Red Team 工具集之攻击武器库

本文作者:myh0st参考项目:https://github.com/infosecn1nja/Red-Teaming-Toolkit

上图是一个 Red Team 攻击的生命周期,整个生命周期包括:信息收集、攻击尝试获得权限、持久性控制、权限提升、网络信息收集、横向移动、数据分析(在这个基础上再做持久化控制)、在所有攻击结束之后清理并退出战场。

红队在攻击企业时,通过外围的业务系统比较难以进入内网,往往外围的业务系统不是在云上就是在 DMZ 区,在获得业务系统权限的时候也不一定能进入到办公网络,再加上 CDN 和 Waf 这种东西的存在,通过 web 服务器进入内网的方式几乎是不太可能,所以那怎么样才能顺利进入办公网络呢?

办公网络是所有公司员工所在的网络,攻击方式往往跟他的作用以及员工的行为方式相关的。员工的日常工作在电脑端经常用的就是一些办公软件、浏览器、邮件系统等,所以对应的攻击方式应运而生,比如钓鱼、恶意文件等,下面的这些工具、武器就是干这个活的。

Composite Moniker

CVE-2017-8570 漏洞为 Microsoft Office 的一个远程代码执行漏洞。其成因是Microsoft PowerPoint执行时会初始化Script Moniker对象,而在PowerPoint播放动画期间会激活该对象,从而执行sct脚本(Windows Script Component)文件。攻击者可以欺骗用户运行含有该漏洞的 PPT 文件,导致获取和当前登录用户相同的代码执行权限。

https://github.com/rxwx/CVE-2017-8570

Exploit toolkit CVE-2017-8759

该漏洞的技术原理和今年黑客“奥斯卡”Pwnie Awards 上的最佳客户端漏洞(CVE-2017-0199)如出一辙,不同的是,这次黑客在 Offcie 文档中嵌入新的 Moniker 对象,利用的是 .net 库漏洞,在 Office 文档中加载执行远程的恶意 .NET 代码,而整个漏洞的罪魁祸首竞是 .NET Framework 一个换行符处理失误。

https://github.com/bhdresh/CVE-2017-8759

CVE-2017-11882 Exploit

攻击者可以利用漏洞以当前登录的用户的身份执行任意命令。

https://github.com/unamer/CVE-2017-11882

Adobe Flash Exploit CVE-2018-4878.

CVE-2018-4878 与 2017 年 10 月发现的 0Day 漏洞 CVE-2017-11292 一样,都位于 Flash 的 com.adobe.tvsdk 包中。CVE-2018-4878 是一个 UAF 漏洞,需要借助强制 GC 或者刷新页面来触发该漏洞。

https://github.com/anbai-inc/CVE-2018-4878

Exploit toolkit CVE-2017-0199

CVE-2017-0199 是首个 Microsoft Office RTF 漏洞,当用户打开包含嵌入式漏洞的文档时,此漏洞允许恶意攻击者下载并执行包含 PowerShell 命令的 Visual Basic 脚本。

https://github.com/bhdresh/CVE-2017-0199

demiguise

这是一个 HTA 加密工具,并且可以将经过加密的 HTA 文件包含在 html 里。这样可以绕过很多对内容和文件类型检测对安全工具。

https://github.com/nccgroup/demiguise

Office-DDE-Payloads

这个项目可以生成嵌入 DDE 的 word 和 excel 的模版,可以在进行钓鱼攻击的时候使用。

Windows 提供了应用程序间数据传输的若干种方法。其中一种就是使用动态数据交换(DDE)协议。

DDE 协议是一套消息和指示的集合。通过发送消息以及共享内存实现应用程序的数据共享和交换。应用程序可以使用DDE 协议实现一次性数据传输以及持续的数据交换(当新数据可用时,应用程序发送更新通知给另一个应用程序)。

在 MSWord 和 MSExcel 里,可以使用 DDE 来执行命令。

https://github.com/0xdeadbeefJERKY/Office-DDE-Payloads

CACTUSTORCH

这是一个 JavaScript 和 VBScript 的加载器,可以生成一个被注入了 shellcode 的 32 位应用程序。

https://github.com/mdsecactivebreach/CACTUSTORCH

SharpShooter

这是一个创建 payload 的框架,用于执行任意的 CSharp 源码。它可以创建各种格式的 payload ,包括 HTA 、JS、VBS 和 WSF。它使用随机的密钥进行 RC4 加密,来逃避一些杀毒软件。

https://github.com/mdsecactivebreach/SharpShooter

Don't kill my cat

这个工具可以将 shellcode 注入到图片中并保证图片正常打开,这个工具依赖 powershell 执行图片中的 shellcode。

https://github.com/Mr-Un1k0d3r/DKMC

Malicious Macro Generator Utility

这个工具可以生成可以绕过 AV 和沙盒的混淆宏。

https://github.com/Mr-Un1k0d3r/MaliciousMacroGenerator

SCT Obfuscator

混淆 Cobalt Strike 的 SCT payload,Cobalt Strike 集成了端口转发、扫描多模式端口监听 Windows exe 木马,生成 Windows dll (动态链接库)木马,生成 java 木马,生成 office 宏病毒,生成木马捆绑钓鱼攻击,包括站点克隆目标信息获取 java 执行浏览器自动攻击等等。

https://github.com/Mr-Un1k0d3r/SCT-obfuscator

Invoke-Obfuscation

混淆 powershell 的工具。

https://github.com/danielbohannon/Invoke-Obfuscation

Invoke-DOSfuscation

这是一个 cmd 命令混淆框架。

https://github.com/danielbohannon/Invoke-DOSfuscation

morphHTA

将 Cobalt Strike 的 evil.HTA. 进行变形混淆绕过杀软。

https://github.com/vysec/morphHTA

Unicorn

这个工具简单的实现 powershell 降级攻击并把 shellcode 直接注入到内存中。

https://github.com/trustedsec/unicorn

Shellter

Shellter 是一个动态的 shellcode 注入工具,也是有史以来第一个真正动态的 PE 感染器。它可用于将 shellcode 注入本机 Windows 应用程序(仅限于 32 位应用程序)。shellcode 可以是你自己写的或者通过框架生成的,比如Metasploit。

https://www.shellterproject.com/

SigThief

由于一些反病毒厂商在进行病毒查杀的时候首先会检查软件的签名,而且对于一些白名单签名机构发布的签名不检查签名是否真的有效,所以通过伪造签名就可以绕过反病毒的查杀,这个工具就是用来从一个有签名的软件中提取签名信息并伪造为恶意软件进行签名,当然,这个伪造的签名不是真实的。

https://github.com/secretsquirrel/SigThief

Veil

这个工具可以将 metasploit 的 payloads 进行混淆加密从而绕过一些常见的杀毒软件。

is a tool designed to generate metasploit payloads that bypass common anti-virus solutions.

https://github.com/Veil-Framework/Veil

CheckPlease

这个项目包含了用 PowerShell, Python, Go, Ruby, C, C#, Perl, 和 Rust 写的沙盒逃逸的工具。

https://github.com/Arvanaghi/CheckPlease

Invoke-PSImage

这个工具可以将 powershell 脚本嵌入到 PNG 图片的像素中,从而隐藏恶意脚本,随后可以使用 powershell 命令下载图片并执行其中隐藏的恶意 powershell 脚本。

https://github.com/peewpw/Invoke-PSImage

LuckyStrike

这个工具可以生成一个恶意的 office 文档,黑客通过邮件等方式发送给用户,安全意识不强的用户可能中招。

https://github.com/curi0usJack/luckystrike

ClickOnceGenerator

这个工具可以一键生成一个恶意软件,默认情况下生成的恶意软件运行进程模仿 IE 的进程。

https://github.com/Mr-Un1k0d3r/ClickOnceGenerator

macro_pack

这个工具可以轻松生成多种格式的恶意文件,如恶意 Office 文档、恶意脚本(VBS、VBA等)以及恶意的快捷方式,还支持混淆功能,可以将恶意代码自动混淆。

https://github.com/sevagas/macro_pack

StarFighters

这个工具可以在目标系统没有 PowerShell 环境的情况下,生成一个 JavaScript 或 VBScript 脚本作为代替 Empire 服务端脚本的工具。

https://github.com/Cn33liz/StarFighters

nps_payload

这个脚本是从多个公开的绕过技巧中提取经验,用来生成可以绕过一些入侵检测技术的 payload。

https://github.com/trustedsec/nps_payload

SocialEngineeringPayloads

a collection of social engineering tricks and payloads being used for credential theft and spear phishing attacks.

https://github.com/bhdresh/SocialEngineeringPayloads

The Social-Engineer Toolkit

这个项目收集了一些在社会工程学中可能用到的工具集,可以在钓鱼攻击中使用。

https://github.com/trustedsec/social-engineer-toolkit

Phishery

这个工具是一个简单的启用了 SSL 的 HTTP 服务器,而且还可以将 URL 注入到 Office 文档中,在用户打开文档的时候,弹出认证窗口,如果用户在认证框中输入了自己的用户凭证,那么攻击者就可以获得用户的凭证,这在社工钓鱼中非常有用。

https://github.com/ryhanson/phishery

PowerShdll

这个工具需要使用 rundll32.exe 进行执行,不需要使用 powershell.exe 就可以执行 powershell 脚本,用来绕过一些入侵检测规则。

https://github.com/p3nt4/PowerShdll

Ultimate AppLocker ByPass List

这个资源包含了许多绕过 AppLocker 的技术,目前有 57 种方式,AppLocker 即“应用程序控制策略”,是 Windows 7 系统中新增加的一项安全功能。

https://github.com/api0cradle/UltimateAppLockerByPassList

Ruler

这个工具可以利用 MAPI/HTTP 或 RPC/HTTP 协议与远程的 Exchange 服务器进行交互,主要功能有:枚举有效用户、创建新的恶意邮件规则、保存全局邮件地址列表(GAL)、通过表单执行 VBScript、通过 Outlook 主页执行 VBScript。

https://github.com/sensepost/ruler

Generate-Macro

这个脚本可以生成一个包含恶意 VBS 脚本的恶意 Excel 文档,可以指定 payload。

https://github.com/enigma0x3/Generate-Macro

Malicious Macro MSBuild Generator

这个工具可以生成恶意宏并且利用 MSBuild 绕过应用程序白名单执行 powershell 或 shellcode。

https://github.com/infosecn1nja/MaliciousMacroMSBuild

Meta Twin

这个是一个文件资源克隆工具,可以复制元数据,包括文件基本信息、数字签名等,可以从一个文件中提取并注入到另一个文件中。

https://github.com/threatexpress/metatwin

WePWNise

这个工具可以生成能够注入到 Office 文档中的 VBA 脚本,生成的 VBA 脚本在执行的时候可以自动识别系统,执行康对应的 payload。

https://github.com/mwrlabs/wePWNise

DotNetToJScript

这个工具可以将 .net 2.0 的应用程序转为 JScript 脚本,满足一些特殊的环境。

https://github.com/tyranid/DotNetToJScript

PSAmsi

AMSI(反恶意软件扫描接口)是用来扫描应用内部是否存在恶意代码的接口,而这个工具就是通过检测 AMSI 签名来判断应用(如 powershell)中是否使用了 AMSI,然后通过各种方式绕过 AMSI 的扫描。

https://github.com/cobbr/PSAmsi

Reflective DLL injection

这个反射 DLL 注入是采用反射编程的思想将 DLL 注入到指定的进程中,我们可以将 payload 注入到已有进程中,方便隐藏自身。

https://github.com/stephenfewer/ReflectiveDLLInjection

ps1encode

这是一个 ruby 写到脚本,可以将基于 metesploit 的 powershell payload 进行编码然后输出,输出格式包含:raw、cmd、vba、vbs、war、exe、java、js、php、hta、cfm、aspx、lnk、sct 等。

https://github.com/CroweCybersecurity/ps1encode

Worse PDF

这个工具可以利用 PDF 的正常功能窃取 Windows 系统的 NTLM Hash,具体的说,当用户使用 PDF 阅读器打开一份恶意的 PDF 文档,该 PDF 会向远程 SMB 服务器发出请求,如果该远程 SMB 服务器对数据包进行抓取,就能够获得用户 Windows 系统的 Net NTLM Hash,通过进一步破解就有可能获得用户系统的明文密码。

https://3gstudent.github.io/3gstudent.github.io/渗透技巧-利用PDF文件获取Net-NTLM-hash/

https://github.com/3gstudent/Worse-PDF

SpookFlare

这个工具提供了多种方法来绕过安全防御措施,它可以生成 Metesploit、Empire、 Koadic 的加载器或后门,它具有混淆、编码、运行时代码编译和字符串替换等功能。程序"运行时"即是程序被编译了之后,打开程序并运行它直到程序关闭退出这段时间。

https://github.com/hlldz/SpookFlare

GreatSCT

这个工具可以生成绕过大多是杀毒软件以及白名单检测工具的 metesploit payload。

https://github.com/GreatSCT/GreatSCT

nps

这个工具可以在没有安装 powershell 环境的系统下使用,用来执行 powershell 脚本。

https://github.com/Ben0xA/nps

Meterpreter_Paranoid_Mode.sh

这个工具利用证书来加密 Meterpreter 与目标之间交互的流量,绕过一些流量审计平台,隐藏实际流量。

https://github.com/r00t-3xp10it/Meterpreter_Paranoid_Mode-SSL

The Backdoor Factory (BDF)

这个工具可以二进制文件打补丁,将自定义的 shellcode 注入到二进制文件中,在二进制文件启动时执行指定的 shellcode。

补丁技术包括:

1、附加到文本段,将数据段前移一页或者更多页

2、文本段和数据段之间如果有空白空间可以利用

3、将 stub 附加到数据段并使其可执行

4、将文本段扩展到数据段之后

5、替换一个节点,替换掉 ELF 文件中不必要的节点,像 GNU_STACK 节点

6、增加新节点

https://github.com/secretsquirrel/the-backdoor-factory

MacroShop

这个项目收集了一些脚本,这些脚本可以生成可以被 Office 宏执行的有效载荷。

https://github.com/khr0x40sh/MacroShop

UnmanagedPowerShell

这个工具可以将 powershell 注入到进程中执行。

https://github.com/leechristensen/UnmanagedPowerShell

原文发布于微信公众号 - 信安之路(xazlsec)

原文发表时间:2018-07-15

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏信安之路

一个简单的挖矿病毒分析

CMD 命令行.txt,start.ps1,1.ps1,knbhm.jpg,svchost.exe

3784
来自专栏我叫刘半仙

原荐记一次服务器被植入挖矿木马cpu飙升200%解决过程

线上服务器用的是某讯云的,欢快的完美运行着Tomcat,MySQL,MongoDB,ActiveMQ等程序。突然一则噩耗从前线传来:网站不能访问了。 此项目是我...

4464
来自专栏从零开始学 Web 前端

linux内核移植过程问题总结

移植内核:2.6.30.4 内核根目录下的.config为当前配置内核的且已经配置好的内核配置。make zImage以此为依据 配置内核的过程: cd lin...

2882
来自专栏沈唁志

PHP开发规范之使用phpcbf脚本自动修正代码格式

在前段时间的文章:在PhpStorm中安装使用PHP_CodeSniffer编码规范检查工具中提到过phpcbf脚本

2131
来自专栏技术翻译

分析R中的Elasticsearch数据

您可以在任何可以安装R和Java的计算机上使用纯R脚本和标准SQL访问Elasticsearch数据。您可以使用适用于Elasticsearch的CData J...

1853
来自专栏草根专栏

使用Identity Server 4建立Authorization Server (1)

本文内容基本完全来自于Identity Server 4官方文档: https://identityserver4.readthedocs.io/ 官方文档很详...

48010
来自专栏大魏分享(微信公众号:david-share)

用Ansible自动供应vmware虚拟机--构建数据中心一体化运维平台第二篇

1.1 简述 一直以来,打开邮箱被ticket糊一脸的事情时有发生。我一直在想,能不能以一种简单的方案(不花老板的钱)来供应(provisioning)虚拟机呢...

6632
来自专栏Brian

Mac 配置终端环境

Mac 配置终端开发环境 ---- 概述 作为一个服务端开发人员基本上都是通过终端和服务器打交道,所以一个好个开发人员那么他的终端配置也是高效的。“工欲善事必先...

42711
来自专栏逸鹏说道

Winserver下的Hyper-v “未在远程桌面会话中捕获到鼠标”

异常处理汇总-服 务 器 http://www.cnblogs.com/dunitian/p/4522983.html 服务器相关的知识点:http://ww...

3888
来自专栏Netkiller

高级运维工程师面试题(更新中)

高级运维工程师 服务器硬件 RAID 磁盘阵列 简述 RAID? RAID 0 5 6 10 50 都适用于那些场景? 数据库适用那种 RAID? RAID 1...

7714

扫码关注云+社区