1.3!免杀防溯源执行命令上线工具

admin
admin
admin
103573
文章
87
评论
2023年7月25日10:15:53评论45 views字数 835阅读2分47秒阅读模式
声明:该公众号大部分文章来自作者日常学习笔记,也有部分文章是经过作者授权和其他公众号白名单转载,未经授权,严禁转载,如需转载,联系开白。
请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。

 

现在只对常读和星标的公众号才展示大图推送,建议大家把潇湘信安“设为星标”,否则可能看不到了!

 

工具介绍

该工具利用公开笔记本网站作为信息传递的中间服务器,能够让蓝队无法追溯到VPS的位置。工具能够有效避免被大多数安全设备及态势感知系统发现,同时在多个杀毒软件中免杀。在红队攻防活动中,作者针对需要隐藏C2回连地址及流量的需求,创造了该工具。

 

优点:

免杀有效避免被溯源AES加密二进制木马不包含c2地址,通过noterce传递c2指令

 

缺点:

15秒执行一次命令(但可直接上线cs)

 

免杀效果:目前实测可过核晶和火绒

1.3!免杀防溯源执行命令上线工具
1.3!免杀防溯源执行命令上线工具

 

工具原理

1. 使用公开笔记网站https://note.ms做中间服务器。uri /ba为一个笔记的地址,每个uri都对应一个笔记。
1.3!免杀防溯源执行命令上线工具

 

2. 通过笔记本的读写来实现作为被控端和控制端之间的流量传递载体,具体的流程如下图所示:

1.3!免杀防溯源执行命令上线工具

 

docker部署

noterce前端 启动命令,默认端口8888,可在docker-compose.yaml更改port。

curl -LjO https://github.com/xiao-zhu-zhu/noterce/releases/download/1.3/noterce.zip
unzip noterce.zip
cd noterce
docker-compose up -d
工具使用

具体使用方法可以参考之前分享的老版:防溯源!无VPS也可用的C2小工具

 

打开部署好的网站

1.3!免杀防溯源执行命令上线工具

把木马的配置都填好后,点击木马下载

1.3!免杀防溯源执行命令上线工具

 

命令执行方法(需要等待20秒,可多行执行命令)

1.3!免杀防溯源执行命令上线工具

 

cs上线

1.3!免杀防溯源执行命令上线工具
1.3!免杀防溯源执行命令上线工具

 

下载地址

https://github.com/xiao-zhu-zhu/noterce

 

原文始发于微信公众号(潇湘信安):1.3!免杀防溯源执行命令上线工具

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年7月25日10:15:53
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   1.3!免杀防溯源执行命令上线工具https://cn-sec.com/archives/1904809.html

发表评论

匿名网友 填写信息