【基础篇】————17、隐匿攻击之Website

最新推荐文章于 2023-04-24 18:35:26 发布
最新推荐文章于 2023-04-24 18:35:26 发布
阅读量639 收藏 3
点赞数

通过合法流量覆盖任意命令是每个红队入侵的必要条件。大多数命令和控制工具正在实施一种秘密技术,它允许红队隐藏他们的活动,因为数据泄露是目标的一部分。

David Kennedy开发了一个名为TrevorC2的命令和控制工具,可用于通过合法的HTTP流量执行命令。需要将trevorc2_server.py上的URL属性修改为所选的网站。

                                                    TrevorC2 - 服务器配置

植入物(trevorc2_client.py或trevorc2_client.ps1)具有SITE_URL属性。这需要使用命令和控制服务器的IP地址进行更改。当命令和控制服务器文件运行时,它将开始克隆网站。

                                                TrevorC2 - 服务器

有两种植入物可供使用,一种基于python,另一种植入PowerShell。从执行植入的那一刻起,将与命令和控制服务器建立连接。

                                         TrevorC2 - PowerShell Implant

命令可以从服务器发送到客户端:

                                                             TrevorC2 - 命令

命令将通过HTTP / S协议加密发送。TrevorC2使用AES加密和以下密码。加密命令将插入oldcss参数内的虚假网站:

                                     TrevorC2 - 加密密钥和数据位置

假网站将与命令和控制服务器托管在同一系统中,它看起来与原始网站完全一样。

                                TrevorC2 - 克隆网站

但是,检查源代码时,oldcss参数将包含加密命令。

通过进行流量检查,可以看出执行的命令是通过合法的HTTP流量覆盖的。

参考

https://www.trustedsec.com/2017/10/trevorc2-legitimate-covert-c2-browser-emulation/
https://github.com/trustedsec/trevorc2

 

FLy_鹏程万里
关注
专栏目录
【Python爬虫必备—>Scrapy框架快速入门——上】
孤寒者的博客
08-09 61万+
【Python爬虫必备—>Scrapy框架快速入门——上】
电子元器件基础知识——霍尔传感器-教程与笔记习题
05-18
电子元器件基础知识——霍尔传感器
基础】————5、隐匿攻击之DNS
Fly_鹏程万里
05-26 756
隐匿攻击之DNS 即使在最受限制的环境中,也应该允许DNS流量解析内部或外部域。这可以用作目标主机和命令和控制服务器之间的通信通道。命令和数据包含在DNS查询和响应中,因此很难检测,因为任意命令隐藏在合法流量中。 使用Dnscat2可以实现这种技术,Dnscat2可以通过DNS协议创建命令和控制通道。此工具使用基于C的客户端(植入),它需要在目标上执行,以便服务器接收连接。流量以加密形式传输,...
隐匿攻击行为
最新发布
weixin_46239998的博客
04-24 703
攻击行为隐匿
渗透测试入门3之隐匿攻击
鹿鸣天涯
04-04 672
渗透测试入门3之隐匿攻击 1. Command and Control ICMP :https://pentestlab.blog/2017/07/28/command-and-control-icmp/ DNS :https://pentestlab.blog/2017/09/06/command-and-control-dns/ DropBox :https://pentestlab....
内网渗透系列:隐匿攻击方法
闵行小鱼塘
07-26 1393
学习并小结下各种隐匿通道方法
Python入门——基础
06-27
Python语言入门,基础,思维导图格式,精简版(输入输出、数据类型、条件语句、循环、字符串等常用操作、文件操作、函数、类和对象,异常、模块和包),仅供参考
C语言基础——专栏索引
01-08
集合是我对C语言基础语法的一个讲解集合,我会尽可能写的详细和透彻深入,帮助大家更轻松地掌握C语言。 我会努力提高更新文章的速度,使得这个体系变得更加完善。 目录 第一课:一个有趣的运算符——————...
TrevorC2是一个合法的网站,在客户端和服务端之间架设通信通道,用于隐蔽的命令执行-python
06-18
TrevorC2是一个合法的网站(可浏览),在客户端和服务端之间架设通信通道,用于隐蔽的命令执行 trevorc2 TrevorC2 - 通过 HTTP 上的合法行为进行命令和控制 作者:Dave Kennedy (@HackingDave) 网站:https://www.trustedsec.com 请注意,这是一个非常早的版本 - 很快就会添加大量随机化和加密。 TrevorC2 是一种客户端/服务器模型,用于通过通常可浏览的网站屏蔽命令和控制。 由于时间间隔不同并且不使用 POST 请求进行数据传输,因此检测变得更加困难。 ,.'''''。 ... ''''', .' ',' ,.MMMM;.;' '。 ;; ;MMMMMMMM; ;;' :'M: ;MMMMMMMMMM;. :M': : M: MMMMMMMMMMMMM: :M 。 .' M: MMMMMMMMMMMMM: :M。 ; ; :M' :MMMMMMMMMMMM' 'M: : :M: .;"MMMMMMMMM":;. ,M: : : ::,MMM;.M":::M.;MMM ::'
Python-TrevorC2是一个合法的网站在客户端和服务端之间架设通信通道用于隐蔽的命令执行
08-10
TrevorC2是一个合法的网站(可浏览),在客户端和服务端之间架设通信通道,用于隐蔽的命令执行
trevorc2:TrevorC2是合法的网站(可浏览),可通过隧道传输客户端服务器通信以执行隐蔽命令
04-06
特雷弗2 TrevorC2-通过HTTP的合法行为进行命令和控制 撰写者:戴夫·肯尼迪(@HackingDave)网站: ://www.trustedsec.com 请注意,这是一个非常早的发行版-即将添加大量随机化和加密功能。 TrevorC2是一种客户端/服务器模型,用于通过通常可浏览的网站屏蔽命令和控制。 随着时间间隔的不同,检测变得更加困难,并且不使用POST请求进行数据提取。 , .'''''. ... ''''', .' ',' ,.MMMM;.;' '. ;; ;MMMMMMMMM; ;;' :'M: ;MMMMMMMMMMM;. :M': :
基础】————6、隐匿攻击之DropBox
Fly_鹏程万里
05-26 702
许多公司使用DropBox作为共享工具和托管数据。因此,对DropBox服务器的流量被限制或归类为恶意域是不常见的。但是,有可能滥用DropBox的功能并将其用作命令和控制工具。 这可以通过DropBoxC2工具实现,该工具使用DropBox API在控制器和植入物之间进行通信,因为它完全在内存中运行并且流量被加密,所以它是隐秘的。 DropboxC2控制器的安装简单快捷。 git clo...
基础】————15、隐匿攻击之Https
Fly_鹏程万里
05-26 578
C2工具通常依赖于各种协议作为通信机制,如DNS,ICMP,HTTPS等。大多数端点产品执行一些深度数据包检查,以便丢弃任意连接。使用支持加密的协议并使用证书固定生成的流量可以规避大部分产品,并且应该将其视为红队参与过程中的一种方法。 ThunderShell由MrUn1k0d3r开发,基于Python。它使用Redis服务器在植入物和服务器之间进行HTTPS通信,并使用PowerShell在目...
基础】————22、隐匿攻击之Domain Fronting
Fly_鹏程万里
05-27 1593
0x01 简介 最近看到了一些关于Domain Fronting的技术,感觉很有意思,其特点在于,你真正访问的域名并不是你看到的域名,即可以隐藏攻击者的真实地址,并且此技术能够让我们在一些受限制的网络中依然连接到我们的C2服务器,其关键思想是在不同的通信层使用不同的域名,在HTTP(S)请求中,目标域名通常显示在三个关键位置:DNS查询,TLS(SNI)拓展及HTTP主机头中,通常,这三个地方都...
基础】————19、隐匿攻击之WebSocket
Fly_鹏程万里
05-26 902
在探索可以在红队参与期间使用的日常新方法和工具中特别关注命令和控制通道,这些通道可以逃避安全产品,并可以通过使用非传统方法隐藏流量。Arno0x0x发现某些Web网关不检查Web套接字内容。因此,它可以用作向主机执行任意命令的通信通道。 Arno0x0x开发了一个实现此方法的命令和控制工具(WSC2)。该工具是用python编写的,可以用于数据泄露,因为它提供了文件传输功能和shell功能。 ...
基础】————16、隐匿攻击之Kernel
Fly_鹏程万里
05-26 545
现代环境实施不同级别的安全控制,如端点解决方案,主机入侵防御系统,防火墙和实时事件日志分析。另一方面,红队参与试图逃避这些控制,以避免被发现。但是,大多数工具会通过生成各种事件日志在网络级别或主机级别上产生某种噪声。 RJ Mcdown和约书亚THEIMER已经发布了一个工具叫redsails中间DerbyCon2017年,其宗旨是让红队无需创建任何事件日志或建立新连接执行目标主机上的命令。这...
十三、权限维持
谢小二的博客
06-12 1316
权限维持
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值