工具介绍
![NB!防溯源免杀上线Tools(附下载)]( "NB!防溯源免杀上线Tools(附下载)")
![NB!防溯源免杀上线Tools(附下载)]( "NB!防溯源免杀上线Tools(附下载)")
工具原理
1. 使用公开笔记网站https://note.ms做中间服务器。uri /ba为一个笔记的地址,每个uri都对应一个笔记。
![NB!防溯源免杀上线Tools(附下载)]( "NB!防溯源免杀上线Tools(附下载)")
2. 通过笔记本的读写来实现作为被控端和控制端之间的流量传递载体,具体的流程如下图所示:
docker部署
工具使用
![NB!防溯源免杀上线Tools(附下载)]( "NB!防溯源免杀上线Tools(附下载)")
![NB!防溯源免杀上线Tools(附下载)]( "NB!防溯源免杀上线Tools(附下载)")
![NB!防溯源免杀上线Tools(附下载)]( "NB!防溯源免杀上线Tools(附下载)")
![NB!防溯源免杀上线Tools(附下载)]( "NB!防溯源免杀上线Tools(附下载)")
![NB!防溯源免杀上线Tools(附下载)]( "NB!防溯源免杀上线Tools(附下载)")
下载地址
https://github.com/xiao-zhu-zhu/noterce/
该工具利用公开笔记本网站作为信息传递的中间服务器,能够让蓝队无法追溯到VPS的位置。工具能够有效避免被大多数安全设备及态势感知系统发现,同时在多个杀毒软件中免杀。在红队攻防活动中,作者针对需要隐藏C2回连地址及流量的需求,创造了该工具。
优点:
免杀有效避免被溯源AES加密二进制木马不包含c2地址,通过noterce传递c2指令
缺点:
15秒执行一次命令(但可直接上线cs)免杀效果:目前实测可过核晶和火绒
noterce前端 启动命令,默认端口8888,可在docker-compose.yaml更改port。
curl -LjO https://github.com/xiao-zhu-zhu/noterce/releases/download/1.3/noterce.zipunzip noterce.zipcd noterceup -d
可参考我之前分享的老版使用方法:防溯源!无VPS也可用的C2小工具
打开部署好的网站
把木马的配置都填好后,点击木马下载
命令执行方法(需要等待20秒,可多行执行命令)
cs上线
原文始发于微信公众号(渗透Xiao白帽):NB!防溯源免杀上线Tools(附下载)
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论