基礎篇 16 隱匿攻擊之Kernel

2021-09-23 17:16:56 字數 2593 閱讀 1684

現代環境實施不同級別的安全控制,如端點解決方案,主機入侵防禦系統,防火牆和實時事件日誌分析。另一方面,紅隊參與試圖逃避這些控制,以避免被發現。但是,大多數工具會通過生成各種事件日誌在網路級別或主機級別上產生某種雜訊。

rj mcdown和約書亞theimer已經發布了乙個工具叫redsails中間derbycon 2023年,其宗旨是讓紅隊無需建立任何事件日誌或建立新連線執行目標主機上的命令。這個工具是用python編寫的,它使用乙個開源網路驅動程式(windivert),它與windows核心互動,以便操縱tcp流量到另乙個主機。植入物可以使用被windows防火牆阻擋或未開啟的埠,以便與命令和控**務器進行通訊。應該注意,植入物需要以管理員級別許可權執行。

redsails具有以下依賴項:

pip install pydivert

pip install pbkdf2

easy_install pycrypto

在安裝pycrypto之前還需要microsoft visual c ++編譯器。需要使用以下引數在目標上執行植入:

redsails.exe -a -p -o

需要使用相同的埠和密碼,並在命令和控**務器上建立shell。

redsails - 客戶端引數

即使有直接連線,也不會建立新連線,埠將保持監聽模式。

即使埠未在主機上開啟,仍可以將其用於命令執行而無需建立任何新連線。

redsails - 埠22未啟用

可以從目標上的redsails控制台執行命令。

redsails還支援powershell,因此它可以執行powershell命令。

可以使用其他powershell指令碼,以便在目標上執行進一步的重新調整或從記憶體中收集憑據

也可以通過執行invoke-shellcode powershell指令碼將此shell公升級到meterpreter會話。

以下metasploit模組可用於接收連線:

然而,這將破壞該工具的目的,因為將建立新的連線並且任何主機入侵防禦系統都更容易被檢測到。

基礎篇 4 隱匿攻擊之ICMP

內部網路中的大多數系統都位於防火牆和公司 之後,以便控制入站和出站internet流量。防火牆可以阻止反向並繫結tcp連線。但是大多數情況下允許icmp流量。因此,可以將此協議用作隱蔽通道,以便獲取shell並在目標主機上遠端執行命令。這是一種古老的技術,在有限的環境中大多數時候都使用它來接收she...

基礎篇 7 隱匿攻擊之Gmail

gmail為使用者和企業提供電子郵件功能。這意味著允許大多數組織中的gmail伺服器流量。來自另一方的紅隊操作需要盡可能隱蔽,因此使用icmp和smtp 等合法協議來執行命令到受感染的主機是必不可少的。為此,web gcat和gdog上有兩個重要的工具,它們都可以使用gmail作為命令和控 務器。g...

基礎篇 9 隱匿攻擊之Twitter

社交 網路是公司營銷團隊的乙個很好的工具。如果使用得當,他們往往會吸引新的業務。因此,幾乎不可能將流量阻塞到twitter和facebook等社交 平台。它可以用於測試的優點是因為有各種命令和控制工具可以隱藏他們在社交 網路流量背後的活動。使用twitter的乙個公知的命令和控制工具叫做twitto...