【蓝队技能】【溯源反制】反打红队-CS反打&其他

最新推荐文章于 2025-04-16 23:59:40 发布
最新推荐文章于 2025-04-16 23:59:40 发布
阅读量936 收藏 18
点赞数 8
分类专栏: 安全杂项 文章标签: 安全运营 蓝队
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_53568983/article/details/143470704
版权

蓝队技能

CS反打&其他

总结

在这里插入图片描述

前言

本文深入探讨了溯源反制中针对远程控制工具CobaltStrike的多种策略与技术。从伪造流量批量上线、利用特定漏洞(如CVE-2022-39197)进行反制,到爆破CS服务端密码、旁站反制,再到蜜罐与邮件钓鱼反制、渗透工具漏洞利用、OpenVPN配置后门,以及盲打攻击反制等,本文全面揭示了蓝队在面对CobaltStrike攻击时的多样化应对手段。这些策略与技术不仅有助于蓝队提升防御能力,还能为网络安全从业者提供宝贵的实战参考。

一、CS批量上线

CS批量上线原理
条件:知道对方的CS的服务端地址,开启了http监听器

  1. 解密Cookie加密数据
    cookie解密工具

在这里插入图片描述
在这里插入图片描述
python parse_beacon_config.py wZ9S --json > wZ9S.json
在这里插入图片描述
在这里插入图片描述
2. 利用批量脚本重放上线
批量上线脚本

填写密钥及修改上线信息后启动脚本

在这里插入图片描述
python cs_fakesubmit.py

二、利用漏洞(CVE-2022-39197)

条件:

  1. 机器被CS控制的木马程序 Cobalt Strike <=4.7
  2. XSS 操作过进程管理
    • 获取真实ip地址
    • 获取NTLM
    • RCE
    • SSRF
    POC项目地址
    在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述

三、CS的Server端破解

条件:

  1. 知道对方的CS的服务端地址
  2. 针对没有采用隐匿C2地址的技术导致的反制(后门样本被溯源到C2地址)

思路:当发现CS木马文件后,查看文件连接的CS服务器地址,对CS的服务端进行爆破 CS爆破脚本

python csbruter.py 192.168.189.128 pass.txt
在这里插入图片描述
在这里插入图片描述

四、旁站反制

原理:由于CS服务器经常会部署不止于CS服务端的应用,还会搭建NPS,ARL灯塔等,可采用未授权或默认密码进行反制

例子:NPS未授权
https://github.com/weishen250/npscrack
https://mp.weixin.qq.com/s/ASrWlMM4QfnkqvAMVyN6GA

五、蜜罐反制

主要就是下述反制手段做操作

  1. 可克隆相关系统页面,伪装“漏洞”系统
  2. 互联网端投饵,一般会在Github、Gitee、Coding上投放蜜标(有可能是个单独的网站地址、也有可能是个密码本引诱中招)
  3. 利用JSONP、XSS、CSRF等前端类漏洞获取访问蜜标的攻击者网络身份(网络画像)

六、邮件钓鱼反制

安全防护基础较好的厂商,一般来说除了出动0day,物理近源渗透以外,最常见的就是邮件钓鱼了,在厂商收到邮件钓鱼的情况下,我们可以采取化被动为主动的方式,假装咬钩,实际上诱导攻击者进入蜜网。

七、其他反制技术

1. 渗透工具漏洞:
	可以尝试挖掘蚁剑、冰蝎、菜刀、BurpSuite、SQLmap、AWVS的0day漏洞(需要一定的技术水平),或利用历史漏洞部署相关环境进行反打 

2. OpenVPN配置后门:
	OpenVPN配置文件(OVPN文件,是提供给OpenVPN客户端或服务器的配置文件)是可以修改添加命令的。 

3. 盲打攻击反制	
	攻击者可能通过盲打漏洞方式来获取权限,一般盲打都具备一个数据回传接口(攻击者需要接收Cookie之类的数据),接口在JavaScript代码中是可以寻找到的,我们可以利用数据回传接口做以下两件事情,并后续引导攻击者进入我们部署好的蜜罐。
	a. 打脏数据回传给XSS平台
	b. 打虚假数据回传给XSS平台 

4. 通过攻击服务器端口/Web等漏洞	
	攻击者可能是通过自己搭建的公网服务器进行攻击的,或者是通过此服务器与后门进行通讯。其中服务器可能运行诸多服务,且未打补丁或设置强密码,导致防守方可进行
CS反制-CS服务器新特征
Gamma_lab的博客
03-12 4543
CobaltStrike是一款基于Java编写的全平台多方协同后渗透攻击框架,几乎覆盖了APT攻击链中所需要用到的各个技术环节。 基本描述 CobaltStrike的HTTP(S)监听器对请求URL未进行"/"开头验证,攻击者可通过指定URL获取相关信息。 有效载荷 GET stager HTTP/1.1 Host: x.x.x.x User-Agent: Mozilla/5.0 测试过程 影响范围 CobaltStrike &lt;= 4.5 该特征已申请了CVE! 最后 HW临近,公众
8、应急响应-战前溯源反制&主机蜜罐系统&HFish&HIDS&Elkeid&Wazuh
m0_65842464的博客
01-31 1960
攻击者对服务器存在着各种威胁行为,作为安全人员,可以在受到攻击前提前部署好蜜罐-Hfish系统或HIDS-Wazuh系统,又或是HlDS-Elkeid系统,诱捕攻击者并进行溯源分析。通过在蜜罐系统中部署诱饵,安全人员可以了解攻击者的行为和攻击手段,为溯源反制提供依据。
溯源反制——反制核心】(hw蓝队兄弟看这里)如何对红队进行打?拿到跳板要做些什么事?拿到了样本(恶意样本/钓鱼样本)怎么进行分析?渗透打、恶意样本分析、样本逆向分析、钓鱼邮件样本分析
m0_62783065的博客
08-11 1128
溯源反制——反制核心】(hw蓝队兄弟看这里)如何对红队进行打?拿到跳板要做些什么事?拿到了样本(恶意样本/钓鱼样本)怎么进行分析?渗透打、恶意样本分析、样本逆向分析、钓鱼邮件样本分析
HW蓝队:Cobalt Strike快速上手与溯源反制
最新发布
Neolock的博客
04-16 932
Cobalt Strike快速上手与溯源反制
【应急响应】战中溯源反制&对抗上线CS&Goby&蚁剑&Sqlmap等安全工具
今天是几号的博客
04-20 2183
CS反制 Goby反制 Antsword反制 AWVS反制 BURP反制 SQLMAP反制 XSS钓鱼 蜜罐反制。前面准备工作都是一气呵成,这里有个一很坑的地方就是使用pip安装Frida module时,一开始安装总是报错(tiemout以及各种问题),然后我不停的换Pytthon版本emmm,最后解决是使用超级管理员权限运行cmd就好了(心中无数个?) ```bash python cve-2022-39197.py beacon.exe http://可访问的WEB:8888/evil.sv
CS-反制
x88125E的博客
05-30 583
cs反制
应急响应-战中反制&对抗上线CS&Goby&蚁剑&Sqlmap等安全工具
SuperherRo的博客
04-11 955
知识点 战中-反制-安全工具篇 CS反制(有版本限制) Goby反制(有版本限制,新版goby已修复) Antsword反制(有版本限制,别人也不一定用蚁剑) AWVS反制(有版本限制,在awvs 10版本存在) BURP反制(有版本限制,在2020以下版本存在) SQLMAP反制(对于老手而言有点难,特征较为明显) XSS钓鱼 蜜罐反制
蓝队利器、溯源反制、NPS 漏洞利用、NPS exp、NPS poc、Burp插件、一键利用
08-02
蓝队利器、溯源反制、NPS 漏洞利用、NPS exp、NPS poc、Burp插件、一键利用
蓝队红队 - 就业市场.pdf
10-06
本文将深入探讨蓝队红队在就业市场中的角色,以及他们在网络安全中的关键技能和知识。 首先,蓝队通常代表着防御方,其主要职责是维护组织的安全基础设施,防止未经授权的访问、攻击或数据泄露。在就业市场中,...
2021HW网络安全溯源反制技术终极指南
溯源反制在红蓝对抗中的实战应用,涉及运用溯源技术对模拟攻击进行分析、识别攻击者行为模式、并通过反制手段加以应对。 ### 溯源反制战术讲解 溯源反制战术涵盖了从日志分析、取证调查、异常流量检测到网络取证等...
蓝队反制.txt
10-27
- 批量上线钓鱼马:蓝队可以启动大量的钓鱼恶意软件进程,通过DDoS攻击方式冲击红队使用的CobaltStrike(CS)服务端口,以此来瘫痪红队CS服务。 - 爆破CS密码:攻击者可以尝试通过各种密码破解手段,获取CS...
反制burpsuit RCE上线CS
qq_40773698的博客
05-11 1363
0x00前言: Burp Suite的反制原理是利用低版本的chrome浏览器漏洞来触发命令执行达到反制的效果,Headless Chrome是谷歌Chrome浏览器的无界面模式,通过命令行方式打开网页并渲染,常用于自动化测试、网站爬虫、网站截图、XSS检测等场景。攻击者可以利用这些缺陷攻击客户端应用以达到命令执行效果。 0x01触发条件: Burp Suite v2.0的Live audit from Proxy被动扫描功能在默认情况下开启JavaScript分析引擎(JavaScr
对正在打野发育的红队同学的一次反制
Love&Share
12-08 1620
文章目录故事开始其他反制思路隐蔽C2CS重定向器实验 故事开始 真的是对同学的反制哈,我们最近都在学习内网&amp;钓鱼就互相”攻击“,就有那么一天我就在想我偷懒把CS登录密码设置的很简单,会不会其它人也偷懒,于是就抱着尝试的心态把手伸向了”Jerry同学“,谁让她上次钓鱼来着,历历在目,我是链接 穷学生么,一般学习就拿自己的云服务器了,她的CS TeamServer肯定就搭建在服务器上了 尝试用自己的CS Client连接 主机就是她博客域名,啥用户名、端口就默认,估计也懒得改 接下来就是激动人心的.
朔源反制cs流量分析
wuqingsix的博客
02-19 1441
弱特征:url headers format 这些需要自己更改配置文件在控制端temview的时候配置文件profile参数。强特征:TCP数据包中含有ja3,ja3s中的值为强特征 C hello S hello。wireshrk 筛选出符合本机通信与木马通信端的TLSv1的协议。进行wireshrk抓包筛选http 可获得一些cs独有的特征。测试http上线检测:eth0为监听的网卡 yaml为规则。强特征:请求含有checksum8规则的路径。基础特征:魔改的基本都会改。
CS反制之批量伪装上线
bring_coco的博客
02-10 894
CS反制之批量伪装上线
蓝队技巧——溯源反制
carrot11223的博客
02-27 472
一、如果看到后门文件,可以修改后门文件,当对方再使用蚁剑链接的时候,就会将yijian所有的权限交出去,后门文件中可以修改为js代码,效果就是获取攻击者的权限,而攻击者那边会出现连接不上的问题,但如果攻击者经验不足,可能单纯以为是连接问题,忽视了已经将自己的权限交出去。四、反制server,连接对方的cs服务器,爆破密码,获得攻击者cs权限,所以攻击者的cs密码应该设置复杂一点,放置被爆破。地址:https://github.com/its-arun/CVE-2022-39197。
nps 未授权访问 利用exp脚本
weixin_55885866的博客
08-18 349
nps 未授权访问 利用exp脚本nps 未授权访问 利用exp脚本nps 未授权访问 利用exp脚本。
CobaltStrike反制上线测试
qq_69775412的博客
10-05 2247
CobaltStrike反制上线测试
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

三年之约-第二年

你的鼓励是对我最大的鼓励

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值