[蓝队必备]自动化识别红队服务器

admin 2023年11月28日13:05:23评论28 views字数 984阅读3分16秒阅读模式

关注本公众号,长期更新技术文章!

/ 项目起因 /

某次驻场,每天蹦出恶意 IP 巨量(其中掺杂着各种代理服务器/跳板机/V批N/肉鸡),又要求每天有溯源报告,某平台具有ip导出功能,手动识别攻击队服务器太浪费精力,故此开发此脚本,实现自动化识别。

项目本质类似于攻击队使用的指纹识别工具。

制作不易,需要将找不到指纹的每个平台进行搭建一次,点个关注呗

/ 实现原理 /

Fofa+手动搭建服务,寻找特殊指纹,保存记录,并实现

使用requests模块发送请求,并且通过搜集到的指纹进行识别

1


   

使用教程

1.1


   

已识别服务

AWVS-Web 漏洞扫描器

ARL-灯塔资产收集服务

大保健-边界资产梳理工具

H-资产收集工具

LangSrc-资产监控平台

Manjusaka-牛屎花 C2 管理

medusa-美杜莎红队武器库平台

Nemo-自动化信息收集

Nessus-服务漏扫

NextScan-黑盒扫描

NPS-内网穿透工具

viper-C2 管理

1.2


   

实现方式

1.死循环读法-单条 ip,适用于懒惰人群,因本脚本开发只为实现在 n 多恶意 ip 中提取出更为有效的信息,所以不建议此方法,但为方便,还是写了此方法

2.文件读法-将目标 ip 放入 target.txt 自动化识别

1.3


   

使用教程


直接运行main.py

常驻模式:

[蓝队必备]自动化识别红队服务器

文件批量模式:

[蓝队必备]自动化识别红队服务器


1.4


   

手动添加指纹

在 rule 文件夹下建立 xxx.py

并按此模板进行更改


import requestsdef check(ip,port):    try:        res =requests.get(f"https://{ip}:{port}/login",verify=False,timeout=3)        res.encoding="utf-8"        if "资产灯塔系统" in res.text:            print(f"https://{ip}:{port}/login----灯塔ARL")    except:        pass


最后在 infoTest.py 进行导入并引用即可。

此项目长期更新,取决于是否出现常见的新的系统,如有需要增加的,请放在 Github 的 lssues.

1.5


   

手动添加识别端口号

为了实现快速识别,并不对全端口进行扫描,而是对互联网资产比较常用的端口进行扫描,手动添加方式如下:

编辑main.py

加入端口探测列表:

[蓝队必备]自动化识别红队服务器

获取方式:后台回复:"fastbt"

原文始发于微信公众号(知攻善防实验室):[蓝队必备]自动化识别红队服务器

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年11月28日13:05:23
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   [蓝队必备]自动化识别红队服务器https://cn-sec.com/archives/2247084.html

发表评论

匿名网友 填写信息