安全黑客
当前位置:安全黑客文章资讯安全资讯安全新闻
日期:2019-01-03 20:28:00  来源:本站整理

C&C浏览器[安全新闻]

赞助商链接



  本文“C&C浏览器[安全新闻]”是由安全黑客为您精心收集,来源于网络转载,文章版权归文章作者所有,本站不对其观点以及内容做任何评价,请读者自行判断,以下是其具体内容:

红队成员总是会着重于研究新的方法来回连到他们的C&C设备。红队使用标准协议或者原生系统功能来进行C&C操作的主要原因是绕过蓝队的某些限制和不被蓝队发现。0x09AL大牛用go语言开发了Browser-C2,利用浏览器(chrome)作为通信通道,可以绕过基于主机的防火墙。0x09AL在他的博客中发了一篇文章来讲解浏览器-C2这个工具的原理和基本操作,有兴趣的可以去看看。
该工具需要安装以下组件才能成功运行:
go get -u github.com/gorilla/mux
go get -u github.com/chzyer/readline
可以使用下列命令将implant编译为可执行文件,不过在编译之前,需要修改agent.go文件,在里面加上C2服务器的IP地址。
go build agent.go

Jquery文件也需要修改,将C2服务器的IP地址赋值给变量url,如图所示:

主要的C2应用可以通过下列命令进行编译:
go build
当implant在目标主机Chrome浏览器执行时将会启动和自动连接到C2服务器终端,如图:

如图可见,这将和我们的C2服务器建立连接,可以在这里执行命令来获取主机信息,如图:

也可以使用wmic命令来进行主机侦察,命令如下:
wmic useraccount list full

Browser-C2不支持服务器与被入侵主机之间的通信加密,并且功能十分有限,因为它不能执行powershell脚本,只能执行最基本的命令。对于更多的操作,我们可以考虑使用meterpreter或者PoshC2。MSF模块web delivery能够自动生成并部署scriptlet。命令如下:
exploit/multi/script/web_delivery

regsvr32是Casey Smith发现的一种可以绕过APPlocker策略的常见方法,这种技术非常可靠,能够远程执行任意代码。可以在现有的Browser-C2 agent会话中执行scriptlet,如图:

当payload执行时会打开一个meterpreter会话,meterpreter可以提供更多强大的功能:

利用相同的方法也可以与PoshC2建立连接,来执行基于powershell的后渗透攻击活动。

PoshC2的implant处理器会接收连接:

需要先选择一个关联ID才能与implant进行交互。PoshC2包含了很多的powershell模块,可以用来执行批量主机侦察,抓取凭证,比如mimikatz,如图:

Mimikatz的输出结果将会显示在PoshC2的控制台上,如图:


  以上是“C&C浏览器[安全新闻]”的内容,如果你对以上该文章内容感兴趣,你可以看看安全黑客为您推荐以下文章:
  • 苹果停止Boot Camp的Leopard用户访问非
  • 苹果揭开序幕豹个月的使用Boot Camp警告...
  • <b>破解Boot Camp限制 苹果用U盘装Win7</b>
  • CamScanner软件让Android手机成万能扫描仪
  • Android Camera 架构介绍
  • Linux Kernel niu_get_ethtool_tcam_all()函数本地溢出漏洞及修复
  • 本文地址: 与您的QQ/BBS好友分享!

    文章评论评论内容只代表网友观点,与本站立场无关!

       评论摘要(共 0 条,得分 0 分,平均 0 分) 查看完整评论
    免责条款 - 广告合作 - 下载声明 - 欢迎投稿 - 友情连接 - 网站地图 -
    Copyright © 2012-2013 www.110hack.com. All Rights Reserved .