*本文原創作者:flagellantX,本文屬FreeBuf原創獎勵計劃,未經許可禁止轉載
魚竿:
基于golang語言的CHAOS遠端後門(作者是巴西的開源愛好者)
https://github.com/tiagorlampert/CHAOS
魚鈎:
ngrok(可以利用github賬号登陸注冊)
https://ngrok.com/
魚餌:
洋蔥路由
(http://www.theonionrouter.com/)
匿名網絡空間
(https://www.upload.ee/)
彩蛋:
釣魚攻擊配置用到的exp
(word宏利用、浏覽器插件利用)
匿名郵箱
(http://www.yopmail.com/)
(https://mytemp.email/)
匿名網上沖浪和洋蔥共享
(内詳)
線上匿名的獲得一個美帝電話号
(内詳)
滲透測試環境系統和平台
(内詳)
魚竿
後門在kali上的安裝:
# Install dependencies (You need Golang and UPX package installed)
$ apt install golang upx-ucl -y
# Clone this repository
$ git clone https://github.com/tiagorlampert/CHAOS.git
# Go into the repository
$ cd CHAOS
# Run
$ go run CHAOS.go
成功運作後如圖:
魚鈎
外網環境布置(ngrok):
注冊ngrok,否則無法使用tcp轉發子產品,可以使用github便捷登陸
https://dashboard.ngrok.com/user/signup
在kali中下載下傳并放置于運作目錄:
添加token目的是使用tcp子產品:
https://dashboard.ngrok.com/get-started
将這行代碼複制并且在kali中執行
開啟ngrok為自己開啟一條外網通道:
./ngrok tcp 4444
标記的兩個需要注意是域名和端口,以我的例子為[0.tcp.ngrok.io]和[19413]
下一步ping出[0.tcp.ngrok.io]的ip位址,以上這一種利用同樣适用于各類python開發的遠端後門和msf都适用,甚至windows也非常适用,是一個非常便捷的端口轉發技巧:
标記好這個ip位址後,進入chaos操作:
選擇1制作一個payload
填入剛剛ping出的ip:
端口寫剛剛标記的端口:
為自己的後門寫個具有欺騙性的名字,并加殼,然後啟動tcp監聽傳回的shell:
監聽的本地端口寫4444,因為我們剛才轉發的就是本機4444端口作為監聽端口,至此後門布置完成,也就是你的魚竿和魚鈎已經準備好了,
魚餌
接下來就是放置魚餌:
後門在chaos的目錄下面,我們把它通過洋蔥路由上傳到網絡空間,
上傳好以後就會有下載下傳連結,這一步就不贅述了:
使用洋蔥路由就是為了匿名化,當然這個網絡空間對于國内使用者可能會網速過慢或者下載下傳不成功,是以我這裡也建議你做好跳闆以後利用exp或者你自己的0day1day刷一些伺服器選擇一台合适的伺服器作為網絡空間(針對目标的地區選擇,考慮法律因素和該地區監管追查能力),但原則是隐藏好自己,可以多利用非本土的網絡和公共的網絡(無cctv錄像監控,将移動電腦放進書包不要電腦包,或者直接使用公共無監管電腦,公共wifi,甚至是黑網吧人流大而雜的網絡區域,使用live系統,加密你的硬碟等等這些在本篇不做贅述)進行,是以這一步就是将後門放置在公共網絡空間http://公共空間/後門.exe
我們先來看一下當受害人執行了後門以後的利用:
help可以看到這款後門可以進行的操作:
你可以看到受害者機器是我的win10專業版64位的電腦,當然光從這裡我隻能看出win10,其它是我自己知道的:
我們可以執行上傳或者下載下傳以及打開url和将後門添加到啟動項的操作進行持久的通路,
這樣等受害者機器重新開機也就可以獲得持續的權限,我的機子裝了防護軟體是360衛士,特效全開病毒庫最新,是以是不是咱們不小心把繞過殺軟的技巧也一并get了呢,接下來我們在360的流量防火牆看看tcp連接配接資訊:
我建構的木馬名稱是explorer.exe,可以看到連接配接的流量是在美國的伺服器上,通過這樣的轉發攻擊的過程就顯的隐蔽多了。
手笨,沒咋寫過文章,這篇文章花了大概兩個多小時,哈哈也算比較用心了,希望你們能喜歡,在這麼久的時間段我将後門再次放入360掃描,結果如下
接下來是附送的彩蛋,隻可意yi會kan不jiu可dong言傳:
word宏利用
github:
浏覽器插件攻擊:
利用hfs+ngrok建構一個建議的網絡伺服器
受害者通路該url後會自動下載下傳執行後門,圖中測試的是我構造的一段exp,寫文章的時候測試點開把整個機子都搞奔潰了,萬幸浏覽器恢複文章沒丢,不然近三個小時的磕碰手打就沒了。
github:
匿名郵件:http://www.yopmail.com/en/
你寫入一個名字以後就可以利用它收發郵件,通過洋蔥浏覽器使用它,這樣子的話不容易通過郵箱反追蹤。
匿名網上沖浪和洋蔥共享:
需要linux機器的ip是牆外ip(那種軟體用一下)
(https://www.parrotsec.org/download-full.fx)
将需要共享的檔案拖入後會生成一個洋蔥連結即完成。
電話号:
(https://www.textnow.com/signup)
(https://mytemp.email/)
(https://www.allareacodes.com/area_code_listings_by_state.htm)
利用匿名郵箱完成注冊
選擇一個區号填入注冊你的号碼
完成
滲透測試環境系統和平台:
VMware Download:
https://www.vmware.com/products/workstation-pro.html
VirtualBox Download:
https://www.virtualbox.org/wiki/Downloads
Kali Linux Download:
https://www.kali.org/downloads/
DVWA/Metasploitable:
https://sourceforge.net/projects/metasploitable/files/Metasploitable2/
bWAP Download:
https://www.vulnhub.com/entry/bwapp-bee-box-v16,53/
Windows 10 Download:
https://www.microsoft.com/en-us/software-download/windows10
補充:
文中涉及到的url點選攻擊别忘了使用連結縮短或者結合xss的僞裝欺騙。
持續控制并将木馬添加到了啟動項,如果重新配置環境會丢失shell的話,提供一個辦法就是使用完kali以後将它挂起,這樣第二次使用就都還在了,想要真正的持續通路你需要改一些東西太複雜了下次文章說啦。
朋友跟我反映CHAOS不可以控制多個機器,我提供一個辦法就是生成後門的時候不同機器針對不同端口,例如A機器監聽4444,B機器的後門重新生成,監聽5555,的确是有些繁瑣,不太适用于那些功能強大的RAT點對點多台控制。
這次實施的模拟攻擊,我把魚竿選擇了CHAOS架構,我今晚都在關注它的繞過殺軟能力和持久性,大緻總結一下我觀察到的後門特點:
每次生成的後門當下可以[未知]風險的身份繞過360衛士全特效
報毒後不進行主動掃描并不會被清除
主動掃描後清除了後門任然沒有丢掉權限可以執行任何提權指令
重點是再次全盤掃描後提示本機無毒
圖檔是我在本機win10測試免殺的時候發現4444端口監聽的後門exe報毒,轉向虛拟機系統發現同樣報毒,但沒被清除,權限正常。主動清除後shell正常,全盤掃無毒,權限正常,運作持續通路指令後重新開機,權限正常。
“經過多日測試CHAOS後門架構可以有效繞過國内各大防毒軟體清除,除360雲清除在短期内可以鑒别病毒以外,其它廠家針對該後門識别能力不強(未識别)”
結語:文章不夠直覺的話我會做視訊教程在我的微網誌@flagellantX,如果文章中有錯誤和不足可以直接指出,可噴可踩,但是有好的攻擊思路和更好的利用模式以及匿名技巧等等這些都可以跟我交流,我非常歡迎你跟我一起探讨共同進步。