欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

C&C浏览器

来源:本站整理 作者:佚名 时间:2019-01-03 TAG: 我要投稿

红队成员总是会着重于研究新的方法来回连到他们的C&C设备。红队使用标准协议或者原生系统功能来进行C&C操作的主要原因是绕过蓝队的某些限制和不被蓝队发现。0x09AL大牛用go语言开发了Browser-C2,利用浏览器(chrome)作为通信通道,可以绕过基于主机的防火墙。0x09AL在他的博客中发了一篇文章来讲解浏览器-C2这个工具的原理和基本操作,有兴趣的可以去看看。
该工具需要安装以下组件才能成功运行:
go get -u github.com/gorilla/mux
go get -u github.com/chzyer/readline
可以使用下列命令将implant编译为可执行文件,不过在编译之前,需要修改agent.go文件,在里面加上C2服务器的IP地址。
go build agent.go

Jquery文件也需要修改,将C2服务器的IP地址赋值给变量url,如图所示:

主要的C2应用可以通过下列命令进行编译:
go build
当implant在目标主机Chrome浏览器执行时将会启动和自动连接到C2服务器终端,如图:

如图可见,这将和我们的C2服务器建立连接,可以在这里执行命令来获取主机信息,如图:

也可以使用wmic命令来进行主机侦察,命令如下:
wmic useraccount list full

Browser-C2不支持服务器与被入侵主机之间的通信加密,并且功能十分有限,因为它不能执行powershell脚本,只能执行最基本的命令。对于更多的操作,我们可以考虑使用meterpreter或者PoshC2。MSF模块web delivery能够自动生成并部署scriptlet。命令如下:
exploit/multi/script/web_delivery

regsvr32是Casey Smith发现的一种可以绕过APPlocker策略的常见方法,这种技术非常可靠,能够远程执行任意代码。可以在现有的Browser-C2 agent会话中执行scriptlet,如图:

当payload执行时会打开一个meterpreter会话,meterpreter可以提供更多强大的功能:

利用相同的方法也可以与PoshC2建立连接,来执行基于powershell的后渗透攻击活动。

PoshC2的implant处理器会接收连接:

需要先选择一个关联ID才能与implant进行交互。PoshC2包含了很多的powershell模块,可以用来执行批量主机侦察,抓取凭证,比如mimikatz,如图:

Mimikatz的输出结果将会显示在PoshC2的控制台上,如图:

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载