BounceBack是一款针对红队人员操作的安全性增强工具,该工具功能非常强大,且提供了高度可定制和可配置的具备WAF功能的反向代理,可以帮助红队研究人员隐藏C2、沙箱和扫描工具等红队基础设施。
BounceBack支持通过各种过滤器及过滤器组合,配合实时流量分析来隐藏安全分析行为,以防止被非法访问者检测到。
工具发布的项目库中包含了预配置的屏蔽关键词列表以及阻止/允许的IP地址列表。
1、基于布尔(和、或、非)的规则组合; 2、IP和子网分析; 3、IP Geolocation字段检查; 4、反向查询域名探针; 5、原始数据包正则表达式匹配; 6、可扩展的C2配置流量验证;
rules:
- name: default_ip_banlist
type: ip
params:
list: data/banned_ips.txt
- *another rule*
1、name:唯一规则名称,管道中需要通过名称来使用规则; 2、type:规则类型,例如ip或not::ip; 3、params:传递给基础规则的参数,每一个基础规则都有唯一的参数;
1、HTTPS(Web基础设施); 2、DNS(DNS隧道); 3、原始TCP(带或不带TLS)和UDP(自定义协议);
proxies:
- name: example http proxy
type: http
listen: 0.0.0.0:80
target: http://127.0.0.1:5002
timeout: 10s
# tls:
# - cert: test/testdata/tls/cert_bounceback_test.pem
# key: test/testdata/tls/key_bounceback_test.pem
# - cert: test/testdata/tls/cert_example_com.pem
# key: test/testdata/tls/key_example_com.pem
# - cert: test/testdata/tls/cert_example_com.pem
# key: test/testdata/tls/key_example_com.pem
# domain: "*.example.org"
filter_settings:
reject_action: redirect
reject_url: https://www.youtube.com/watch?v=dQw4w9WgXcQ
reject_threshold: 5
noreject_threshold: 5
filters:
- rule: default_ip_acceptlist
action: accept
- rule: default_ip_banlist
action: reject
# - rule: default_ip_allowlist
# action: reject
- rule: default_geo_rule
action: reject
- rule: default_lookup_rule
action: reject
# - rule: example_not_time_rule
# action: reject
- rule: default_regexp_rule
action: reject
# - rule: example_malleable_rule
# action: reject
- *another proxy config*
git clone https://github.com/D00Movenok/BounceBack.git
goreleaser release --clean --snapshot
bash scripts/collect_banned_ips.sh > data/banned_ips.txt
./bounceback
-c, --config:YAML格式配置文件的路径地址,默认为「config.yml」; -l, --log:日志文件路径地址,默认为「bounceback.log」; -v, --verbose:开启Verbose模式日志(0 = info,1=debug,2+=trace);
原文始发于微信公众号(FreeBuf):BounceBack:一款针对红队操作的安全性增强重定向工具
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论