当前位置:主页 > DDOS和CC >

网站安全防护_cc防御盾_3天试用

时间:2021-07-16 17:15来源:E度网络 作者:E度网络 点击:

网站安全防护_cc防御盾_3天试用

研究僵尸网络是我的爱好。我喜欢把它们拆开,对它们进行逆向工程,找出它们的缺陷,当然,还要开发利用这些缺陷的方法。我很少有机会描述从发现到开发的整个过程,所以我觉得有必要分享这个例子。我删除了一些细节,比如机器人的名字。在以后的文章中,我将更具体地介绍这些机器人。发现我在读一个工具,它的描述听起来像一个基本的僵尸网络,但目的是向用户展示他们的网络能过滤出多少信息。在特性列表中,哪里有免费高防cdn,它描述了如何截屏、执行命令、获取本地文件、下载和执行应用程序,听起来像是一个基本的僵尸网络,而RAT则绑定在C2上。收集信息由于该工具尚未公开,因此没有直接的方法下载bot或C2代码。僵尸网络通常就是这种情况,所以你通常要做一些挖掘工作。因为我的蜜罐里不可能有这个机器人(不是恶意的僵尸网络),cdn防御和ddos硬防,所以需要一个更直接的方法。寻找样本我决定检查一下,看看能不能在谷歌上找到有机器人名字的东西。最后我发现一个样品马尔沃网. 这从一开始就提供了相当多的情报。关键信息是文件类型(.Net assembly,很容易反编译)和样本的各种加密哈希。有了这些散列,我能够在各种公共和私有恶意软件源上找到相同的样本,并且作为这些提要的一员,我能够下载该样本。有时,获取僵尸网络的源代码或对象/编译代码就更容易了,正如我们在2013年6月26日Carberp源代码被泄露的案例中看到的那样。不仅发布了Carberp的源代码,还发布了相关的工具和其他各种bot源代码。反转样品由于示例是一个.Net程序集,所以我做的第一件事就是直接将它加载到.Net Reflector中。当我意识到这会变得很有趣,很快。代码一点也不模糊,包含了C2的硬编码值——不仅是它的位置,还有C2用来控制机器人的身份验证。由于二进制文件是一个.Net程序集,所以这个分析的实际反转部分非常简短,所以让我继续讨论更有趣的部分。寻找漏洞通常,您需要查找优先领域中的漏洞。在这种情况下,优先领域主要是C2,这是我们唯一没有的部分。所以我们需要关注bot如何与C2交互,看看它是如何工作的。拆开C2协议我们可以从机器人如何与C2交互来了解C2的结构。在本例中,对C2的所有访问都是对具有PHP扩展名的文件的访问,因此假设它运行PHP脚本来管理bot是相当安全的。机器人在注册过程中发送密码后,vb防御ddos,似乎也会响应来自C2的命令。现在,还不清楚密码是每个机器人的密码,还是定义为僵尸网络范围的密码,并用于阻止不需要的访客。因为我们已经在这里找到了一种潜在的身份验证方法,所以我们想开始寻找bot与不包含身份验证的服务器通信的方式。如果我们找不到任何东西,研究C2中的漏洞就会变得稍微困难一些,因为我们需要找到一种方法来获得凭证或者绕过它们。上传功能像许多僵尸网络一样,ddos怎么破防御,机器人能够将文件/数据上传到C2。在找到处理此操作的函数后,我能够找到将文件上载到服务器所需的内容。正如我们所寻找的,这个方法不使用任何形式的身份验证。任意上传漏洞并不少见,所以这很快就成了我针对C2的研究重点。因为所有的C2信息都是硬编码的,所以上传到的PHP脚本也是硬编码的。从这里开始,我可以编写一个概念验证Python脚本来将文件上载到服务器。导入pycurl#目标C2 base uri base_uri="http://xxx.xxx.xxx.xxx/"#要上载的文件#为了简单起见,我们只需在本地写入它,然后上载f=open("外壳.php",'w')f.write(")f.close()#上载文件c=卷曲。卷曲()c.setopt(c.POST,1)c.setopt(c.URL,基\u uri+"获取文件.php")c.setopt(c.HTTPPOST,[("upfile",(c.FORM_文件,"外壳.php,c.FORM_文件名哈哈哈"))c.执行()c.关闭()利用上传功能利用upload函数需要做一些事情。首先是成功上传文件。另一个是查找上传文件的位置。结果发现这是非常微不足道的,因为我只是猜测了几次,在". 运行upload proof-of-concept之后,shell被上传到files目录,我可以直接通过名字访问它。问题是PHP代码没有被执行,而是被打印出来了。我知道服务器是一个Apache服务器,并且知道在Apache上实现这一点的最快方法是使用一个.htaccess文件,因此我很快在本地创建了一个空文件,并将其上载到名为".htaccess"的文件中。这将.htaccess文件替换为空文件,并允许在目录中执行。以下是概念的完整证明:#!/usr/bin/python由Brian Wallace(@botnet_hunter)编写。htaccess保护了目录,但谁保护了.htaccess?!#壳牌登陆导入pycurl base_uri="http://xxx.xxx.xxx.xxx/"#创建一些本地文件以使上载更容易#shell非常简单地隐藏了对系统的调用,并且可以为命令使用任何参数集1234567890#/lol.php?cmd=pwd f=打开("外壳.php",'w')f.write(")f.close()#创建要覆盖的文件。htaccess f=open("空温度",'w')f.write('')f.close()c=卷曲。卷曲()c.setopt(c.POST,1)c.setopt(c.URL,基\u uri+"获取文件.php")c.setopt(c.HTTPPOST,[("upfile",(c.FORM_文件,"外壳.php,c.FORM_文件名哈哈哈"))c.perform()c.close()c=卷曲。卷曲()c.setopt(c.POST,1) c.setopt(c.URL,基\u uri+"获取文件.php")c.setopt(c.HTTPPOST,[("upfile",(c.FORM_文件,"空温度",c.FORM_文件名,".htaccess")]))c.perform()c.close()未来的僵尸网络帖子将包含更具体的细节,但如果你正在寻找一种安全的方法来开始僵尸网络研究,我建议你看看那些被创建来测试反僵尸网络措施的僵尸网络。如果您正在寻找另一个安全的环境来进行僵尸网络研究,我最近发布了一个RA1NX僵尸网络的"易受攻击的虚拟机",可以在这里找到:https://sourceforge.net/p/ra1nxingbots/wiki/Home/。我计划在将来发布更多这样的内容,高防cdn为什么那么贵,因此我们非常感谢您的反馈。

推荐文章
最近更新