揭秘网络攻击:Payload的含义与作用
【CS学习笔记】5、如何建立Payload处理器
这一小节学习起来感觉有些吃力,里面很多概念理解的不是很清楚,如果有大佬看到描述错误的地方欢迎留言指正,避免误导他人。
再次声明,这只是我的个人学习笔记,不要当成教程去看,建议想学习CS的小伙伴可以看看A-TEAM的中文手册或者网上的一些视频教程。
0x00 监听器管理
监听器是等待被入侵系统连接的一个服务。
主要是为了接受payload回传的各类数据,类似于MSF中handler的作用。
比如payload在目标机器执行以后,就会回连到监听器然后下载执行真正的shellcode代码。
一旦监听器建立起来,团队成员只需要知道这个监听器的名称即可,不用关心监听器背后的基础环境,接下来将深入了解如何准确配置监听器。
一个监听器由用户定义的名称、payload 类型和几个特定于 payload 的选项组成。
监听器的名字一般由以下结构组成:
例如:
0x01 什么是传输器
攻击载荷payload就是攻击执行的内容。攻击载荷通常被分为两部分:传输器stager 和传输体stage。
传输器stager是一个小程序,用于连接、下载传输体stage,并插入到内存中。
传输器里真正用于攻击的代码是在传输体里。
需要传输体是因为在很多攻击中对于能加载进内存,并在成功漏洞利用后执行的数据大小存在严格限制。这就导致在攻击成功时,很难嵌入额外的攻击载荷,正是因为这些限制,才使得传输器变得有必要了。
0x02 创建监听器
在CS客户端中打开 Cobalt Strike —》Listeners,之后点击Add,此时弹出New Listener窗口,在填写监听器的相关信息之前,需要先来了解监听器有哪些类型。
Cobalt Strike有两种类型的监听器:
Beacon直译过来就是灯塔、信标、照亮指引的意思,Beacon是较为隐蔽的后渗透代理,笔者个人理解Beacon类型的监听器应该是平时比较常用的。Beacon监听器的名称例如:
windows/beacon_http/reverse_http
Foreign直译就是外部的,这里可以理解成对外监听器,这种类型的监听器主要作用是给其他的Payload提供别名,比如Metasploit 框架里的Payload,笔者个人理解Foreign监听器在一定程度上提高了CS的兼容性。对外监听器的名称例如:
windows/foreign/reverse_https
0x03 Beacon是什么0x04 Beacon的类型
HTTP和HTTPS Beacon也可以叫做Web Beacon。默认设置情况下,HTTP 和 HTTPS Beacon 通过 HTTP GET 请求来下载任务。这些 Beacon 通过 HTTP POST 请求传回数据。
windows/beacon_http/reverse_http windows/beacon_https/reverse_https
windows/beacon_dns/reverse_dns_txt windows/beacon_dns/reverse_http
SMB Beacon也可以叫做pipe beacon
windows/beacon_smb/bind_pipe
0x05 创建一个HTTP Beacon
点击 Cobalt Strike --> Listeners 打开监听器管理窗口,点击Add,输入监听器的名称、监听主机地址,因为这里是要创建一个HTTP Beacon,所以其他的默认就行,最后点击Save
此时可以测试一下刚才设置的监听器,点击Attack --> Web Drive-by --> Scripted Web Delivery(s) ,在弹出的窗口中选择刚才新添的Listener,因为我的靶机是64位的,所以我把Use x64 payload也给勾选上了,最后点击Launch
复制弹窗的命令,放到靶机中运行
此时,回到CS,就可以看到已经靶机上线了
0x06 重定向器
刚才创建了一个HTTP Beacon,接下来来看一下重定向器Redirectors
重定向器是一个位于CS团队服务器和目标网络之间的服务器,这个重定向器通俗的来说就是一个代理工具,或者说端口转发工具,担任CS服务器与目标服务器之间的跳板机角色,整体流量就像下面这样。
重定向器在平时的攻击或者防御的过程中起到很重要的作用,主要有以下两点:
0x07 创建一个重定向器
这里就使用自己的内网环境作为测试了,首先理清自己的IP
CS服务器IP:192.168.175.129
目标靶机IP:192.168.175.130
重定向器IP:192.168.175.132、192.168.175.133
首先,需要先配置重定向器的端口转发,比如这里使用HTTP Beacon,就需要将重定向器的80端口流量全部转发到CS服务器上,使用socat的命令如下:
如果提示没有socat命令,安装一下即可。重定向器设置好之后,就新建一个HTTP Beacon,并把重定向器添加到HTTP Hosts主机列表中
此时可以测试一下重定向器是否正常工作,在CS中打开 View --> Web Log,之后浏览器访问CS服务器地址,也就是这里的192.168.175.129
可以看到CS是能够正常接收到流量的,说明重定向器已经配置OK了,此时按照上面创建一个HTTP Beacon的操作,创建一个HTTP Beacon,并在靶机中运行
当靶机上线的时候,观察靶机中的流量,可以看到与靶机连接的也是重定向器的IP
在CS中也可以看到上线主机的外部IP也是重定向器的IP,此时如果关闭一个重定向器,系统依旧可以正常工作。
0x08 HTTPS Beacon
HTTPS Beaocn和HTTP Beacon一样,使用了相同的Malleable C2配置文件,使用GET和POST的方式传输数据,不同点在于HTTPS使用了SSL,因此HTTPS Beacon就需要使用一个有效的SSL证书,具体如何配置可以参考: cobaltstrike.com/help-m...
原文链接: teamssix.com/year/20041...
payloads是什么意思?
payloads 是指向 Web 应用程序发送的恶意输入。攻击者可以使用 payload 来利用漏洞,执行潜在的破坏代码。Payloads 的本质是一串数据,而不是程序代码,因此它可以以许多有效负载的形式呈现,如 SQL 注入攻击和跨站点脚本 (XSS) 攻击。除了破坏性的攻击,也可以使用有效的有效负载来测试应用程序的安全性。
在攻防战场中,payload 工具是一个必要的武器。例如,Metasploit 渗透测试框架大量使用有效负载,它可以自动化攻击过程,有效降低攻击难度。攻击者也可以使用自定义有效负载,以配合查找漏洞的进程,来成功利用应用程序。对于安全从业人员而言,学习 payload 的使用,可以提高自身的漏洞挖掘能力和对应急响应的技能。
payloads 的使用范围很广,不仅仅局限于网络安全领域。例如,黑客可以使用 payload 来感染手机或电脑病毒,而开发人员可以使用有效负载来测试您的应用程序的安全性。无论是攻击还是防御,理解 payload 的工作原理和使用方法,都是非常重要的。因此,安全研究者和应用程序开发者都应该学会如何识别和阻止 payload。
å ³äºIPv6ä¸IPv4åºç¨ä¸çåºå«
IPä½ä¸ºäºèç½çéè¦çæ¡¥æ¢ï¼æ¯ä¸ºè®¡ç®æºç½ç»ç¸äºè¿æ¥è¿è¡éä¿¡è设计çåè®®ï¼æ£æ¯å 为æäºIPåè®®ï¼å ç¹ç½æå¾ä»¥è¿ éåå±æ为ä¸çä¸æ大çãå¼æ¾ç计ç®æºéä¿¡ç½ç»ãå¾å¤äººå¯¹IPv4ä¸IPv6æä»ä¹åºå«?ä¸æ¯å¾äºè§£ï¼æ¥ä¸æ¥è¯¦ç»ä¸ºå¤§å®¶ä»ç»IPv4ä¸IPv6çåºå«æ¯ä»ä¹ã
IPV4åIPV6çåºå«ä¸ãæ©å±äºè·¯ç±å寻åçè½å
IPv6æIPå°åç±32ä½å¢å å°128ä½ï¼ä»èè½å¤æ¯ææ´å¤§çå°å空é´ï¼ä¼°è®¡å¨å°ç表é¢æ¯å¹³ç±³æ4*10^18个IPv6å°åï¼ä½¿IPå°åå¨å¯é¢è§çå°æ¥ä¸ä¼ç¨å®ã
IPv6å°åçç¼ç éç¨ç±»ä¼¼äºCIDRçåå±å级ç»æï¼å¦åçµè¯å·ç ãç®åäºè·¯ç±ï¼å å¿«äºè·¯ç±é度ãå¨å¤ç¹ä¼ æå°åä¸å¢å äºä¸ä¸ªâèå´âåï¼ä»è使å¤ç¹ä¼ æä¸ä» ä» å±éå¨åç½å ï¼å¯ä»¥æ¨ªè·¨ä¸åçåç½ï¼ä¸åçå±åç½ã
äºãæ¥å¤´æ ¼å¼çç®å
IPv 4æ¥å¤´æ ¼å¼ä¸ä¸äºåä½çåæ被丢å¼æ被å为æ©å±æ¥å¤´ï¼ä»èéä½äºå å¤çåæ¥å¤´å¸¦å®½çå¼éãè½ç¶IPv6çå°åæ¯IPv4å°åç4åãä½æ¥å¤´åªæå®ç2å大ã
ä¸ã对å¯é项æ´å¤§çæ¯æ
IPv6çå¯é项ä¸æ¾å ¥æ¥å¤´ï¼èæ¯æ¾å¨ä¸ä¸ªä¸ªç¬ç«çæ©å±å¤´é¨ãå¦æä¸æå®è·¯ç±å¨ä¸ä¼æå¼å¤çæ©å±å¤´é¨.è¿å¤§å¤§æ¹åäºè·¯ç±æ§è½ãIPv6æ¾å®½äºå¯¹å¯é项é¿åº¦çä¸¥æ ¼è¦æ±(IPv4çå¯é项æ»é¿æå¤ä¸º40åè)ï¼å¹¶å¯æ ¹æ®éè¦éæ¶å¼å ¥æ°é项ãIPV6çå¾å¤æ°çç¹ç¹å°±æ¯ç±é项æ¥æä¾çï¼å¦å¯¹IPå±å®å ¨(IPSEC)çæ¯æï¼å¯¹å·¨æ¥(jumbogram)çæ¯æ以å对IPå±æ¼«æ¸¸(Mobile-IP)çæ¯æçã
åãQoSçåè½
å ç¹ç½ä¸ä» å¯ä»¥æä¾åç§ä¿¡æ¯ï¼ç¼©ç人们çè·ç¦».è¿å¯ä»¥è¿è¡ç½ä¸å¨±ä¹ãç½ä¸VODç°æ£è¢«å家çå¾çç«æ天ï¼è大å¤è¿åªæ¯åVODçæ°´å¹³ï¼ä¸åªè½å¨å±åç½ä¸å®ç°ï¼å ç¹ç½ä¸çVODé½å¾ä¸çæ³.é®é¢å¨äºIPv4çæ¥å¤´è½ç¶ææå¡ç±»åçå段ï¼å®é ä¸ç°å¨çè·¯ç±å¨å®ç°ä¸é½å¿½ç¥äºè¿ä¸å段ã
å¨IPv6ç头é¨ï¼æ两个ç¸åºçä¼å æåæµæ è¯å段ï¼å 许ææ°æ®æ¥æå®ä¸ºæä¸ä¿¡æ¯æµçç»æé¨åï¼å¹¶å¯å¯¹è¿äºæ°æ®æ¥è¿è¡æµéæ§å¶ãå¦å¯¹äºå®æ¶éä¿¡å³ä½¿ææåç»é½ä¸¢å¤±ä¹è¦ä¿ææéï¼æ以ä¼å ææé«ï¼èä¸ä¸ªæ°é»åç»å»¶è¿å ç§éä¹æ²¡ä»ä¹æè§ï¼æä»¥å ¶ä¼å æè¾ä½ãIPv6æå®è¿ä¸¤å段æ¯æ¯ä¸IPv6èç¹é½å¿ é¡»å®ç°çã
äºã身份éªè¯åä¿å¯
å¨IPv6ä¸å å ¥äºå ³äºèº«ä»½éªè¯ãæ°æ®ä¸è´æ§åä¿å¯æ§çå 容ã
å ãå®å ¨æºå¶IPSecæ¯å¿ éç
IPv4çæ¯å¯éçæè æ¯éè¦ä»è´¹æ¯æçã
ä¸ãå 强äºå¯¹ç§»å¨è®¾å¤çæ¯æ
IPv6å¨è®¾è®¡ä¹åææçæ¯æ移å¨è®¾å¤çææ³ï¼å 许移å¨ç»ç«¯å¨åæ¢æ¥å ¥ç¹æ¶ä¿çç¸åçIPå°åã
å «ãæ¯ææ ç¶æèªå¨å°åé ç½®
IPv6æ éDNSæå¡å¨ä¹å¯å®æå°åçé ç½®ï¼è·¯ç±å¹¿æå°ååç¼ï¼å主æºæ ¹æ®èªå·±MACå°ååæ¶å°çå°ååç¼çæå¯èåå ¨çåæå°åãè¿ä¹æ¹ä¾¿äºæä¸åºåå ç主æºåæ¶æ´æ¢IPå°ååç¼ã
POC、EXP、Payload的区别
在网络安全领域,POC、EXP、Payload这三个术语是紧密关联的,它们在漏洞检测、攻击演示及恶意操作中扮演着关键角色。
POC,全称为Proof of Concept,中文翻译为“概念验证”。POC的目的是验证某个潜在漏洞的真实存在,它是一段代码或攻击示例,帮助开发者或安全研究者确认漏洞是否可行。
EXP,全称为Exploit,中文翻译为“利用”。当一个漏洞被确认存在后,EXP即用于演示如何利用这个漏洞,它提供了对漏洞机理及利用方法的详细说明,甚至可以是漏洞攻击的代码示例。
Payload,中文翻译为“有效载荷”。在成功利用EXP之后,有效载荷是真正执行在目标系统上的代码或指令。以恶意SQL语句为例,当它导致网站出现错误回显时,该语句即为引发错误回显的有效载荷。
总结来说,POC关注于漏洞验证,EXP侧重于漏洞利用,而Payload则是利用成功后执行的代码或指令。这三个术语在网络安全评估、漏洞修复及安全策略制定中具有重要价值。
在项目招标过程中,POC的作用在于验证乙方方案或产品的实际功能与性能是否符合甲方要求,确保解决方案的有效性。而在漏洞报告中,POC则用于向读者证明漏洞的存在,提供可复现漏洞的实例代码。
EXP的目的是全面揭示漏洞的利用机制,通过详细的代码演示或分析,让读者理解漏洞是如何被利用的,从而有助于改进防御措施或开发补丁。
至于Payload,它在攻击过程中扮演着执行恶意操作的角色。通过精心设计的Payload,攻击者能够实现特定的攻击目标,如数据窃取、系统控制等。在安全研究中,了解Payload的工作原理对于评估攻击风险和制定防御策略至关重要。
彻底曝光黑客“隐匿者”——目前作恶最多的网络攻击团伙
在网络安全领域,一个不可忽视的隐形威胁正在浮现——那就是"隐匿者"黑客团伙,他们的恶行累累,技术精湛,以敛财为目的。自2014年以来,这个神秘组织活跃于全球,入侵网络、控制设备、发动大规模分布式拒绝服务攻击(DDoS),近期又转向了更为隐蔽的"挖矿"行为。在最近的十大活跃攻击事件中,"隐匿者"的身影赫然在目,他们频繁抢占并清除竞争对手的资源,显示出极高的行动效率。
通过火绒安全实验室的威胁情报系统,我们发现一些关键线索。其中,f4321y.com、mykings.pw和mykings.top等四个域名,很可能隶属于同一个犯罪网络。4月14日后,他们利用"永恒之蓝"漏洞的攻击次数显著上升,但在WannaCry的影响下,攻击活动有所下降。oo000oo.club和http://5b6b7b.ru的加入,据推测是在WannaCry事件之后,这些变动都表明了"隐匿者"的动态调整策略。
火绒实验室持续对"隐匿者"进行严密监控,通过样本分析,我们注意到这些攻击样本在字符串、传播机制上高度相似,攻击模块复杂,但受到限制。oo000oo.club的攻击活动早于2017年5月的WannaCry,mykings.top和oo000oo.club的攻击特征显示出高度一致性,攻击者使用close2.bat脚本并通过lsass.exe绕过验证。Payload执行配置包括下载item.dat和c.bat,执行脚本涉及创建后门账户、清理其他后门和病毒进程,还包含了WMI远程执行JScript脚本和动态内容更新。
"隐匿者"的攻击手段随着时间的推移不断演变,他们从暴力破解到利用"永恒之蓝"漏洞,攻击效率显著提升。与其他团伙争夺主机控制权时,他们展现出强大的资源清除能力。令人担忧的是,有不明黑客团伙也借助"永恒之蓝"漏洞进行门罗币挖矿。"隐匿者"的活跃和持久性,使得他们在黑客世界中独树一帜,其他组织相比之下显得黯然失色。火绒实验室将继续深入挖掘"隐匿者"的活动,为用户提供最全面的保护。
网络安全的挑战永无止境,"隐匿者"的行动再次提醒我们,对新型威胁的警惕和应对必须时刻保持警惕。火绒实验室将持续关注并分享最新的威胁情报,共同抵御这些隐形的网络威胁。
相关文章
发表评论