用鱼竿、鱼钩、鱼饵和彩蛋模拟一次网络渗透

*本文原创作者:flagellantX,本文属FreeBuf原创奖励计划,未经许可禁止转载

一、工具

鱼竿:

基于golang语言的CHAOS远程后门(作者是巴西的开源爱好者) https://github.com/tiagorlampert/CHAOS

鱼钩:

ngrok(可以利用github账号登陆注册) https://ngrok.com/

鱼饵:

洋葱路由 (http://www.theonionrouter.com/) 匿名网络空间 (https://www.upload.ee/)

彩蛋:

钓鱼攻击配置用到的exp (word宏利用、浏览器插件利用) 匿名邮箱 (http://www.yopmail.com/) (https://mytemp.email/) 匿名网上冲浪和洋葱共享 (内详) 在线匿名的获得一个美帝电话号 (内详) 渗透测试环境系统和平台 (内详)

二、鱼竿

后门在kali上的安装:

成功运行后如图:

三、鱼钩

外网环境布置(ngrok):

注册ngrok,否则无法使用tcp转发模块,可以使用github便捷登陆

https://dashboard.ngrok.com/user/signup

在kali中下载并放置于运行目录:

添加token目的是使用tcp模块:

https://dashboard.ngrok.com/get-started

将这行代码复制并且在kali中执行

开启ngrok为自己开启一条外网通道:

标记的两个需要注意是域名和端口,以我的例子为[0.tcp.ngrok.io]和[19413]

下一步ping出[0.tcp.ngrok.io]的ip地址,以上这一种利用同样适用于各类python开发的远程后门和msf都适用,甚至windows也非常适用,是一个非常便捷的端口转发技巧:

标记好这个ip地址后,进入chaos操作:

选择1制作一个payload

填入刚刚ping出的ip:

端口写刚刚标记的端口:

为自己的后门写个具有欺骗性的名字,并加壳,然后启动tcp监听返回的shell:

监听的本地端口写4444,因为我们刚才转发的就是本机4444端口作为监听端口,至此后门布置完成,也就是你的鱼竿和鱼钩已经准备好了,

四、鱼饵

接下来就是放置鱼饵:

后门在chaos的目录下面,我们把它通过洋葱路由上传到网络空间

上传好以后就会有下载链接,这一步就不赘述了:

使用洋葱路由就是为了匿名化,当然这个网络空间对于国内用户可能会网速过慢或者下载不成功,所以我这里也建议你做好跳板以后利用exp或者你自己的0day1day刷一些服务器选择一台合适的服务器作为网络空间(针对目标的地区选择,考虑法律因素和该地区监管追查能力),但原则是隐藏好自己,可以多利用非本土的网络和公共的网络(无cctv录像监控,将移动电脑放进书包不要电脑包,或者直接使用公共无监管电脑,公共wifi,甚至是黑网吧人流大而杂的网络区域,使用live系统,加密你的硬盘等等这些在本篇不做赘述)进行,所以这一步就是将后门放置在公共网络空间http://公共空间/后门.exe

我们先来看一下当受害人执行了后门以后的利用:

help可以看到这款后门可以进行的操作:

你可以看到受害者机器是我的win10专业版64位的电脑,当然光从这里我只能看出win10,其它是我自己知道的:

我们可以执行上传或者下载以及打开url和将后门添加到启动项的操作进行持久的访问,

这样等受害者机器重启也就可以获得持续的权限,我的机子装了防护软件是360卫士,特效全开病毒库最新,所以是不是咱们不小心把绕过杀软的技巧也一并get了呢,接下来我们在360的流量防火墙看看tcp连接信息:

我构建的木马名称是explorer.exe,可以看到连接的流量是在美国的服务器上,通过这样的转发攻击的过程就显的隐蔽多了。

手笨,没咋写过文章,这篇文章花了大概两个多小时,哈哈也算比较用心了,希望你们能喜欢,在这么久的时间段我将后门再次放入360扫描,结果如下

接下来是附送的彩蛋,只可意yi会kan不jiu可dong言传:

word宏利用

github:

浏览器插件攻击:

利用hfs+ngrok构建一个建议的网络服务器

受害者访问该url后会自动下载执行后门,图中测试的是我构造的一段exp,写文章的时候测试点开把整个机子都搞奔溃了,万幸浏览器恢复文章没丢,不然近三个小时的磕碰手打就没了。

github:

匿名邮件:http://www.yopmail.com/en/

你写入一个名字以后就可以利用它收发邮件,通过洋葱浏览器使用它,这样子的话不容易通过邮箱反追踪。

匿名网上冲浪和洋葱共享:

需要linux机器的ip是墙外ip(那种软件用一下)

(https://www.parrotsec.org/download-full.fx)

将需要共享的文件拖入后会生成一个洋葱链接即完成。

电话号:

(https://www.textnow.com/signup)

(https://mytemp.email/)

(https://www.allareacodes.com/area_code_listings_by_state.htm)

利用匿名邮箱完成注册

选择一个区号填入注册你的号码

完成

五、渗透测试环境系统和平台

VMware Download: https://www.vmware.com/products/workstation-pro.html VirtualBox Download: https://www.virtualbox.org/wiki/Downloads Kali Linux Download: https://www.kali.org/downloads/ DVWA/Metasploitable: https://sourceforge.net/projects/metasploitable/files/Metasploitable2/ bWAP Download: https://www.vulnhub.com/entry/bwapp-bee-box-v16,53/ Windows 10 Download: https://www.microsoft.com/en-us/software-download/windows10

六、补充

文中涉及到的url点击攻击别忘了使用链接缩短或者结合xss的伪装欺骗。

持续控制并将木马添加到了启动项,如果重新配置环境会丢失shell的话,提供一个办法就是使用完kali以后将它挂起,这样第二次使用就都还在了,想要真正的持续访问你需要改一些东西太复杂了下次文章说啦。

朋友跟我反映CHAOS不可以控制多个机器,我提供一个办法就是生成后门的时候不同机器针对不同端口,例如A机器监听4444,B机器的后门重新生成,监听5555,的确是有些繁琐,不太适用于那些功能强大的RAT点对点多台控制。

这次实施的模拟攻击,我把鱼竿选择了CHAOS框架,我今晚都在关注它的绕过杀软能力和持久性,大致总结一下我观察到的后门特点:

每次生成的后门当下可以[未知]风险的身份绕过360卫士全特效 报毒后不进行主动扫描并不会被查杀 主动扫描后清除了后门任然没有丢掉权限可以执行任何提权命令 重点是再次全盘扫描后提示本机无毒

图片是我在本机win10测试免杀的时候发现4444端口监听的后门exe报毒,转向虚拟机系统发现同样报毒,但没被清除,权限正常。主动清除后shell正常,全盘扫无毒,权限正常,运行持续访问命令后重启,权限正常。

“经过多日测试CHAOS后门框架可以有效绕过国内各大杀毒软件查杀,除360云查杀在短期内可以鉴别病毒以外,其它厂家针对该后门识别能力不强(未识别)”

结语:文章不够直观的话我会做视频教程在我的微博@flagellantX,如果文章中有错误和不足可以直接指出,可喷可踩,但是有好的攻击思路和更好的利用模式以及匿名技巧等等这些都可以跟我交流,我非常欢迎你跟我一起探讨共同进步。

*本文原创作者:flagellantX,本文属FreeBuf原创奖励计划,未经许可禁止转载

本文分享自微信公众号 - FreeBuf(freebuf)

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2018-04-03

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏机器人网

程序猿:曾经的小鲜肉变“地中海大叔”,秃顶算工伤吗?

在各个年龄段的程序猿中,70后以年龄优势遥遥领先,80后已处于中年油腻阶段(80后请不要打我~),90后也已经开始脱发......脱发的迅猛程度隐隐有赶超80后...

16630
来自专栏Golang语言社区

Go语言开发RESTFul JSON API

也许我们之前有使用过各种各样的API, 当我们遇到设计很糟糕的API的时候,简直感觉崩溃至极。希望通过本文之后,能对设计良好的RESTful API有一个初步认...

1.5K30
来自专栏Golang语言社区

使用go-swagger为golang API自动生成swagger文档

Swagger是一个简单但功能强大的API表达工具。它具有地球上最大的API工具生态系统,数以千计的开发人员,使用几乎所有的现代编程语言,都在支持和使用Swag...

2K20
来自专栏Golang语言社区

Go微服务 - 构建我们的第一个服务

虽然通过HTTP提供JSON服务不是内部服务和外部服务的唯一选择,但本文聚焦的是HTTP和JSON. 使用RPC机制和二进制消息格式(例如Protocol Bu...

29240
来自专栏安恒信息

世界图书日|看看你的书单还缺哪本书

“读史使人明智,读诗使人灵秀,数学使人周密,科学使人深刻,伦理学使人庄重,逻辑修辞使人善辩,凡有所学,皆成性格。 ——培根”

11710
来自专栏CDN及云技术分享

我是怎么一步步用go找出压测性能瓶颈

笔者要在线上服务器load日志并且重放来测一些机器性能指标。模拟机器资源比较少,相对的被模拟的线上机器日志量大,假设线上单机qps有1w,那么5台机器组成的集群...

2K350
来自专栏章鱼的慢慢技术路

用Go语言实现一个简单的聊天机器人

Go语言基本构成要素:标识符、关键字、字面量、分隔符、操作符。它们可以组成各种表达式和语句,而后者都无需以分号结尾。

17020
来自专栏Python爬虫与算法进阶

爬虫学到什么程度可以去找工作

随便看看知乎上的教程就可以入门了,就Python而言,会requests当然是不够的,还需要了解scrapy和pyspider这两个框架,scrapy_redi...

16710
来自专栏章鱼的慢慢技术路

在VSCode中成功安装Go相关插件问题:tools failed to install.

进行如下命令进行目录切换: cd %GOPATH%\src\github.com\golang 我这里的GOPATH是在D:\GoPath,大家这里一定要注意些...

2.9K30
来自专栏章鱼的慢慢技术路

Go指南练习_Reader

Read 用数据填充给定的字节切片并返回填充的字节数和错误值。在遇到数据流的结尾时,它会返回一个 io.EOF 错误。

31040

扫码关注云+社区

领取腾讯云代金券

年度创作总结 领取年终奖励