主页 > 网络知识 > 攻防战中的绝密武器(2)

攻防战中的绝密武器(2)

该脚本还允许用户在*.conf和* .log文件中搜索关键字。将显示任何匹配项以及标识关键字的完整文件路径和行号。

Virustoal检测结果:

该脚本是一个提权辅助脚本,主要功能是枚举机器信息,发现敏感信息筛选弱点,确定了弱点后还需攻击者寻找匹配的提权工具进行提权,敏感信息将会以黄色字样标出:

6、脏牛提权工具c0w64

Cow64是脏牛漏洞提权工具,是一款针对Linux的提权工具,漏洞编号为CVE-2016-5195

这个在linux,有几个部署杀软。

7、内网流量代理工具agent.exe

agent.exe是nps工具(https://github.com/cnlh/nps)

是一款轻量级、高性能、功能强大的内网穿透代理服务器。目前支持tcp、udp流量转发,可支持任何tcp、udp上层协议(访问内网网站、本地支付接口调试、ssh访问、远程桌面,内网dns解析等等……),此外还支持内网http代理、内网socks5代理、p2p等,并带有功能强大的web管理端:

攻击者使用命令如下:

安全工具检测情况如下:

8、powershell木马

从流量中发现了可疑powershell下载

该脚本主要包含三层静态加密内容:

第一层:

内容首先被 gzip 压缩,再通过 base64 编码

第二层:

第一层解开后的内容如下:

代码的主要作用为将一段加密的字符串通过 base64 解码后,再与’35’进行异或后解密,并在内存 中分配申请一段内存,将解密后的 shellcode 拷贝到新申请的内存中并执行,shellcode 不出现在 任何 PE 文件或者其他常见的攻击文件中,借此绕过杀软。

通过 virustotal 信息可以看到,国内所有杀软对此都无检测。

第三层 shellcode:

说点什么吧
  • 全部评论(0
    还没有评论,快来抢沙发吧!