gmail為使用者和企業提供電子郵件功能。這意味著允許大多數組織中的gmail伺服器流量。來自另一方的紅隊操作需要盡可能隱蔽,因此使用icmp和smtp 等合法協議來執行命令到受感染的主機是必不可少的。為此,web gcat和gdog上有兩個重要的工具,它們都可以使用gmail作為命令和控**務器。
gcat是基於python的框架,它使用gmail來執行命令和控**務器。gcat中包含的植入物將定期與gmail收件箱一起顯示,並檢查是否有任何帶有活動id的新訊息。如果有,這些電子郵件中包含的命令將在受感染的主機上執行,當收到新響應時,該資訊將傳遞給控制台。
為了允許gcat與gmail通訊,需要啟用以下設定。
此外,還需要從google帳戶設定啟用imap設定。
下一步是將implant.py檔案轉換為可執行檔案。有多種方法可以實現,但最簡單的方法是建立乙個setup.py檔案,其中包含以下**並使用py2exe。
使用以下引數執行python.exe將建立可執行檔案。
從植入物在主機上執行的那一刻起,攻擊者就可以通過gmail傳送命令。
以下命令將列出正在執行植入的主機。windows-post2008server-6.2.9200-amd64之前的任何內容都是id。這可以用於與主機和傳送命令互動,也可以用於檢視這些命令的輸出。
gcat提供了執行cmd命令的能力。因此,可以執行各種命令以列舉系統資訊。
通過指定程序id,將檢索命令的輸出。
這同樣適用於任何其他命令,如ipconfig。
gdog是gcat的繼承者,它實際上是相同的命令和控制工具,但更先進,因為它可以檢索地理定位資訊,它具有鍵盤記錄功能,它支援加密通訊和各種其他功能。但是它有更多依賴項,因為它需要安裝以下模組才能將檔案編譯為可執行檔案:client.py
與gcat(imap和安全性較低的應用程式)一樣,需要應用相同的gmail設定。只要所有模組都已成功安裝且沒有錯誤,就可以使用相同的**將client.py轉換為可執行檔案。
# setup.py
from distutils.core import setup
import py2exe
setup(console=['client.py'])
從client.exe(植入物)在遠端主機上執行的那一刻起,各種命令都可以通過gmail以加密形式傳送。
以下螢幕截圖演示了gdog可以執行的一些活動:
系統資訊:
訊息框:
執行命令:
基礎篇 4 隱匿攻擊之ICMP
內部網路中的大多數系統都位於防火牆和公司 之後,以便控制入站和出站internet流量。防火牆可以阻止反向並繫結tcp連線。但是大多數情況下允許icmp流量。因此,可以將此協議用作隱蔽通道,以便獲取shell並在目標主機上遠端執行命令。這是一種古老的技術,在有限的環境中大多數時候都使用它來接收she...
基礎篇 9 隱匿攻擊之Twitter
社交 網路是公司營銷團隊的乙個很好的工具。如果使用得當,他們往往會吸引新的業務。因此,幾乎不可能將流量阻塞到twitter和facebook等社交 平台。它可以用於測試的優點是因為有各種命令和控制工具可以隱藏他們在社交 網路流量背後的活動。使用twitter的乙個公知的命令和控制工具叫做twitto...
基礎篇 16 隱匿攻擊之Kernel
現代環境實施不同級別的安全控制,如端點解決方案,主機入侵防禦系統,防火牆和實時事件日誌分析。另一方面,紅隊參與試圖逃避這些控制,以避免被發現。但是,大多數工具會通過生成各種事件日誌在網路級別或主機級別上產生某種雜訊。rj mcdown和約書亞theimer已經發布了乙個工具叫redsails中間de...