说到hvv实战,最怕遇到那些"只允许用DCOM协议"的奇葩要求。上周某省政务云演练里,甲方硬性规定必须用DCOM做主机跳转。用GoExec的dcom exec模块时发现,它居然支持指定DCOM对象的CLSID,这在应对某些安全设备的协议指纹检测时太关键了。虽然执行时控制台会报RPC_E_SERVERCALL_RETRYLATER,但实际进程确实在目标机器跑起来了。
发现GoExec的模块化设计特别适合写playbook。比如用WMI模块的proc方法执行内存提权,再用TSCH模块植入反弹shell,最后用SCMR清理痕迹——整个过程就像搭乐高,每个模块都能单独测试。昨天测试时甚至用--log-file把JSON日志喂给SIEM,结果发现某些检测规则对DCOM协议的横向移动完全没感知。
想要获取工具的小伙伴可以直接拉至文章末尾
我们来提取并讨论上述工具描述中涉及的网络安全关键技术点:
-
技术要点:通过DCOM、WMI、SCMR等协议实现跨主机命令执行,结合OPSEC优化规避检测。例如,GoExec工具支持多种协议模块(如TSCH创建随机GUID命名的计划任务),执行后自动清理痕迹,适合隐蔽信标或权限维持场景。无线网络中,非法AP检测与SSID隐藏技术可防止中间人攻击,如通过Portal认证和MAC绑定限制非法接入。
-
加密技术:对称加密(AES)、非对称加密(RSA)和哈希算法(SHA-256)保障数据传输与存储安全,例如金融场景中使用证书认证(PFX文件)结合Kerberos协议。身份认证:双因素认证(2FA)、生物识别及数字证书(PKI)验证用户合法性,如零信任架构中动态权限管理和持续验证机制。
-
关联规则挖掘:通过Apriori算法识别攻击模式,例如分析网络流量中的频繁项集,发现异常登录或数据泄露。入侵防御系统(IPS):结合威胁情报库实时阻断攻击,如锐捷防火墙内置腾讯安全威胁库,精准拦截恶意流量。异常检测:基于统计方法(Z-score、IQR)或机器学习(孤立森林)识别偏离正常行为的模式,适用于APT攻击溯源。
-
接入控制:隐藏SSID、禁用DHCP动态分配,通过ACL限制访问权限,防止非法用户盗用带宽或窃取商业机密。链路保护:WPA3加密协议替代WEP/WPA2,结合WIDS/WIPS检测并阻断非法AP或伪造热点,如政府项目中部署非法AP检测系统。数据安全:禁用SSID广播、动态修改服务集标识符(SSID),确保无线传输的完整性。
-
动态权限:永不信任、持续验证,结合微隔离技术限制横向移动,如在护网演练中通过SCMR模块注入DLL但规避EDR检测。最小权限原则:基于角色的访问控制(RBAC)和属性基加密(ABE),在金融场景中限制敏感操作权限,防止越权访问。自动化响应:SIEM系统整合JSON日志分析,结合剧本(Playbook)实现自动化威胁处置,如用GoExec模块组合生成攻击链。
下载链接
https://github.com/FalconOpsLLC/goexec
原文始发于微信公众号(白帽学子):Windows横向渗透工具
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论