内网渗透系列:隐匿攻击方法
作者:互联网
目录
前言
学习并小结下各种隐匿通道方法
一、C&C(command and control)
1、ICMP
防火墙可以阻止反向和绑定 TCP 连接。
然而,大多数时候 ICMP 流量是允许的,故可以将此协议用作隐蔽通道,以获取 shell 并在目标主机上远程执行命令
工具:
2、DNS
在最受限制的环境中,也应允许 DNS 流量解析内部或外部域
这可以用作目标主机和命令和控制服务器之间的通信通道,命令和数据包含在 DNS 查询和响应中
工具:
- dnscat2:https://github.com/iagox86/dnscat2
- dnscat2-powershell:https://github.com/lukebaggett/dnscat2-powershell
3、Gmail
Gmail 为用户和企业提供电子邮件功能,这意味着大多数组织中都允许向 Gmail 服务器发送流量
可以使用 Gmail 作为命令和控制服务器:定期向 Gmail 收件箱发送信标,并检查是否有任何带有活动 ID 的新邮件。如果有,这些电子邮件中包含的命令将在受感染主机上执行,当收到新响应时,此信息将传递到控制台
工具:
4、DropBox
许多公司将 DropBox 用作共享工具和托管数据
因此可以使用 DropBox API 在控制器和植入物之间进行通信,在内存中运行并且流量是加密
工具:
5、powershell
大多数现代 Windows 都使用 PowerShell,并且通常管理员不会限制普通用户对 PowerShell 控制台的访问
工具:
6、Windows COM
The native Windows Script Host engine可用作一种命令和控制方法
工具:
7、Telegram
利用Telegram中的bots
工具:
8、Twitter
类似Gmail的思路,利用Twitter进行命令与控制
工具:
9、website keyword
在网站上查找指定的关键字,如果该关键字存在,则将执行有效负载
工具:
- Powershell-C2:https://github.com/enigma0x3/Powershell-C2
10、WebDAV
WebDAV 是用于 Web 内容创作操作的 HTTP 协议的扩展
PROPFIND 方法用于检索存储在 WebDAV 服务器中的资源的属性:包括文件名、内容长度、创建和修改日期等
可以将payload放入PROPFIND 方法
工具:
- WebDavC2:https://github.com/Arno0x/WebDavC2
11、HTTPS
大多数端点产品执行一些深度数据包检查以丢弃任何任意连接。使用支持加密的协议并使用证书固定生成的流量可以规避大多数产品
工具:
- ThunderShell:https://github.com/Mr-Un1k0d3r/ThunderShell
12、Office 365
参考如何利用Office 365的任务功能搭建Cobalt Strike C2通道
13、kernel
使用一个开源网络驱动程序 (WinDivert),它与 Windows 内核交互,以便操纵流向另一台主机的 TCP 流量
植入物可以使用被 windows 防火墙阻止或未打开的端口,以便与命令和控制服务器进行通信。需要注意的是,植入需要以管理员级别的权限执行,但而无需创建任何事件日志或建立新连接
工具:
14、Website
构建一个假网站来传递流量
工具:
15、WebSocket
某些 Web 网关不检查 WebSocket内容
可以克隆一个合法网站,该网站将托管在网络服务器(攻击者机器)中并包含恶意 websocket 代码
工具:
16、Images
图片可以隐藏命令、有效载荷和脚本
工具:
- C2:https://github.com/et0x/C2
- Invoke-PSImage:https://github.com/peewpw/Invoke-PSImage
17、Web Interface
直接看工具:
18、WMI
Windows Management Instrumentation (WMI) 是一项 Microsoft 技术,旨在允许管理员通过网络执行本地和远程管理操作。由于 WMI 是自 Windows 98 以来存在的 Windows 生态系统的一部分,因此它几乎可以在所有网络中使用
工具:
- WmiSploit:https://github.com/secabstraction/WmiSploit
- WMIOps:https://github.com/FortyNorthSecurity/WMIOps
- WMImplant:https://github.com/FortyNorthSecurity/WMImplant
19、JavaScript
使用 JavaScript 有效载荷和 HTTP 协议在服务器和目标主机之间进行通信
工具:
- MyJSRat:https://github.com/Ridter/MyJSRat
- JSRat-Py:https://github.com/Hood3dRob1n/JSRat-Py
- JSRAT:https://github.com/aspiggy/JSRAT
- Javascript-Backdoor:https://github.com/3gstudent/Javascript-Backdoor
二、Fronting
1、Domain Fronting
参见:一文搞明白域前置(Domain Fronting)技术
2、Domain Borrowing
3、Tor Fronting
结语
对隐匿攻击方法做了个小结
标签:Domain,github,系列,渗透,隐匿,Windows,https,工具,com 来源: https://blog.csdn.net/weixin_44604541/article/details/119104733