EthanDoctor

Webshell篇&静态查杀&行为拦截&流量监控&代码混淆&内存加载&工具魔改

Ethan医生2个月前系统安全68

实战场景:

某X60全家桶下的Web环境,Webshell植入后的渗透测试对抗情况。

 

准备:

1、环境准备-单机系统&杀毒产品&流量产品

2、反编译打包环境-IDEA安装&反编译工具

 

引出问题:

1、webshell工具里面的后门代码不被杀毒检测到-混淆

2、webshell工具里面的功能操作不被杀毒拦截到-魔改

3、webshell工具里面的操作连接不被平台捕获到-魔改

 

检测冰蝎后门:(冰蝎几个版本)

安装:apt install suricata

监控:suricata -c /etc/suricata/suricata.yaml -i eth0 -s /etc/suricata/rules/Behinder3.rules

查看:cat /var/log/suricata/fast.log

 

Suricata规则下载:

0.

https://github.com/al0ne/suricata-rules

https://github.com/ptresearch/AttackDetection

1.

规则集名称:Proofpoint -- Emerging Threats Open Ruleset [et/open]

获取:https://rules.emergingthreats.net/open/

2.

规则集名称:Proofpoint -- Emerging Threats Pro Ruleset [et/pro]

获取:https://rules.emergingthreats.net/PRO_download_instructions.html

3.

规则集名称:OISF -- Suricata Traffic ID ruleset [oisf/trafficid]

获取:https://openinfosecfoundation.org/rules/trafficid/trafficid.rules

4.

规则集名称:Positive Technologies -- Positive Technologies Attack Detection Team ruleset [ptresearch/attackdetection]

获取:https://raw.githubusercontent.com/ptresearch/AttackDetection/master/pt.rules.tar.gz

5.

规则集名称:Secureworks -- Secureworks suricata-enhanced ruleset [scwx/enhanced]

获取:https://www.secureworks.com/contact/

6.

规则集名称:Secureworks -- Secureworks suricata-malware ruleset

获取:https://www.secureworks.com/contact/

7.

规则集名称:Secureworks -- Secureworks suricata-security ruleset [scwx/security]

获取:https://www.secureworks.com/contact/

8.

规则集名称:Abuse.ch -- Abuse.ch SSL Blacklist

获取:https://sslbl.abuse.ch/blacklist/sslblacklist.rules

9.

规则集名称:Abuse.ch -- Abuse.ch Suricata JA3 Fingerprint Ruleset [sslbl/ja3-fingerprints]

获取:https://sslbl.abuse.ch/blacklist/ja3_fingerprints.rules

10.

规则集名称:Etnetera a.s. -- Etnetera aggressive IP blacklist

获取:https://security.etnetera.cz/feeds/etn_aggressive.rules

11.

规则集名称:tgreen -- Threat hunting rules [tgreen/hunting]

获取:https://raw.githubusercontent.com/travisbgreen/hunting-rules/master/hunting.rules

12.

规则集名称:malsilo -- Commodity malware rules [malsilo/win-malware]

获取:

https://malsilo.gitlab.io/feeds/dumps/malsilo.rules.tar.gz

13.

规则集名称:Stamus Networks -- Lateral movement rules [stamus/lateral]

获取:

https://ti.stamus-networks.io/open/stamus-lateral-rules.tar.gz


标签: Webshell
返回列表

上一篇:Web攻防&身份验证篇&OAuth认证&授权分类及参数&重定向接管&State缺陷&Scope篡改

下一篇:【免杀】-魔改冰蝎behinder

相关文章

Web权限提升篇&划分获取&资产服务&后台系统&数据库管理&相互转移

Web权限提升篇&划分获取&资产服务&后台系统&数据库管理&相互转移

#基础点:0、为什么我们要学习权限提升转移技术:简单来说就是达到目的过程中需要用到它 1、具体有哪些权限需要我们了解掌握的:后台权限,数据库权限,Web权限,用户权限,服务器权限,宿主机权限...

内网对抗-横向移动篇&NTLM中继&Relay重放&SMB&EWS&LADP协议&强制认证&钓鱼监听

内网对抗-横向移动篇&NTLM中继&Relay重放&SMB&EWS&LADP协议&强制认证&钓鱼监听

➢ 横向移动-NTLM监听-Responder&Inveigh➢ 横向移动-NTLM条件-强制触发&被动钓鱼➢ 横向移动-NTLM中继-暴力破解&...

免杀对抗-C2远控篇&Nim&ZigLang&冷门语言&Loader加载器&对抗优势&减少熵值特征

免杀对抗-C2远控篇&Nim&ZigLang&冷门语言&Loader加载器&对抗优势&减少熵值特征

➢ C2远控-其他语言-Nim&Zig-基础环境搭建➢ C2远控-其他语言-Nim&Zig-Loader加载器3、Nim开发环境搭建https://nim-lang...

Linux系统权限提升篇&Vulnhub&Capability能力&LD_Preload加载&数据库等

#应用场景:获取到Web权限或普通用户在Linux服务器上时进行的权限提升, SUID (Set owner User ID up on execution)是给予文件的一个特殊类型的文件权...

免杀对抗-C2远控篇&PowerShell&有无文件落地&C#参数调用&绕AMSI&ETW&去混淆特征

#C2远控-ShellCode-认知&环境1.创建工程时关闭SDL检查2.属性->C/C++->代码生成->运行库->多线程 (/MT)如果是debug则设置成MTD3...

C2远控篇&C&C++&ShellCode定性分析&生成提取&Loader加载模式&编译执行

➢ C2远控-ShellCode-认知&环境➢ C2远控-ShellCode-分析&提取➢ C2远控-ShellCode-Loader加载#常见杀软特点总...

发表评论    

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。

Copyright Your hacksec.top Rights Reserved.

Powered By Z-BlogPHP. - 鄂ICP备2025099786号