这款工具最早被演示于BlackHat London 2019中,Octopus是一个基于python3的开源,可操作的C2服务器,它可以通过HTTP/ S控制Octopus powershell代理。
Octopus在与C2通信时被设计为隐秘且隐蔽的,因为它在Powershell代理与C2服务器之间的加密通道默认使用AES-256。
Octopus的功能:
工具安装:
执行以下命令:
git clone https://github.com/mhaskar/Octopus.git
sudo pip3 install -r requirement.txt
过以下命令安装`mono-devel`以在Octopus中使用C#编译功能:
apt install mono-devel
工具使用:
您可以编辑文件profile.py 以开始构建自己的配置文件,其中包含以下主要URL:
您可以输入help命令来查看工具的部分帮助:
分别是一些监听器、混淆器什么的,我们来使用http(您可以通过SSL / TLS加密通道与代理进行通信,这将在与代理进行通信的同时为您提供更多功能)的方式来开启一个监听,
listen_http listen_ip port hostname interval page listener_name
若是https则多出以下的选项:
您可以生成代理以通过您选择的特定侦听器与C2通信,代理可以为您执行多项任务,例如:
我们可以使用以下方法生成并交付我们的代理:
我这里以powershell为例:
generate_powershell listener_name
其他两种也一样:
generate_hta listener_name
generate_exe listener_name output_path
注:用mono-project将C#代理编译为可执行文件,从而为您构建一个现成的Windows可执行文件(exe文件)。
目标机执行生成的powershell指令,上线:
与代理进行交互之后,您只需执行命令并等待结果,即可执行系统命令!
与代理进行交互之后,您只需执行命令并等待结果,即可执行系统命令!
您还可以将Powershell模块加载到Octopus中以在攻击过程中为您提供帮助,您只需要将要使用的模块复制到“模块”目录中,然后在与代理进行交互时执行“load module_name”以直接加载模块,您也可以使用“modules”命令显示所有可用模块。
ESA模块代表“端点态势感知”,它可以帮助攻击者获取有关端点和基础架构的一些额外信息,例如:
您可以使用Octopus从目标计算机上下载文件,只需执行“ download file_path”即可下载文件。
这里不再演示。
觉得不错,点个在看,谢谢大家。