EthanDoctor

Webshell篇&静态查杀&行为拦截&流量监控&代码混淆&内存加载&工具魔改

Ethan医生9个月前系统安全284

实战场景:

某X60全家桶下的Web环境,Webshell植入后的渗透测试对抗情况。

 

准备:

1、环境准备-单机系统&杀毒产品&流量产品

2、反编译打包环境-IDEA安装&反编译工具

 

引出问题:

1、webshell工具里面的后门代码不被杀毒检测到-混淆

2、webshell工具里面的功能操作不被杀毒拦截到-魔改

3、webshell工具里面的操作连接不被平台捕获到-魔改

 

检测冰蝎后门:(冰蝎几个版本)

安装:apt install suricata

监控:suricata -c /etc/suricata/suricata.yaml -i eth0 -s /etc/suricata/rules/Behinder3.rules

查看:cat /var/log/suricata/fast.log

 

Suricata规则下载:

0.

https://github.com/al0ne/suricata-rules

https://github.com/ptresearch/AttackDetection

1.

规则集名称:Proofpoint -- Emerging Threats Open Ruleset [et/open]

获取:https://rules.emergingthreats.net/open/

2.

规则集名称:Proofpoint -- Emerging Threats Pro Ruleset [et/pro]

获取:https://rules.emergingthreats.net/PRO_download_instructions.html

3.

规则集名称:OISF -- Suricata Traffic ID ruleset [oisf/trafficid]

获取:https://openinfosecfoundation.org/rules/trafficid/trafficid.rules

4.

规则集名称:Positive Technologies -- Positive Technologies Attack Detection Team ruleset [ptresearch/attackdetection]

获取:https://raw.githubusercontent.com/ptresearch/AttackDetection/master/pt.rules.tar.gz

5.

规则集名称:Secureworks -- Secureworks suricata-enhanced ruleset [scwx/enhanced]

获取:https://www.secureworks.com/contact/

6.

规则集名称:Secureworks -- Secureworks suricata-malware ruleset

获取:https://www.secureworks.com/contact/

7.

规则集名称:Secureworks -- Secureworks suricata-security ruleset [scwx/security]

获取:https://www.secureworks.com/contact/

8.

规则集名称:Abuse.ch -- Abuse.ch SSL Blacklist

获取:https://sslbl.abuse.ch/blacklist/sslblacklist.rules

9.

规则集名称:Abuse.ch -- Abuse.ch Suricata JA3 Fingerprint Ruleset [sslbl/ja3-fingerprints]

获取:https://sslbl.abuse.ch/blacklist/ja3_fingerprints.rules

10.

规则集名称:Etnetera a.s. -- Etnetera aggressive IP blacklist

获取:https://security.etnetera.cz/feeds/etn_aggressive.rules

11.

规则集名称:tgreen -- Threat hunting rules [tgreen/hunting]

获取:https://raw.githubusercontent.com/travisbgreen/hunting-rules/master/hunting.rules

12.

规则集名称:malsilo -- Commodity malware rules [malsilo/win-malware]

获取:

https://malsilo.gitlab.io/feeds/dumps/malsilo.rules.tar.gz

13.

规则集名称:Stamus Networks -- Lateral movement rules [stamus/lateral]

获取:

https://ti.stamus-networks.io/open/stamus-lateral-rules.tar.gz


标签: Webshell
返回列表

上一篇:Web攻防&身份验证篇&OAuth认证&授权分类及参数&重定向接管&State缺陷&Scope篡改

下一篇:【免杀】-魔改冰蝎behinder

相关文章

免杀对抗-C2远控篇&C&C++&DLL注入&过内存核晶&镂空新增&白加黑链&签名程序劫持

免杀对抗-C2远控篇&C&C++&DLL注入&过内存核晶&镂空新增&白加黑链&签名程序劫持

#C2远控-ShellCode-认知&环境1.创建工程时关闭SDL检查2.属性->C/C++->代码生成->运行库->多线程 (/MT)如果是debug则设置成MTD3...

Linux系统权限提升篇&内核溢出&辅助项目&Vulnhub&Dcow&Pwnkit&Dirty

#Web到Win系统提权-平台&语言&用户1、Web搭建平台差异集成软件,自行搭建,虚拟化等集成软件:宝塔,PhpStudy,XAMMP等自行搭建:自己一个个下载安装搭建配置虚拟化:D...

Linux系统权限提升篇&Vulnhub&Rbash绕过&Docker&LXD镜像&History泄漏

➢ Linux系统提权-普通用户-LXD容器➢ Linux系统提权-普通用户-Docker容器➢ Linux系统提权-普通用户-Rbash绕过#应用场景:获取到Web权限...

内网对抗-权限维持篇&内网AD域&Kerberos点&黄金票据&白银票据&钻石票据&蓝宝石票据

参考资料:https://forum.butian.net/share/524https://mp.weixin.qq.com/s/rt2IpxGV-nhAp-3Cqpo1eA 1、黄金票据...

内网对抗-网络通讯篇&防火墙组策略&入站和出站规则&单层双层&C2正反向上线&解决方案

➢ 防火墙策略-入站规则&出站规则&自定义➢ 单层防火墙-命令关闭&更改策略-C2上线➢ 单层防火墙-正向监听&反向中转-C2上线➢&nb...

内网对抗-横向移动篇&入口差异&切换上线&IPC管道&AT&SC任务&Impacket套件&UI插件

➢ 横向移动-域内域外-枚举用户&切换用户➢ 横向移动-IPC管道-命令连接&计划任务➢ 横向移动-IPC管道-Impacket工具套件#横向移动入口知识...

发表评论    

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。

Copyright Your hacksec.top Rights Reserved.

Powered By Z-BlogPHP. - 鄂ICP备2025099786号