[蓝队必备]自动化识别红队服务器

关注本公众号，长期更新技术文章！

/ 项目起因 /

某次驻场，每天蹦出恶意 IP 巨量（其中掺杂着各种代理服务器/跳板机/V批N/肉鸡），又要求每天有溯源报告，某平台具有ip导出功能，手动识别攻击队服务器太浪费精力，故此开发此脚本，实现自动化识别。

项目本质类似于攻击队使用的指纹识别工具。

制作不易，需要将找不到指纹的每个平台进行搭建一次，点个关注呗

/ 实现原理 /

Fofa+手动搭建服务，寻找特殊指纹，保存记录，并实现

使用requests模块发送请求，并且通过搜集到的指纹进行识别

1

使用教程

1.1

已识别服务

AWVS-Web 漏洞扫描器

ARL-灯塔资产收集服务

大保健-边界资产梳理工具

H-资产收集工具

LangSrc-资产监控平台

Manjusaka-牛屎花 C2 管理

medusa-美杜莎红队武器库平台

Nemo-自动化信息收集

Nessus-服务漏扫

NextScan-黑盒扫描

NPS-内网穿透工具

viper-C2 管理

1.2

实现方式

1.死循环读法-单条 ip，适用于懒惰人群，因本脚本开发只为实现在 n 多恶意 ip 中提取出更为有效的信息，所以不建议此方法，但为方便，还是写了此方法

2.文件读法-将目标 ip 放入 target.txt 自动化识别

1.3

使用教程

直接运行main.py

常驻模式:

文件批量模式：

1.4

手动添加指纹

在 rule 文件夹下建立 xxx.py

并按此模板进行更改

import requestsdef check(ip,port):    try:        res =requests.get(f"https://{ip}:{port}/login",verify=False,timeout=3)        res.encoding="utf-8"        if "资产灯塔系统" in res.text:            print(f"https://{ip}:{port}/login----灯塔ARL")    except:        pass

最后在 infoTest.py 进行导入并引用即可。

此项目长期更新，取决于是否出现常见的新的系统，如有需要增加的，请放在 Github 的 lssues.

1.5

手动添加识别端口号

为了实现快速识别，并不对全端口进行扫描，而是对互联网资产比较常用的端口进行扫描，手动添加方式如下：

编辑main.py

加入端口探测列表：

获取方式：后台回复:"fastbt"

原文始发于微信公众号（知攻善防实验室）：[蓝队必备]自动化识别红队服务器