用鱼竿、鱼钩、鱼饵和彩蛋模拟一次网络渗透

*本文原创作者：flagellantX，本文属FreeBuf原创奖励计划，未经许可禁止转载

一、工具

鱼竿：

基于golang语言的CHAOS远程后门（作者是巴西的开源爱好者） https://github.com/tiagorlampert/CHAOS

鱼钩：

ngrok（可以利用github账号登陆注册） https://ngrok.com/

鱼饵：

洋葱路由 (http://www.theonionrouter.com/) 匿名网络空间 (https://www.upload.ee/)

彩蛋：

钓鱼攻击配置用到的exp (word宏利用、浏览器插件利用) 匿名邮箱 (http://www.yopmail.com/) (https://mytemp.email/) 匿名网上冲浪和洋葱共享 （内详） 在线匿名的获得一个美帝电话号 （内详） 渗透测试环境系统和平台 （内详）

二、鱼竿

后门在kali上的安装：

成功运行后如图：

三、鱼钩

外网环境布置(ngrok)：

注册ngrok，否则无法使用tcp转发模块，可以使用github便捷登陆

https://dashboard.ngrok.com/user/signup

在kali中下载并放置于运行目录：

添加token目的是使用tcp模块：

https://dashboard.ngrok.com/get-started

将这行代码复制并且在kali中执行

开启ngrok为自己开启一条外网通道：

标记的两个需要注意是域名和端口，以我的例子为[0.tcp.ngrok.io]和[19413]

下一步ping出[0.tcp.ngrok.io]的ip地址，以上这一种利用同样适用于各类python开发的远程后门和msf都适用，甚至windows也非常适用，是一个非常便捷的端口转发技巧：

标记好这个ip地址后，进入chaos操作：

选择1制作一个payload

填入刚刚ping出的ip:

端口写刚刚标记的端口:

为自己的后门写个具有欺骗性的名字，并加壳，然后启动tcp监听返回的shell：

监听的本地端口写4444，因为我们刚才转发的就是本机4444端口作为监听端口,至此后门布置完成，也就是你的鱼竿和鱼钩已经准备好了，

四、鱼饵

接下来就是放置鱼饵：

后门在chaos的目录下面，我们把它通过洋葱路由上传到网络空间

上传好以后就会有下载链接，这一步就不赘述了：

使用洋葱路由就是为了匿名化，当然这个网络空间对于国内用户可能会网速过慢或者下载不成功，所以我这里也建议你做好跳板以后利用exp或者你自己的0day1day刷一些服务器选择一台合适的服务器作为网络空间(针对目标的地区选择，考虑法律因素和该地区监管追查能力)，但原则是隐藏好自己，可以多利用非本土的网络和公共的网络(无cctv录像监控，将移动电脑放进书包不要电脑包，或者直接使用公共无监管电脑，公共wifi，甚至是黑网吧人流大而杂的网络区域，使用live系统，加密你的硬盘等等这些在本篇不做赘述)进行，所以这一步就是将后门放置在公共网络空间http://公共空间/后门.exe

我们先来看一下当受害人执行了后门以后的利用：

help可以看到这款后门可以进行的操作：

你可以看到受害者机器是我的win10专业版64位的电脑，当然光从这里我只能看出win10，其它是我自己知道的：

我们可以执行上传或者下载以及打开url和将后门添加到启动项的操作进行持久的访问，

这样等受害者机器重启也就可以获得持续的权限，我的机子装了防护软件是360卫士，特效全开病毒库最新，所以是不是咱们不小心把绕过杀软的技巧也一并get了呢，接下来我们在360的流量防火墙看看tcp连接信息：

我构建的木马名称是explorer.exe，可以看到连接的流量是在美国的服务器上，通过这样的转发攻击的过程就显的隐蔽多了。

手笨，没咋写过文章，这篇文章花了大概两个多小时，哈哈也算比较用心了，希望你们能喜欢，在这么久的时间段我将后门再次放入360扫描，结果如下

接下来是附送的彩蛋，只可意yi会kan不jiu可dong言传：

word宏利用

github:

浏览器插件攻击：

利用hfs+ngrok构建一个建议的网络服务器

受害者访问该url后会自动下载执行后门，图中测试的是我构造的一段exp，写文章的时候测试点开把整个机子都搞奔溃了，万幸浏览器恢复文章没丢，不然近三个小时的磕碰手打就没了。

github：

匿名邮件：http://www.yopmail.com/en/

你写入一个名字以后就可以利用它收发邮件，通过洋葱浏览器使用它，这样子的话不容易通过邮箱反追踪。

匿名网上冲浪和洋葱共享：

需要linux机器的ip是墙外ip（那种软件用一下）

(https://www.parrotsec.org/download-full.fx)

将需要共享的文件拖入后会生成一个洋葱链接即完成。

电话号：

(https://www.textnow.com/signup)

(https://mytemp.email/)

(https://www.allareacodes.com/area_code_listings_by_state.htm)

利用匿名邮箱完成注册

选择一个区号填入注册你的号码

完成

五、渗透测试环境系统和平台

VMware Download: https://www.vmware.com/products/workstation-pro.html VirtualBox Download: https://www.virtualbox.org/wiki/Downloads Kali Linux Download: https://www.kali.org/downloads/ DVWA/Metasploitable: https://sourceforge.net/projects/metasploitable/files/Metasploitable2/ bWAP Download: https://www.vulnhub.com/entry/bwapp-bee-box-v16,53/ Windows 10 Download: https://www.microsoft.com/en-us/software-download/windows10

六、补充

文中涉及到的url点击攻击别忘了使用链接缩短或者结合xss的伪装欺骗。

持续控制并将木马添加到了启动项，如果重新配置环境会丢失shell的话，提供一个办法就是使用完kali以后将它挂起，这样第二次使用就都还在了，想要真正的持续访问你需要改一些东西太复杂了下次文章说啦。

朋友跟我反映CHAOS不可以控制多个机器，我提供一个办法就是生成后门的时候不同机器针对不同端口，例如A机器监听4444，B机器的后门重新生成，监听5555，的确是有些繁琐，不太适用于那些功能强大的RAT点对点多台控制。

这次实施的模拟攻击，我把鱼竿选择了CHAOS框架，我今晚都在关注它的绕过杀软能力和持久性，大致总结一下我观察到的后门特点：

每次生成的后门当下可以[未知]风险的身份绕过360卫士全特效 报毒后不进行主动扫描并不会被查杀 主动扫描后清除了后门任然没有丢掉权限可以执行任何提权命令 重点是再次全盘扫描后提示本机无毒

图片是我在本机win10测试免杀的时候发现4444端口监听的后门exe报毒，转向虚拟机系统发现同样报毒，但没被清除，权限正常。主动清除后shell正常，全盘扫无毒，权限正常，运行持续访问命令后重启，权限正常。

“经过多日测试CHAOS后门框架可以有效绕过国内各大杀毒软件查杀，除360云查杀在短期内可以鉴别病毒以外，其它厂家针对该后门识别能力不强（未识别）”

结语：文章不够直观的话我会做视频教程在我的微博@flagellantX，如果文章中有错误和不足可以直接指出，可喷可踩，但是有好的攻击思路和更好的利用模式以及匿名技巧等等这些都可以跟我交流，我非常欢迎你跟我一起探讨共同进步。

*本文原创作者：flagellantX，本文属FreeBuf原创奖励计划，未经许可禁止转载