EthanDoctor

Webshell篇&静态查杀&行为拦截&流量监控&代码混淆&内存加载&工具魔改

Ethan医生8个月前系统安全217

实战场景:

某X60全家桶下的Web环境,Webshell植入后的渗透测试对抗情况。

 

准备:

1、环境准备-单机系统&杀毒产品&流量产品

2、反编译打包环境-IDEA安装&反编译工具

 

引出问题:

1、webshell工具里面的后门代码不被杀毒检测到-混淆

2、webshell工具里面的功能操作不被杀毒拦截到-魔改

3、webshell工具里面的操作连接不被平台捕获到-魔改

 

检测冰蝎后门:(冰蝎几个版本)

安装:apt install suricata

监控:suricata -c /etc/suricata/suricata.yaml -i eth0 -s /etc/suricata/rules/Behinder3.rules

查看:cat /var/log/suricata/fast.log

 

Suricata规则下载:

0.

https://github.com/al0ne/suricata-rules

https://github.com/ptresearch/AttackDetection

1.

规则集名称:Proofpoint -- Emerging Threats Open Ruleset [et/open]

获取:https://rules.emergingthreats.net/open/

2.

规则集名称:Proofpoint -- Emerging Threats Pro Ruleset [et/pro]

获取:https://rules.emergingthreats.net/PRO_download_instructions.html

3.

规则集名称:OISF -- Suricata Traffic ID ruleset [oisf/trafficid]

获取:https://openinfosecfoundation.org/rules/trafficid/trafficid.rules

4.

规则集名称:Positive Technologies -- Positive Technologies Attack Detection Team ruleset [ptresearch/attackdetection]

获取:https://raw.githubusercontent.com/ptresearch/AttackDetection/master/pt.rules.tar.gz

5.

规则集名称:Secureworks -- Secureworks suricata-enhanced ruleset [scwx/enhanced]

获取:https://www.secureworks.com/contact/

6.

规则集名称:Secureworks -- Secureworks suricata-malware ruleset

获取:https://www.secureworks.com/contact/

7.

规则集名称:Secureworks -- Secureworks suricata-security ruleset [scwx/security]

获取:https://www.secureworks.com/contact/

8.

规则集名称:Abuse.ch -- Abuse.ch SSL Blacklist

获取:https://sslbl.abuse.ch/blacklist/sslblacklist.rules

9.

规则集名称:Abuse.ch -- Abuse.ch Suricata JA3 Fingerprint Ruleset [sslbl/ja3-fingerprints]

获取:https://sslbl.abuse.ch/blacklist/ja3_fingerprints.rules

10.

规则集名称:Etnetera a.s. -- Etnetera aggressive IP blacklist

获取:https://security.etnetera.cz/feeds/etn_aggressive.rules

11.

规则集名称:tgreen -- Threat hunting rules [tgreen/hunting]

获取:https://raw.githubusercontent.com/travisbgreen/hunting-rules/master/hunting.rules

12.

规则集名称:malsilo -- Commodity malware rules [malsilo/win-malware]

获取:

https://malsilo.gitlab.io/feeds/dumps/malsilo.rules.tar.gz

13.

规则集名称:Stamus Networks -- Lateral movement rules [stamus/lateral]

获取:

https://ti.stamus-networks.io/open/stamus-lateral-rules.tar.gz


标签: Webshell
返回列表

上一篇:Web攻防&身份验证篇&OAuth认证&授权分类及参数&重定向接管&State缺陷&Scope篡改

下一篇:【免杀】-魔改冰蝎behinder

相关文章

内网对抗-横向移动篇&WinRS命令&WinRM管理&RDP终端&密码喷射点&CrackMapExec

➢ 横向移动-WinRS&WinRM&RDP➢ 横向移动-密码喷射-CrackMapExec#WinRM&WinRSWinRM代表Windows远程管理,是...

内网对抗-横向移动篇&PTH哈希&PTT票据&PTK密匙&Kerberoast攻击点&TGT&NTLM爆破

内网对抗-横向移动篇&PTH哈希&PTT票据&PTK密匙&Kerberoast攻击点&TGT&NTLM爆破

#首要知识点:pass the hash(哈希传递攻击,简称pth)pass the ticket(票据传递攻击,简称ptt)pass the key(密钥传递攻击,简称ptk)PTH(pass th...

免杀对抗-C2远控篇&PowerShell&有无文件落地&C#参数调用&绕AMSI&ETW&去混淆特征

#C2远控-ShellCode-认知&环境1.创建工程时关闭SDL检查2.属性->C/C++->代码生成->运行库->多线程 (/MT)如果是debug则设置成MTD3...

内网对抗-横向移动篇&Kerberos&委派安全&非约束系&约束系&RBCD资源系&Spooler利用

#委派安全知识点委派是一种域内应用模式,是指将域内用户账户的权限委派给服务账号,服务账号因此能以用户的身份在域内展开活动(请求新的服务等),类似于租房中介房东的关系去理解。 域委派分类:1、...

内网对抗-实战项目&VPC1打靶&PHP-RCE&三层代理路由&防火墙上线&密码喷射&域控提权

内网对抗-实战项目&VPC1打靶&PHP-RCE&三层代理路由&防火墙上线&密码喷射&域控提权

➢ 实战项目-VPC1-打靶WP1、php最新rcePOST /php-cgi/php-cgi.exe?%add+cgi.force_redirect%3dXCANWIN+%add+allo...

内网对抗-网络通讯篇&防火墙组策略&入站和出站规则&单层双层&C2正反向上线&解决方案

➢ 防火墙策略-入站规则&出站规则&自定义➢ 单层防火墙-命令关闭&更改策略-C2上线➢ 单层防火墙-正向监听&反向中转-C2上线➢&nb...

发表评论    

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。

Copyright Your hacksec.top Rights Reserved.

Powered By Z-BlogPHP. - 鄂ICP备2025099786号