【蓝队技能】【C2流量分析】MSF&CS&Sliver

最新推荐文章于 2025-04-14 10:05:47 发布
最新推荐文章于 2025-04-14 10:05:47 发布
阅读量1.7k 收藏 7
点赞数 20
分类专栏: 安全杂项 文章标签: web安全 蓝队 安全运营
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_53568983/article/details/142990592
版权

蓝队技能

MSF&CS&Sliver

总结

在这里插入图片描述

前言

不同C2工具的流量特征都有细微差别,学会分析方法后就可以进行分析

一、MSF

1.1 流量分析

MSF流量特征过于明显,看如下这篇文章即可
MSF流量分析

1.2 特征提取

  1. 结果以明文方式显示在流量中(TCP明文)
  2. 响应流量中存在MZ,DOS等特殊字段(TCP密文)
    在这里插入图片描述
  3. 固定的请求头和响应头(HTTP)
  4. 固定的JA3和JA3S的特征值(HTTPS)

二、CS

1.1 流量分析

首先上线CS,然后进行抓包

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

1.2 特征提取

HTTP:

  1. 固定的数据包头
GET /cx HTTP/1.1
Accept: */*
Cookie: bdzPTdzddRyt8AtQGdzr+KRL8ELTYDxGwRBe1bbadiMeqzoQv8RzS+WrkPvInIXiUun/YnVPlpkrKLYgeGSrI8Dth0UMYPqZopauQTHqvQ5tRxOTQGiA2i8RIsArr5L1UEnFQEcLRXBmZ+QbR+Qizq+rIfUxxoxJMoeIckJNSdw=
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; WOW64; Trident/5.0; Avant Browser)
Host: 192.168.189.128:1111
Connection: Keep-Alive
Cache-Control: no-cache

HTTP/1.1 200 OK
Date: Wed, 16 Oct 2024 12:42:39 GMT
Content-Type: application/octet-stream
Content-Length: 0
  1. 路径的checksum8算法(路径算出来是92或者93)
    在这里插入图片描述
public class EchoTest {
    public static long checksum8(String text) {
        if (text.length() < 4) {
            return 0L;
        }
        text = text.replace("/", "");
        long sum = 0L;
        for (int x = 0; x < text.length(); x++) {
            sum += text.charAt(x);
        }

        return sum % 256L;
    }

    public static void main(String[] args) throws Exception {
        System.out.println(checksum8("Yle2"));
    }
}

在这里插入图片描述

  1. 心跳包解析
    在这里插入图片描述
    在这里插入图片描述

获取文件后使用工具进行分析(https://github.com/DidierStevens/DidierStevensSuite)

HTTPS
4. 证书特征(.store)
在这里插入图片描述
5. 源码特征(ja3,ja3s)
client hello 4d5efa96609dc906f796e63cff009c2a db36bad574044a5104a59b0c676991ef
server hello 15af977ce25de452b96affa2addb1036 2253c82f03b621c5144709b393fde2c9
CS详细流量分析

二、Sliver

1. 特征分析

HTTP:

  1. 路径特征:server\configs\http-c2.go
  2. 固定url路径
  3. 参数名称的构造规律
  4. 参数值的长度及规律
  5. sessionID/Cookie的交换
  6. Cookie的名称生成、cookie值的长度及规律

根据路径文件名,后缀,cookie这些信息到源码里面的数组随机组合配合分析排查

HTTPS:

  1. ja3/ja3s(19e29534fd49dd27d09234e639c4057e,f4febc55ea12b31ae17cfb7e614afda8)
TODO 从流量中检测C2通信
课嗨教育的专栏
11-05 1394
C2, Command and Control, 命令与控制。主要是指攻击者通过与恶意软件的交互,对被害者进行控制,从而实施恶意活动的含义。从语义上来讲,C2即可用作为名词(基础设施)也可以作为动词(交互的行为),例如C2服务器(名词做定语)、攻击者进行C2
蓝队技能-应急响应篇&Web入侵指南&后门查杀&日志分析&流量解密&攻击链梳理&排查口
HACKONE的博客
05-26 379
cmd=whoam,我们在日志中所搜这个漏洞的路径,apache的日志路径logs。成功搜索到了1.14这个IP访问过这个文件,确定攻击者,然后在搜索这个攻击者IP的其他日志确定他的攻击手法和漏洞。访问攻击者访问的页面/default.aspx,发现是登录页面,而攻击者使用的又是sqlmap,且成功注入了。应急人员:在时间和漏洞配合日志没有头绪分析下,就是日志没有东西,也没发现漏洞,可以尝试对后门分析找到攻击行为。我们使用sqlmap检测是否存在SQL注入,发现确实成功了,确定了攻击者的入口。
C2工具 - Serpentine流量特征检测分析
最新发布
qq_36259703的博客
04-14 722
工具介绍工具介绍Github上已删除,Gitee上有备份serpentine 是一种WindowsRAT(远程管理工具),可让您使用多平台 RESTful C2与客户端进行交互。流量&逻辑分析环境&测试准备控制端 Ubantu192.168.2.151被控端 Win10 192.168.2.145测试方式主要是几个文件,一个client的exe,一个server的jar文件生成exe文件的坑很多,有问题自己查吧…表示监听2222端口,API端口在3333。
msf后门流量分析
2301_76227305的博客
04-15 2285
以上就是msf后门流量的特征啦最后,以上仅为个人的拙见,如何有不对的地方,欢迎各位师傅指正与补充,有兴趣的师傅可以一起交流学习。
C2的几种常见的流量特征举例总结
Fiverya的博客
11-23 6048
以下为几种常见的C2流量特征
应急响应-MSF流量分析&模式模块&特征提取
SuperherRo的博客
04-13 1977
战后-流量分析-MSF
c2db:c2流量
03-08
用于匹配已知c2和exfil流量关键字(用于搜索的ctrl + f)的存储库 AC后门 哈希:907e1dfde652b17338d307b6a13a5af7a8f6ced93a7a71f7f65d40123b93f2b8 Pcap:( )和sslkeyfile:( ) POST / HTTP/1.1 Host: 193.29.15.147 User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; .NET CLR 1.1.4322) Accept: */* Access-Control: aW5mbw== X-Access: c22ed12456e9eb9844eafe80f3d8c080 Content-Length: 48 Content-Type: application/x-www-form-urlenc
蓝队----att&ck&IDS&蜜罐&威胁情报
qi_SJQ_的博客
02-27 1128
hw中各种规则都能在各种hw资料里看到,不再熬yu 蓝队涉及到的技术涉及到应急、溯源、反制、情报、写报告、了解设备等综合性知识。 1.att&ck了解: 外国文档:https://attack.mitre.org/ 视频科普:https://www.zhihu.com/zvideo/1305977738013540352 2.蜜罐技术: 免费蜜罐 HFish:https://hfish.io/ github地址:https://github.com/hacklcx/HFish 部署、使用见官方文.
蓝队分析辅助工具箱BlueTeamTools
10-19
近几年网络攻击事件越来越多,各种变形的漏洞利用payload出现,让蓝队分析难度也越来越高。此款工具重点解决蓝队分析工作中的一些痛点,比如让大家头疼的加密数据包解密问题,netstat -an无ip对应的国家与城市的物理...
No.41 蓝队 | Wireshark流量分析学习笔记:从工具使用到攻击识别
聚焦网络安全,以多元语言优势汲取知识,分享生动有趣的学习与技术心得。
02-19 783
Wireshark界面包含菜单栏、工具栏、过滤栏,还有数据包列表、数据包详情和数据包字节区域。在数据包列表中,能看到如时间、源IP、目的IP、协议、长度和信息等关键信息;数据包详情展示数据包各层协议的详细内容;数据包字节则以十六进制和ASCII码显示数据包实际内容。
蓝队分析工具箱v1.0-shiro解密工具
03-03
蓝队分析工具箱v1.0——Shiro解密工具 (应急响应工具集)
C2工具 - Trevorc2流量特征检测分析
qq_36259703的博客
04-09 595
工具介绍工具介绍TrevorC2是一个创新的客户端-服务器模型,巧妙地将命令与控制系统隐藏于正常可浏览的网站之下,大大增加了检测的难度。流量&逻辑分析环境&测试准备控制端 Kali 192.168.2.139被控端 Win10 192.168.2.145测试方式注意需要修改一下clone的网站配置,默认的google国内环境无法直接访问。
应急响应——IDS&IPS&msf流量&后门分析
m0_61506558的博客
03-29 1072
可以通过top命令查看恶意的流量信息,可以观察到test的流量非常可疑,有一定渗透经验的话可以判断出xmrig文件是常见的挖矿文件,我们也可以将文件放在微步在线、360威胁情报平台、venuseye、安恒威胁情报中心、360威胁情报中心、绿盟威胁情报中心、AlienVault。查看windows下的定时任务列表,找到可疑文件,接下来我们就要找到这个定时任务是怎么添加上去的,即找到漏洞入口在哪里。假如说我们开放了3389远程登入端口,就可以查看计算机管理下的安全日志,会留下攻击者爆破信息。
MSF流量加密
Welcome To Myon'Blog !
01-13 772
在MSF中生成shell,并上线运行时。都是通过`http` `https` `tcp`等协议传输。虽然MSF本身会对流量进行加密,但MSF太出名以致于其加密特征容易被IPS,WAF等可以检测带有攻击的特征的设备拦截或记录。
MSF流量加密_msf 流量加密(1),888道网络安全高级面试题
HUAXIAL的博客
04-08 549
msf6:我这里是 msf6使用 ls 命令查前面生成的相应证书和文件。
MSF-流量通讯特征修改-证书-OpenSSL&impersonate_ssl
金灰的博客
06-24 595
免责声明:本文仅做技术交流与学习...-解决 HTTPS-SSL 通讯证书被特征标示问题。
红队隧道加密之MSF流量加密(二)
xf555er的博客
11-26 2384
如今大多数企业的内网都部署了流量审计服务, 用来专门分析流量特征, 比如后门特征和行为特征若直接使用Metasploit对内网进行横向渗透, 其产生的流量会很容易被内网防护工具检测出来, 因此需对流量进行加密来绕过检测这里介绍使用OpenSSL对MSF流量进行加密。
msf流量通讯特征修改
qq_52839196的博客
02-07 4600
msf流量通讯特征修改
流量分析题常见特征思路+例题(一)
2301_79424186的博客
04-11 1068
Q:有提到用户权限A:搜索whoami。
使用Wireshark分析恶意网络流量 要求: 捕获模拟的恶意网络流量(如使用Metasploit生成)。 分析流量中的C2(命令与控制)通信。 提取恶意域名、IP地址和Payload。
03-24
### 使用 Wireshark 捕获并分析 Metasploit 生成的恶意流量 #### 工具准备 为了捕获和分析由 Metasploit 生成的恶意网络流量,特别是 C2(命令与控制)通信中的域名、IP 地址以及 Payload 数据包,可以按照以下方法操作。 --- #### 流量捕获配置 在 Kali Linux 中启动 Meterpreter 的 `packetrecorder` 插件来记录目标主机上的网络流量。通过指定接口编号 `-i` 和日志路径 `-l` 参数完成设置[^2]: ```bash meterpreter > run packetrecorder -i 2 -l /root/ ``` 上述命令会将抓取的数据存储至 `/root/logs/packetrecorder/` 文件夹下的 `.cap` 文件中。此文件可被导入到 Wireshark 进行进一步分析。 --- #### 导入数据到 Wireshark 1. **打开 .cap 文件** 启动 Wireshark 软件后,在菜单栏选择 “File -> Open”,加载之前保存的 `.cap` 抓包文件。 2. **过滤特定协议** 配置显示过滤器以聚焦于 HTTP 或 HTTPS 协议,因为大多数 C2 通信依赖这些常见协议传输数据。输入如下过滤条件: ```plaintext http || tcp.port == 80 || tcp.port == 443 ``` --- #### 分析 C2 通信 利用 Wireshark 提供的功能解析 C2 请求的具体细节。 ##### (1) 定位恶意域/IP 地址 观察 HTTP 请求头字段中的 Host 条目或者 DNS 查询部分,识别出可疑的目标服务器地址。例如,如果发现频繁访问某个固定 URL,则该站点可能作为 C2 控制中心存在[^1]。 ##### (2) 解码有效载荷(Payload) 对于加密后的 payload 数据流,尝试解密过程取决于所使用的算法类型。假设采用的是简单的 XOR 加密方式,则可以通过编写脚本实现自动化还原工作;而对于更复杂的 SSL/TLS 层面保护机制,则需借助中间人攻击技术(MITM)获取明文内容后再做深入研究。 以下是 Python 实现基础 XOR 解密的一个例子: ```python def xor_decrypt(ciphertext, key): plaintext = ''.join([chr(ord(byte) ^ ord(key[i % len(key)])) for i, byte in enumerate(ciphertext)]) return plaintext ciphertext = b'\x1f\xbe\xa7...' # 替换为实际截获的内容 key = 'secret' # 设定对应的秘钥字符串 print(xor_decrypt(ciphertext.decode(), key)) ``` 注意:以上仅为演示目的提供代码片段,请勿非法使用此类工具和技术! --- #### 结果验证 最终确认提取出来的信息是否匹配预期结果——即是否存在已知威胁情报数据库中标记过的不良行为模式关联项。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

三年之约-第二年

你的鼓励是对我最大的鼓励

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值