JARM签名欺骗

已于 2022-05-25 22:30:18 修改
阅读量897 收藏
点赞数
分类专栏: 安全 文章标签: 服务器 http 网络安全
于 2022-05-25 20:40:02 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_51151193/article/details/124973384
版权

JARM签名欺骗, 我现在是 Cobalt Strike 服务器!

JARM 是非常有用的指纹识别工具,但可以通过从其他服务重放服务器 hello 来欺骗。

JARM 扫描器由SalesforceEng是一种非常有效的系统指纹识别工具。它使用来自TLS 握手的 Server Hello 响应来生成签名。然后可以使用这些来查找类似的软件或服务。非常适合查找 C2 或其他实施 TLS 的恶意服务器。因此,Shodan.io在其扫描仪中使用这种指纹识别机制也就不足为奇了。阅读Salesforce帖子,了解有关 JARM 库、扫描仪及其用途的更多信息。

那么问题来了:是否有可能欺骗这些 JARM 签名?让我们来了解一下!

Salesforce 在他们的帖子中表示,扫描 Cobalt Strike 服务器会产生以下签名07d14d16d21d21d07c42d41d00041d24a458a375eef0c576d23a7bab9a9fb1

Cobalt Strike 博客中揭示了此签名不是 Cobalt Strike 特有的。无论如何,让我们仍然使用它作为起点。

首先,我使用 Salesforce 发布的地址列表来查找具有匹配哈希的服务器。我使用jarmscan对其进行了扫描,并创建了响应的数据包捕获。Wireshark 中的 ssl 握手 (filter: ssl.handshake.type == 1) 过滤器将显示扫描仪发送的所有 TLS 客户端Hello。

在这里插入图片描述

反过来,“Cobalt Strike”服务器将返回其服务器Hello ,jarmscan使用它们来生成唯一的签名(filter: ssl.handshake.type == 2)。在这里插入图片描述

这些 Server Hello 是我们想要重放的数据包。这可以通过设置一个监听特定Client Hello 的 TCP 服务器轻松完成,然后重播从所谓的 Cobalt Strike 服务器捕获的相应Server Hello。一种相当懒惰但有效的方法。

f0_f0_f0
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
jarm
03-18
贾姆 请阅读最初的以获取更多信息。 JARM是一个活动的传输层安全性(TLS)服务器指纹识别工具。 JARM指纹可用于: 快速验证组中的所有服务器都具有相同的TLS配置。 通过配置对Internet上的不同服务器进行分组,例如,确定服务器可能属于Google vs. Salesforce vs. Apple。 识别默认的应用程序或基础结构。 识别Internet上的恶意软件命令和控制基础结构以及其他恶意服务器JARM支持已经或正在添加到: 运行JARM python3 jarm.py [-h] [-i INPUT] [-p PORT] [-v] [-V] [-o OUTPUT] [-j] [-P PROXY] [domain/IP]例子: % python3 jarm.py www.salesforce.com Domain: www.salesforce.com Res
利用JARM指纹进行TLS服务端标记1
08-03
1. 快速验证一组TLS服务器是否使用相同的TLS配置 2. 通过TLS配置划分TLS服务器,并识别可能归属的公司 3. 识别网站默认的应用或基础架构 4. 识
pyjarm:pyJARM是一个使用python进行JARM指纹识别的库
05-23
pyJARM 概述 pyJARM是JARM指纹识别工具的便捷库。 该库基于的原始python实现。 它需要python 3.7+。 安装 pip install pyjarm 用法 命令行 usage: jarm [-h] [-i INPUT] [-d] [-o OUTPUT] [-4] [-6] [-c [CONCURRENCY]] [--proxy PROXY] [--proxy-auth PROXY_AUTH] [--proxy-insecure] [--timeout TIMEOUT] [--suppress] [scan] Enter an IP address/domain and port to scan or supply an input file. positional arguments:
指纹系统服务器,利用JARM指纹进行TLS服务端标记
weixin_32541663的博客
08-11 863
原标题:利用JARM指纹进行TLS服务端标记 0x01背景对网络空间测绘数据的分析和发掘,是Quake团队一直以来的核心目标。十几年来Web应用的飞速发展使其毋庸置疑的成为了互联网的主流。为了弥补Web应用和HTTP协议的各类安全问题,HTTP over SSL/TLS在互联网中的比例也逐年提升。因此,对全网SSL/TLS相关测绘与数据分析一直是Quake系统关注的重点之一。当前Quake系统 已...
基于JARM指纹的C2识别
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
11-03 1442
基于JARM指纹的C2识别,JARM的工作原理是主动向目标TLS服务器发送10个特殊构造的TLS Client Hello包,以在TLS服务器中提取独特的响应,并捕获TLS Server Hello响应的特定属性,然后以特定的方式对聚合的TLS服务器响应进行散列,产生JARM指纹。 因为Client Hello中的参数不同,最终返回的Server Hello都是不相同的,通过发送特殊构造的Client Hello握手包,以获取与之对应的特殊Server Hello响应,以此作为依据,最终产生TLS Ser
JARM 指纹识别
weixin_51151193的博客
05-25 2017
JARM 指纹识别 介绍: JARM 是一个活动的传输层安全 (TLS)服务器指纹识别工具。 使用 JARM 进行扫描提供了识别和分组 Internet 上的恶意服务器的能力。 [JARM tools](https 😕/github.com/salesforce/jarm) JARM 指纹可用于: 快速验证组中的所有服务器是否具有相同的 TLS 配置。 通过配置对 Internet 上的不同服务器进行分组,例如,识别服务器可能属于 Google、Salesforce 和 Apple。 识别默认应用程序或基
jarm_rs:生锈的包装器,以生成域的JARM指纹
02-16
jarm_rs 为一个域或域列表生成一个JARM指纹 这是由Salesforce创建的python脚本的包装 要求 用法 货代 [ dependencies ] jarm_rs = " 0.1.6 " 例子 cargo run --example main 测试 cargo test 笔记 代码可能有很大的改进空间; 拉请求赞赏! 资源 Salesforce的官方存储库
C2-JARM:一些C2red团队工具使用的针对不同ssl实现的JARM哈希值列表
05-23
C2-JARM 一些C2工具使用的针对不同ssl实现的JARM哈希值列表。 还添加了其他使用ssl的有用的红色团队工具(例如:EvilGinx2)。 尽管我在红队方面工作,但我认为这是一件好事,既可以帮助具有适当可见性的蓝队提供识别C2活动的其他指标,也可以帮助其他红队成员了解可以采用的另一种方法。用于检测其C2,具体取决于它的设置方式。 有关JARM哈希的更多信息,请在以下位置查看Salesforce安全团队在其JARM github链接上的工作: : 这是通过软件实现对ssl服务器进行指纹识别的一种巧妙方法。 仅凭这一点还不足以以高保真的方式检测C2,但是JARM哈希值与其他高价值指标相结合肯定会很有价值。 这也凸显了红色团队需要确保其C2的基础设施不向公众开放。 我计划随着时间的推移在此列表中添加更多内容。 随时贡献!! C2 /红色团队工具 经过SSL实施测试 贾姆·
version:99.0-does-not-exist
cpf2016的专栏
06-10 4051
1.作用       有时候maven根据jar包的依赖,会要求classpath中必须包含某个jar,但是我们又不需要这个jar(因为添加了会有冲突)。比如其他jar要求使用common-logging但是本项目需要使用jcl-over-slf4j       这个使用就可以使用一个空的common-logging来欺骗maven,就是告诉它项目里已经有了common-logging。那么这
java实现ARP欺骗(ARP攻击)-Jpcap
左右的博客
08-31 2680
最近了解到了ARP攻击技术,本着学习的目的,笔者需要在Windows下模拟实施ARP欺骗,主要使用的是Jpcap扩展包来完成这项任务。 准备工作 1.安装WinPcap 官网 , 网盘里面也有 2.下载Jpcap,百度网盘地址 提取码 vu2s 下载完成之后,将Jpcap.dll放到你的jdk/bin下面,将Jpcap.jar引用到你的项目中 代码 import jpcap.JpcapCaptor; import jpcap.JpcapSender; import jpcap.NetworkInterfa
jarm-go:JARM的Go实现
05-17
Jarm-go 这是的Go实现。 贾姆斯坎 要安装jarmscan,请从页面下载二进制文件,或使用go get -u -v github.com/RumbleDiscovery/jarm-go/cmd/jarmscan安装。 要运行扫描,请提供目标列表。 以下示例均受支持: ...
jarm.wang-1.0.0 Setup.exe
12-19
jarm.wang-1.0.0 Setup.exe
Go 程序是怎样跑起来的
梦醒人间
07-03 1695
刚开始写这篇文章的时候,目标非常大,想要探索 Go 程序的一生:编码、编译、汇编、链接、运行、退出。它的每一步具体如何进行,力图弄清 Go 程序的这一生。在这个过程中,我...
C 实现 WebSocket 服务器
我要出家当道士
05-22 943
本文介绍了基于 TCP 服务器实现 WebSocket 服务器,并提供了源码。
服务器配git、node、nginx丝滑连招
最新发布
m0_55016911的博客
05-23 139
【代码】新服务器配git、node、nginx丝滑连招。
【观察】算力服务器以旧换新“正当时”,构筑新质生产力发展坚实底座
申耀的科技观察
05-21 810
近期,国家印发《推动大规模设备更新和消费品以旧换新行动方案》,明确提出“推动新一轮大规模设备更新和消费品以旧换新”,包括“实施设备更新、消费品以旧换新、回收循环利用、标准提升四大行动”。其中,作为数字经济时代承载数据要素价值的关键基础设施,以及推动新质生产力发展的重要技术“底座”,算力服务器同样也被纳入到了本次大规模设备更新和消费品以旧换新行动方案之中。毫无疑问,今天以算力服务器为代表的新型数据中...
企业内网开源OA服务器(办公自动化系统),搭建O2OA基于Linux(openEuler、CentOS8)
xzzteach的博客
05-22 803
本实验环境为openEuler系统(以server方式安装)(CentOS8基本一致,可参考本文)
Linux防火墙篇——iptables (2)和SNAT和DNAT
aran2002的博客
05-22 302
在Internet中发布位于企业局域网内的服务器
VS2022通过C++网络库Boost.asio搭建一个简单TCP异步服务器和客户端
weixin_74027669的博客
05-23 1134
上一篇博客我们介绍了通过Boost.asio搭建一个TCP同步服务器和客户端,这次我们再通过asio搭建一个异步通信的服务器和客户端系统,由于这是一个简单异步服务器,所以我们的异步特指异步服务器而不是异步客户端,同步服务器在处理一个请求时会阻塞其他请求,而异步服务器可以同时处理多个请求,不会阻塞其他请求的处理,客户端一般是不会处理其他客户端请求的,所以客户端仍旧使用同步模式。(本次博客使用的Boost库版本是1.84.0)

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

f0_f0_f0

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值