大的网络安全领导力。
C2远控之初探shellcode
qq_29948489的博客
02-20 1245
杀软一般通过一下几点来检测恶意软件和行为:1、静态查杀:最基本的查杀方式,主要通过对文件的特征码进行扫描,匹配已知的病毒特征库。如果发现文件特征码与病毒特征库中的某个病毒特征码相匹配,就判断该文件为病毒;部分杀软会在静态查杀时将程序放入沙箱中运行几秒的方式以检测程序是否是恶意程序。2、动态(主动)查杀:通过在程序运行时扫描程序内存是否匹配病毒特征的方式主动发现恶意程序。在EDR中还会挂钩敏感的Windows API,在程序调用到被挂钩的API时检查函数参数和调用栈以检测恶意程序。
常见的端口及对其的攻击思路
zHx981的博客
04-11 2098
常见的端口及对其的攻击思路 21端口:FTP文件传输服务端口 这种服务器的目录一般是可读写的。可以进行爆破、嗅探操作,有些可以允许匿名的上传/下载。针对FTP的工具也有很多,如:Metasploit的爆破模块等。 22端口:SSH端口 SSH可以把所传输的数据进行加密,SSH有口令/密钥两种不同的认证方式。可以使用九头蛇(hydra)进行弱口令爆破等。 23端口:Telnet终端仿真服务端口 可以实现基于Telnet协议的远程登录。可以进行嗅探,弱口令爆破等。 25端口:SMTP简单邮件传输服务端口 SMT
ubuntu@ubuntu:~/serversign/djangoProject_tosServices_to_client$ sudo docker exec -it django_project_tos_services_local /bin/bash bash-5.0# apt update bash: apt: command not found bash-5.0# apt-get update && apt-get install -y apt bash: apt-get: command not found bash-5.0# RUN apt-get update && apt-get install -y --no-install-recommends apt-utils && \ apt-get install -y apt bash: RUN: command not found bash-5.0# apt-get update && apt-get install -y --no-install-recommends apt-utils && \ apt-get install -y apt bash: apt-get: command not found
05-27
这段代码看起来像一个在 Ubuntu 容器中执行的 Dockerfile。从错误信息来看,似乎是缺少了 apt 和 apt-get 这两个命令。这很可能是因为容器中没有安装相关的软件包或者路径没有正确配置。你可以尝试在 Dockerfile 中添加以下代码: ```Dockerfile RUN apt-get update && \ apt-get install -y apt-utils && \ apt-get install -y apt ``` 这会先更新软件包列表,然后安装 apt-utils 和 apt 包。如果还有其他依赖的软件包,你也可以在这里添加。注意,在 Dockerfile 中使用 RUN 命令来执行命令。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值