独辟蹊径,Python打造新型基于图像隐写术的C2通道

最新推荐文章于 2024-01-22 15:14:09 发布
最新推荐文章于 2024-01-22 15:14:09 发布
阅读量513 收藏
点赞数
文章标签: Python 编程语言 Python编程
本文链接:https://blog.csdn.net/weixin_46089319/article/details/103744815
版权

0x00 前言

在11月下旬,我决定启动一个既有趣又有实际意义的项目,尝试提出了一种具有独特性的C2通道概念证明,其中涉及到隐写术和某种可信域名,而不再使用定制的基础结构。在我的研究过程中,广泛参考了较大时间跨度的许多红队资料,并从中收获了一些高级的概念。目前我们知道,网络中有一些代理工具或植入工具需要执行任务,并且需要将数据以隐蔽的方式发送回服务器。而这正是我们本次研究的重点。

我首先研究了与可信Web应用程序、可信域名相关的开源C2通道概念,并从中找到了许多不错的项目,例如Slackor、gcat和twittor。

然后,我明确了此次研究的目标:

1、打造一个有意思的工具;

2、创造一种独特的隐写术方法;

3、通过图像的方式传递任务与响应;

4、应用程序中不包含随机的Base64字符串转储;

5、使用可信的域名;

6、使用Python脚本来模拟代理工具或植入工具(我计划在明年完成Windows漏洞利用和原理研究后,再编写合适的植入工具)。

以上就是我们的目标,我们接下来就开始整个的研究过程。

0x01 选择一个受信任的域名

经过一些研究之后,我选择了Imgur平台。Imgur具有一些优势,我们可以匿名上传图像,也可以匿名创建临时站点访问者无法查看的相册。

但是,这个平台具有一个明显的缺点,匿名上传的图像无法在“图库”中建立索引并进行搜索。这也就意味着,要完成任务,我们必须对框架中“传递任务”的一方进行身份验证。我们会在后面完成这一实现。实际上,我们可以使用多种不同的方法来进行配置,在这里我研究的方法也许不是最佳方案,大家可以基于此再展开深入的研究。

0x02 打造新型隐写方法

2.1 常规思路,使用Alpha通道值

这一步骤,是我花费时间最多的步骤。要将JPEG文件上传至Imugr往往不是很可靠, JPEG格式的照片因为压缩的问题,无法保证其二进制完整性。经过一些研究,我发现PNG文件中除了Red、Green和Blue之外,还包含第四个像素值,称为“Alpha通道”。这个Alpha通道值将确定该像素的不透明度。在我检查的约30个PNG文件中,所有的Alpha通道值几乎都设置为了255,因此,这似乎是我们用来隐藏数据的一个理想目标。

我想到的第一种方法是对一个字符串(例如一个命令)进行简单地Base64编码,然后在Python中对一个字典进行硬编码,以便使所有可能的Base64字符都能充当键,并且可以对应于255-190之间的值。如果有分析人员手动检查了像素数据,可能就会发现这一点不同寻常之处,因为通常情况下的Alpha值几乎没有变化。更简单地说,在我的Python实现方案中存在一个巨大的错误,使我相信每次我打开PNG图像时,Python库PIL都会将Alpha通道值设置为255。因此,我放弃了这个方案,尽管这个方案除了会出现不同寻常的Alpha通道值之外,其他地方都很好。

 

接下来,还有一个选择正确图像尺寸的问题。Imgur允许不同的帐户类型上传不同大小的图片,这一点进行了严格的限制。经过身份验证的帐户最大可以上传5MB的PNG文件,而未经身份验证的帐户至多只能上传1MB的PNG文件,大于这个限制的图片文件将会被转换为JPEG格式。这样的限制,使得我无法应用我最开始提出的方案。

2.2 探寻新思路,使用红色数值的差异

最终,我想到了一种方法,该方法可以优先保证图像看起来像是正常的,同时还可以最大程度减少要更改的像素值。具体原理如下。

2.2.1 像素

在使用PIL Python库时,PNG像素值可以使用包含Red、Green、Blue和Alpha值的元组表示。利用这个库,我们可以在元组列表中收集图像的所有像素值。在2560×1440分辨率的图像中,列表中有360万个元素,每个元组都有四个值。元组列表类似于[(128, 0, 128, 255), (128, 0, 128, 255)…],这样重复了360万个元组。

2.2.2 利用思路

红色像素值的范围可以是0-255,之间,用二进制表示为00000000-11111111之间。我决定采用每个相邻红色像素的最低有效位的绝对差,并将8个值作为一组,形成一个新的二进制数值。接下来,我将详细说明这种思路。

假设我们有两个相邻的红色像素值128(二进制10000000)和128(二进制10000000),每个值的最低有效位是最右边的数字,在这里分别是0和0。那么,0和0的绝对差显然为0.因此,这种绝对差将构成我们新二进制数字的第一位。现在,我们得到的二进制数字是0xxxxxxx,我们将重复这一过程,每次都会向后计算接下来的两个红色值,最终获得一个8位的二进制数字。如果说一张图片中共有360万个像素的话,那我们就可以携带((3686400/2)/8)=230400个有效值。

2.2.3 用上述方式表示Base64编码

在有了8位二进制数字后,下一步就是以某种方式,将其转换为有意义的数字。在这一步骤中,我们是通过使用一个硬编码字典encode_keys来完成的,该字典如下所示:

encode_keys = {'=': '00000001', '/': '00000010', '+': '00000011', &#
最低0.47元/天 解锁文章
Python新世界
关注
OilRig又瞄准了中东电信组织,并在其代码库中增加了带有隐写术新型C2通道(上)
systemino的博客
08-26 551
语:OilRig,又名Helix Kitten或NewsBeef ,是一个主要活动于中东地区的APT组织。 OilRig,又名Helix Kitten或NewsBeef ,是一个主要活动于中东地区的APT组织。据信该组织成立于2015年,并得到了伊朗政府的支持。该组织曾建立了一个虚假的VPN 门户网站,用于并传播具有合法数字签名的恶意软件,其攻击目标涵盖了沙特阿拉伯、以色列、阿联酋、黎巴嫩、科威特、卡塔尔、美国和土耳其等多个国家的政府机构、金融机构以及科技公司。 Palo Alto Networks
python基础知识C2
qq_45513965的博客
03-16 827
封装 根据职责,将属性和方法封装到一个抽象的类中 私有属性和私有方法 对象某些属性和方法,只希望在对象内部被使用,不希望在对象外部被使用 class Women: def __init__(self,name): self.name = name self.__age = 18 self.weight = 49 def secret(self): print(f"{self.name}的年龄是{self.__age}")
Python3 C2算法
weixin_43690548的博客
04-05 2697
存在两个列表A,B;判断A是否为B的子集? 分别对A,B按照同一种规则排序,判断A的第一个元素在B中是否存在,以及存在后在B集合中的位置, 对给索引到列表最后进行切片。 假设存在,则取出A集合的第二个元素,判断其在切片后的列表中是否存在,以及存在的索引,继续切片,往复循环,直至A穷尽。 最后返回结果。 ...
OilRig又瞄准了中东电信组织,并在其代码库中增加了带有隐写术新型C2通道(下)
systemino的博客
08-26 323
接上文 使用隐写术隐藏数据 有效载荷将从电子邮件附件中的C2接收数据,或将数据泄漏到C2,特别是在使用隐写术图像隐藏在图像中的BMP图像中。有效载荷从BMP图像提取数据以从C2接收数据的方法与其隐藏数据以进行渗漏的方法相同,尽管研究人员没有观察到使用此方法发送命令的C2,但研究人员能够分析有效载荷以确定其如何发送消息并从系统中窃取数据。 要使用此C2通道发送数据,有效载荷将读取以下默认安装的Windows上可用的图像: C:\ProgramData\Microsoft\UserAccoun...
mango-c2:用Python编写的命令和控制服务器
04-18
芒果c2 基于PythonC2。 仅用于教育目的。 介绍 最初,我通过集思广益地讨论了非传统的交流方法,提出了芒果C2的构想。 很多人在工作中使用Reddit这样的社交媒体网站,因此我计划基于Reddit的消息传递API构建一种通信方法,以躲避防火墙的监视。 Mango被设计为模块化和可扩展的-它在运行时动态加载所有通信方法。 如果有足够的时间在基本级别上研究API,这将允许大多数开发人员将芒果移植到其他平台。 所有命令均与通信方法分开定义,因此任何其他命令或通信方法都应“插入”,而不需要重新设计。
基于 python + WebDriverAgent 的“跳一跳”小程序高分教程
weixin_54556126的博客
11-18 581
当初微信放出了 6.6.1 版本,在微信首页二楼(下拉出现)位置重磅推出了“跳一跳”小程序,瞬间刷爆朋友圈。 在大家忙于游戏的时候,有人独辟蹊径基于 python + WebDriverAgent 实现了通过 PC 远程操控手机“跳一跳”小程序小人自动跳动,将分数刷到了令人发指的地步,悄悄占领朋友圈第一。 目前已经有比较火的几篇文章详细讲如何实现上述操作,但是或多或少存在描述不够详细、参数设置只在某些机型上表现较好的问题。这也造成我在根据这些教程实现过程中踩了几个小坑..
MaterialDesign只是独辟蹊径,并未全面胜出
02-26
MaterialDesign发布之时,Google在设计领域做出的努力令我印象深刻。在这方面Apple一度遥遥领先。这种局面结束了。...我要发表一下我的看法,我觉得它只是独辟蹊径,并未全面胜出。我们从iOS的3项核心原则
远程控制(command&control,C2)---DNS通道
AG9GgG的博客
05-08 2207
DNS Tunneling DNS Tunneling是隐蔽通道的一种,通过将其他协议封装在DNS协议中传输。因为在互联网中DNS是一个必不可少的服务,所以大部分防火墙和入侵检测设备很少会对DNS流量进行过滤,由此DNS作为隐蔽信道有天生优势。 原理 DNS Tunneling可以分为直连和中继两种。 直连:client直接和指定的目标DNS Server(Authoritative NS S...
python开发图片_python实现简单的图片隐写术
weixin_39818550的博客
11-29 312
本文转载自Python3图片隐写术载体文件相对隐秘文件的大小越大,隐藏后者就越加容易。因为这个原因,数字图像在因特网和其他传媒上被广泛用于隐藏消息。例如一个24位的位图中的每个像素的三个颜色分量(红,绿和蓝)各使用8个比特来表示,如果我们只考虑蓝色的话,就有2^8种不同的数值来表示深浅不同的蓝色。而像11111111和11111110这两个值所表示的蓝色,人眼几乎无法区分。因此,这个最低有效位就可...
Python_C2_数值与运算符
xinlinghexuanql的专栏
02-07 614
2.1不同类型的数值       Python中的数值:整型、浮点型、虚数(以j结尾,如:12j;5+12j为复数)       确定数值的分类用内置函数type()       用法 :   >>>type(1)           ===>                        >>>type(12j)       ===>                        >>
如何利用隐写术配合四个重定向连接到C2服务器
whatday的专栏
10-25 667
话不多说,我们直奔主题!首先,我们需要编写一个简单的Python脚本,然后看看在系统中执行命令时会涉及到哪些组件,并将输出以一个二维码图片的形式输出。接下来,我们还需要编写另外一个小型脚本来读入这个图片,并将结果显示在终端控制台中。我们可以直接在手机上扫描这个二维码,然后就可以看到Windows目录被输出出来了。 下面给出的是二维码样例: 很好,你扫描之后就可以看到结果了。因此理论上来说,这种方式应该也可以在代理和C2服务器之间建立直接连接。因此,我决定继续使用Python作为Web服务器,然后使用
python位深与通道数关系(查看图像通道数)
weixin_50208401的博客
05-10 1530
目的:查看位深分别为8位、24位和32位图像通道数,探索通道数与位深之间是否有关系 技术要求:需要熟悉Python Image Library,主要作用是图像处理,可用于图片剪切、粘贴、缩放、镜像、水印、颜色块、滤镜、图像格式转换、色场空间转换、验证码、旋转图像图像增强、直方图处理、插值和滤波等功能。 代码: from PIL import Image # 查看图片与通道数关系 img1 = Image.open("D:/code/testphoto/1.webp") img2 = Imag
python查看图像通道数(通过PIL)
热门推荐
MOL
01-12 1万+
from PIL import Image img=Image.open('IMG_20220109_150536.png') # 直接就输出图像通道数了 print(len(img.split()))
python,将灰度图像指定像素变为红色,或其他颜色
little_yan的博客
03-04 7160
这里我们以fashion-mnist数据集的图像为例。在附代码之前,我们先展现一下最终要达到的效果图。 上图中,修改后图像有6个像素点被修改为了红色,修改的像素点的位置可有自己指定。接下来附上代码。 # -*- coding:utf-8 -*- from PIL import Image import numpy as np img = Image.open(r"E:\new_life_202009\ImageConvertStudy\13.png") img_rgb = img.convert("RG
opencv-python统计图像中红色像素点
图灵追幕者博客录
10-25 2323
统计图像中的红色像素点。
新型开源C2框架:浩劫
网络研究观
02-24 1万+
Havoc 是一种先进的后利用 C2 框架,甚至可以绕过最新版本的 Windows 11 Defender。
MaccaroniC2:一款功能强大的纯Python命令控制框架
最新发布
FreeBuf_的博客
01-22 483
该工具使用了功能强大的AsyncSSH Python库实现其功能,该Python库提供了一个异步客户端和基于SSHv2协议的服务器实现,并使用了PyNgrok封装器来集成Ngrok。asyncssh_server.py文件提供了SSHv2协议的实现,并带有SFTP和SCP功能,该脚本也是目标设备需要运行的脚本。MaccaroniC2是一款功能强大的命令控制C2框架,该工具基于纯Python实现,可以帮助广大研究人员在特定场景中实现控制命令的发送和结果的接收。
MaterialDesign:独特而非全面胜出
"MaterialDesign只是独辟蹊径,并未全面胜出" Material Design是Google推出的一种设计语言,旨在为Android系统以及Google的其他产品提供统一、明亮且富有深度的设计风格。在发布之初,Material Design确实对Android...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值