![](https://img-blog.csdnimg.cn/bc364a5441ff4fde8d014957fcf8dc0f.jpeg?x-oss-process=image/resize,m_fixed,h_224,w_224)
红队APT
文章平均质量分 93
红队技能
An0nymouer
剑未配妥 出门已是江湖
展开
-
【红队APT】钓鱼篇&Office-CVE漏洞&RLO隐藏&压缩包释放&免杀打包捆绑
影响:Windows 7/8/8.1/10,Windows Server 2008/2008R2/2012/2012R2/2016/2019/2022等各个主流版本。导致在宏被禁用的情况下,恶意文档依旧可以使用ms-msdt URI执行任意PowerShell代码。恶意文档从Word远程模板功能从远程Web服务器检索HTML文件,经过免杀后的exe程序(xgpj.exe),进行重命名,在gpl位置插入Unicode控制字符,RLO(从左到右覆盖),如图。6、取出文档执行测试。原创 2023-04-22 19:34:31 · 1432 阅读 · 0 评论 -
【红队APT】反朔源隐藏&C2项目&CDN域前置&云函数&数据中转&DNS转发
区别于单纯的CDN隐藏IP技术;域前置技术采用高权重域名进行伪装,效果要更上一层楼!可以看到这里正常上线,也是简单的进行流量代理,这里我把上面的iptables转发配置清空了,避免干扰注:如果中转服务器被拿下的话,那么搜集信息很可能就可以发现请求重定向的痕迹,从而找到真实C2地址。请求重定向也可以和之前的CDN方法相结合,之前CDN方法是通过CDN将请求转发到真实的C2服务器上,而添加请求重定向后,流程就变为了CDN转发到中转服务器,中转服务器再转到C2,达到双重隐藏的效果。原创 2023-04-19 12:38:32 · 2756 阅读 · 0 评论 -
【红队APT】反朔源&流量加密&CS&MSF&证书指纹&C2项目&CDN域前置
生成后在虚拟机中上线,不过遇到了奇怪的事情就是,我在上线的虚拟机中抓不到http流量的数据包,而在物理机中抓到了(emmm我也不太懂为什么会这样)红队进行权限控制,主机开始限制出网,尝试走常见出网协议http/https,结果流量设备入侵检测检测系统发现异常,尝试修改工具指纹特征加密流量防止检测,结果被定位到控制服务器,这里可以看到msf自带的证书,这里我们对该证书进行伪装(这里其实流量上没做什么改变,知识对默认证书指纹做了修改)这里可以看到,流量进行了加密,只能隐约的看到一些ssl证书信息。原创 2023-04-18 16:15:00 · 1971 阅读 · 0 评论