C&C浏览器

SoftNight Web安全 2019年1月3日发布
Favorite收藏

导语:0x09AL大牛用go语言开发了Browser-C2,利用浏览器(chrome)作为通信通道,可以绕过基于主机的防火墙。

红队成员总是会着重于研究新的方法来回连到他们的C&C设备。红队使用标准协议或者原生系统功能来进行C&C操作的主要原因是绕过蓝队的某些限制和不被蓝队发现。0x09AL大牛用go语言开发了Browser-C2,利用浏览器(chrome)作为通信通道,可以绕过基于主机的防火墙。0x09AL在他的博客中发了一篇文章来讲解浏览器-C2这个工具的原理和基本操作,有兴趣的可以去看看。

该工具需要安装以下组件才能成功运行:

go get -u github.com/gorilla/mux
go get -u github.com/chzyer/readline

可以使用下列命令将implant编译为可执行文件,不过在编译之前,需要修改agent.go文件,在里面加上C2服务器的IP地址。

go build agent.go

1.png

Jquery文件也需要修改,将C2服务器的IP地址赋值给变量url,如图所示:

2.png

主要的C2应用可以通过下列命令进行编译:

go build

当implant在目标主机Chrome浏览器执行时将会启动和自动连接到C2服务器终端,如图:

3.png

如图可见,这将和我们的C2服务器建立连接,可以在这里执行命令来获取主机信息,如图:

4.png

也可以使用wmic命令来进行主机侦察,命令如下:

wmic useraccount list full

5.png

Browser-C2不支持服务器与被入侵主机之间的通信加密,并且功能十分有限,因为它不能执行powershell脚本,只能执行最基本的命令。对于更多的操作,我们可以考虑使用meterpreter或者PoshC2。MSF模块web delivery能够自动生成并部署scriptlet。命令如下:

exploit/multi/script/web_delivery

6.png

regsvr32是Casey Smith发现的一种可以绕过APPlocker策略的常见方法,这种技术非常可靠,能够远程执行任意代码。可以在现有的Browser-C2 agent会话中执行scriptlet,如图:

7.png

当payload执行时会打开一个meterpreter会话,meterpreter可以提供更多强大的功能:

8.png

利用相同的方法也可以与PoshC2建立连接,来执行基于powershell的后渗透攻击活动。

9.png

PoshC2的implant处理器会接收连接:

10.png

需要先选择一个关联ID才能与implant进行交互。PoshC2包含了很多的powershell模块,可以用来执行批量主机侦察,抓取凭证,比如mimikatz,如图:

11.png

Mimikatz的输出结果将会显示在PoshC2的控制台上,如图:

12.png

本文翻译自:https://pentestlab.blog/2018/06/06/command-and-control-browser/如若转载,请注明原文地址: http://www.4hou.com/web/15389.html
点赞 0
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论