EthanDoctor

Webshell篇&静态查杀&行为拦截&流量监控&代码混淆&内存加载&工具魔改

Ethan医生6天前系统安全18

实战场景:

某X60全家桶下的Web环境,Webshell植入后的渗透测试对抗情况。

 

准备:

1、环境准备-单机系统&杀毒产品&流量产品

2、反编译打包环境-IDEA安装&反编译工具

 

引出问题:

1、webshell工具里面的后门代码不被杀毒检测到-混淆

2、webshell工具里面的功能操作不被杀毒拦截到-魔改

3、webshell工具里面的操作连接不被平台捕获到-魔改

 

检测冰蝎后门:(冰蝎几个版本)

安装:apt install suricata

监控:suricata -c /etc/suricata/suricata.yaml -i eth0 -s /etc/suricata/rules/Behinder3.rules

查看:cat /var/log/suricata/fast.log

 

Suricata规则下载:

0.

https://github.com/al0ne/suricata-rules

https://github.com/ptresearch/AttackDetection

1.

规则集名称:Proofpoint -- Emerging Threats Open Ruleset [et/open]

获取:https://rules.emergingthreats.net/open/

2.

规则集名称:Proofpoint -- Emerging Threats Pro Ruleset [et/pro]

获取:https://rules.emergingthreats.net/PRO_download_instructions.html

3.

规则集名称:OISF -- Suricata Traffic ID ruleset [oisf/trafficid]

获取:https://openinfosecfoundation.org/rules/trafficid/trafficid.rules

4.

规则集名称:Positive Technologies -- Positive Technologies Attack Detection Team ruleset [ptresearch/attackdetection]

获取:https://raw.githubusercontent.com/ptresearch/AttackDetection/master/pt.rules.tar.gz

5.

规则集名称:Secureworks -- Secureworks suricata-enhanced ruleset [scwx/enhanced]

获取:https://www.secureworks.com/contact/

6.

规则集名称:Secureworks -- Secureworks suricata-malware ruleset

获取:https://www.secureworks.com/contact/

7.

规则集名称:Secureworks -- Secureworks suricata-security ruleset [scwx/security]

获取:https://www.secureworks.com/contact/

8.

规则集名称:Abuse.ch -- Abuse.ch SSL Blacklist

获取:https://sslbl.abuse.ch/blacklist/sslblacklist.rules

9.

规则集名称:Abuse.ch -- Abuse.ch Suricata JA3 Fingerprint Ruleset [sslbl/ja3-fingerprints]

获取:https://sslbl.abuse.ch/blacklist/ja3_fingerprints.rules

10.

规则集名称:Etnetera a.s. -- Etnetera aggressive IP blacklist

获取:https://security.etnetera.cz/feeds/etn_aggressive.rules

11.

规则集名称:tgreen -- Threat hunting rules [tgreen/hunting]

获取:https://raw.githubusercontent.com/travisbgreen/hunting-rules/master/hunting.rules

12.

规则集名称:malsilo -- Commodity malware rules [malsilo/win-malware]

获取:

https://malsilo.gitlab.io/feeds/dumps/malsilo.rules.tar.gz

13.

规则集名称:Stamus Networks -- Lateral movement rules [stamus/lateral]

获取:

https://ti.stamus-networks.io/open/stamus-lateral-rules.tar.gz


标签: Webshell
返回列表

上一篇:Web攻防&身份验证篇&OAuth认证&授权分类及参数&重定向接管&State缺陷&Scope篡改

下一篇:【免杀】-魔改冰蝎behinder

相关文章

Web权限提升篇&划分获取&资产服务&后台系统&数据库管理&相互转移

Web权限提升篇&划分获取&资产服务&后台系统&数据库管理&相互转移

#基础点:0、为什么我们要学习权限提升转移技术:简单来说就是达到目的过程中需要用到它 1、具体有哪些权限需要我们了解掌握的:后台权限,数据库权限,Web权限,用户权限,服务器权限,宿主机权限...

C2远控篇&Python&ShellCode分离&File提取&Http协议&Argv参数&Sock管道

#C2远控-ShellCode-认知&环境1.创建工程时关闭SDL检查2.属性->C/C++->代码生成->运行库->多线程 (/MT)如果是debug则设置成MTD3...

Windows系统权限提升篇&计算机用户&进程注入&令牌窃取&服务启动&远程管理

应用场景:1、常规某个机器被钓鱼后门攻击后,我们需要做更高权限操作或权限维持等。2、内网域中某个机器被钓鱼后门攻击后,我们需要对后续内网域做安全测试。 主要当前技术入口点:-当前权限由钓鱼攻...

Windows权限提升篇&溢出漏洞&宝塔面板Bypass&CS插件化&MSF模块化

#Web到Win系统提权-平台&语言&用户1、Web搭建平台差异集成软件,自行搭建,虚拟化等集成软件:宝塔,PhpStudy,XAMMP等自行搭建:自己一个个下载安装搭建配置虚拟化:D...

Linux系统权限提升篇&Vulnhub&Rbash绕过&Docker&LXD镜像&History泄漏

➢ Linux系统提权-普通用户-LXD容器➢ Linux系统提权-普通用户-Docker容器➢ Linux系统提权-普通用户-Rbash绕过#应用场景:获取到Web权限...

Linux系统权限提升篇&Vulnhub&辅助项目&SUID权限&SUDO指令&版本漏洞

#信息收集当前主机的操作系统hostnamectlcat /etc/*-releaselsb_release -acat /etc/lsb-release # Debaincat /etc/redha...

发表评论    

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。

Copyright Your hacksec.top Rights Reserved.

Powered By Z-BlogPHP. - 鄂ICP备2025099786号