网站服务器网络,网站建设与管理模拟题1,如何做发表文章的网站,网站发布初期的推广Cobalt Strike简介
Cobalt Strike是一款基于java的渗透测试神器#xff0c;也是红队研究人员的主要武器之一#xff0c;功能非常强大#xff0c;非常适用于团队作战#xff0c;Cobalt Strike集成了端口转发、服务扫描#xff0c;自动化溢出#xff0c;多模式端口监听也是红队研究人员的主要武器之一功能非常强大非常适用于团队作战Cobalt Strike集成了端口转发、服务扫描自动化溢出多模式端口监听win exe木马生成win dll木马生成java木马生成office宏病毒生成木马捆绑钓鱼攻击包括站点克隆目标信息获取java执行浏览器自动攻击等至于Cobalt Strike详细怎么玩我就不介绍了网上很多教程功能也很强大我主要想从逆向的角度去分析一下Cobalt Strike安装后门的技术原理跟踪一下它是如何与服务器进行连接并安装Beacon后门模块的。 搭建测试环境
测试环境
1.服务端 kali 用于Cobalt Strike服务端
2.攻击机 win7 用于Cobalt Strike客户端
3.测试机 win7 测试安装Cobalt Strike的后门程序 工具
Cobalt Strike 4.1中文版
启动Cobalt Strike服务器如下所示 启动Cobalt Strike客户端生成EXE后门如下所示 Cobalt Strike监听器的Payload可以自定义设置我这里以Beacon HTTP为例如下所示 生成EXE后门之后在测试机上运行客户端会提示有主机上线开启beacon操作接口如下所示 后面就可进行各种操作了这里就不介绍了教程很多也有很多不同的玩法我主要对生成的EXE比较感兴趣重点研究一下生成的EXE是怎么运行的。 逆向跟踪分析
1.拼接字符串如下所示 2.创建线程连接管道如下所示 3.通过VirtualAlloc分配内存空间解密shellcode代码如下所示 4.解密出来shellcode代码如下所示 5.跳转执行解密出来的shellcode代码如下所示 6.shellcode代码加载wininet.dll如下所示 7.调用InternetOpenAInternetConnectA等函数连接服务器如下所示 8.调用HttpOpenRequestAHttpSendRequestA等函数向服务器发送连接请求如下所示 9.调用VirtualAlloc分配内存空间存放返回的数据如下所示 10.通过InternetReadFile循环读取服务器返回的数据如下所示 11.从服务器上返回的数据如下所示 分析返回的数据为Cobalt Strike反射型注入后门模块beacon.dll如下所示 这样beacon的后装模块就安装成功了就是之前我们在客户端上通过beacon的后门模块进行后面的操作了。 通过动态跟踪分析发现Cobalt Strike的Revere HTTP的ShellCode执行流程如下所示
wininet.dll-InternetOpenA-InternetConnectA-HttpOpenRequestA-HttpSendRequestA-VirtualAlloc-InternetReadFile反射加载执行返回的beacon.dll后门模块。 上面对Cobalt Strike的Bean HTTP Reverse的Payload的实例进行了逆向分析其他的Payload模块可以使用相同的方法进行跟踪分析就不做介绍了可自行进行深入的研究其实做安全到最后都是相通的基础安全研究才是安全的核心。 不忘初心
做安全不忘初心方得始终只要你做的事是对社会有意义的能帮助别人就是有价值的事就一定要坚持做到底最后都会有回报前段时间笔者获得了江苏省信息网络安全协会2019年的优秀个人奖非常感谢协会朋友对笔者的认可如何做一家伟大的企业我觉得伟大的企业一定是对客户对社会对国家或者更大一点说是对全人类有贡献有帮助的企业当你的客户提起你的企业的时候会从内心觉得这家企业是做实事的觉得你的产品和服务实实在在地帮助他们解决了一些问题给他们创造了一些价值这样你就自然而然的会赚到钱赚钱永远不是伟大企业的目标只要是做对社会有贡献的事对别人有帮助的事让客户信任你的产品满意你的服务相信你的专业就一定能赚到钱伟大的企业在别人的眼中肯定不仅仅只是一家只会赚钱的企业当你能真正帮助到企业就一定可以赚到钱客户也愿意与你合作也愿意花钱购买你的产品和服务只这样的企业将来才能越做越大越做越强最后成为一家伟大的企业受到客户的尊敬。 坚持做对社会有贡献的事坚持做对别人有帮助的事身为一个安全研究人员要不忘初心当国家有需要的时候有时间和机会一定要为国家网络安全事业尽自己的一点微薄之力全球网络安全战已经开始未来需要更多专业的安全研究人员一起努力共同进步。
