渗透测试利器【Cobalt Strike】CDN隐匿
Cobalt Strike是一款漂亮国Red Team开发的渗透测试神器,常被业界人称为CS。成为了渗透测试中不可缺少的利器。其拥有多种协议主机上线方式,集成了提权,凭据导出,端口转发,socket代理,office攻击,文件捆绑,钓鱼等功能。同时,Cobalt Strike还可以调用Mimikatz等其他知名工具并且可以作为团队服务使用,因此广受网络安全人员喜爱。
虽然Cobalt Strike在渗透测试使用过程中非常的方便和强大,但其默认的特征信息使得CS服务端也会很容易被态势感知等监测设备所识别到,并且服务器开启默认端口后也会被情报网站标记为攻击服务器,且如果teamserver密码简单也会被反爆破。
因此就需要对Cobalt Strike的流量、特征等进行隐匿。本文章采用的是CDN+修改特征隐匿的方法。
这里使用 平台进行注册,需要登陆,因此提前准备好一个邮箱,国内外邮箱都行。
tips:
1、在选择好域名并注册后,需要登录平台,然后填写相关信息以用于注册(当前ip所处的地址这里必须一致、邮编、手机号等可采用漂亮的虚拟信息);
2、后续要使用cdn平台,因此需要在这个域名平台里面绑定cdn平台的ns记录。
域名注册完成后先不要急着解析,进行第二步的CDN平台配置。
CDN平台建议使用cloudflare
先注册个账号登陆一波,使用邮箱注册,方便起见可以和freenom平台用同一个邮箱。
进入cloudflare平台后,点击左侧的网站,然后添加一个域名,这里添加的域名就是freenom注册的。
站点添加完成后,点击站点进去,在左侧DNS中添加记录。
在添加完成后如果上面出现这样的告警,就代表在freenom平台中还没有修改ns记录,需要去将ns记录修改为cdn平台的。
进入freenom平台修改ns记录,先登录,进入到域名管理处,修改ns名称。这里要填写的ns名称是CDN平台给分配的,参见上面一张图,ns前缀基本都是随机分配的,因此以CDN平台上的为准。
freenom改好ns记录后,再到CDN平台上点击上上图的“检查名称服务器”即可更新完成。此时再去解析域名、ping域名,都会成功返回到CDN的ip地址。
在CDN平台左侧的SSL/TLS-----概述中,将右边的加密模式选择为灵活。
在左侧源服务器中,点击创建证书。源服务器私钥类型选择ECC,密钥格式选择PEM。 一定要将源证书和私钥复制下来!后续要用到。
CDN默认开启缓存,可能会影响后续主机上线、shell命令回显等。因此这里有两种关闭缓存的方法建议都开启。
在CDN平台-缓存-配置-开发者模式-开启。
规则-创建页面规则中创建两条规则。以下规则中的域名不需要填写A记录名。
1、 .your dmoain/ ;
2、your dmoain/*;
3、将规则设置为-缓存级别-绕过。
2.生成新的cobaltstrike证书。如果原先的cobaltstrike文件夹内有默认的.store证书,需要先删除掉默认的。使用以下命令生成:
ps:这里的pass密码需要修改,改为复杂的密码,不要使用123456。
ps:这里的所有密码都要和上面的一致。
6.1 修改teamserver默认端口
编辑teamserver配置文件,将CobaltStrike默认的50050端口改成其它端口。
6.2 修改teamserver默认指纹信息
编辑teamserver配置文件,默认的是cobalt strike信息或Microsoft信息。
可将指纹信息改为其它的内容。
启动teamserver的命令需要微调下:
./teamserver 服务器公网IP 密码 C2.profile
连接上teamserver后,创建个监听器和马子。注意监听器的地址要填写CDN绑定的域名,而不是IP地址了
PS:在创建监听器时,建议使用https模式。并且监听器的https上线端口不要使用默认的443,否则可能会无法正常上线。建议监听端口使用CDN支持的其它端口。
先在虚拟机里面打开个wireshark开启抓包模式,然后将马子丢到虚拟机里面执行。
此时在CS里面主机已经上线。然后看wireshark中的数据包,过滤服务器真实地址发现一条都没有,均是和CDN地址的交互数据。
下图筛选服务器地址:
下图筛选CDN地址:
至此CDN隐匿完成。
针对docker系统的渗透测试方法
翻译总结于:《A Methodology for Penetration Testing Docker Systems》
文章从两个攻击模型进行分析,结合错误配置和已知漏洞对docker渗透测试进行总结归纳,并给出了一份docker渗透测试检查清单。
作者讨论了两种情况:在容器内和在容器外。在容器内部,攻击者会聚焦在逃逸隔离(即容器逃逸)。在容器外部,即宿主机上,攻击者还没有主机特权,这时候攻击者将会使用Docker(即Docker daemon攻击)来获得权限。
容器逃逸重点在攻击和绕过隔离和保护机制,其中又可分成两种:一种是从容器逃逸到主机(CVE-2017-7308),另一种是从容器逃逸到另一个容器获取其中数据。
作者从错误配置和安全漏洞两个角度对上述两个场景中的安全问题进行了梳理。漏洞问题是自身程序问题,错误配置更多的是用户使用问题。
前两个错误配置与在主机上执行的Docker Daemon有关,其他错误配置与从容器内执行的容器逃逸攻击有关。
(2)可读写的Docker Socket:一些管理员设置了所有用户的读写权限,给了所有用户Docker Daemon的权限,尽管用户不在docker group也能使用docker。
(3)setuid bit:系统管理员在docker二进制文件上设置setuid位。setuid位是Unix中的权限位,它允许用户运行二进制文件而不是其本身作为二进制文件的所有者。如果为docker二进制文件错误配置了setuid位,那么用户将能够以root身份执行docker。
(1)Container Escape Using the Docker Socket:如果/var/run/docker.sock作为volume挂载到容器上,那么容器中的进程可以完全访问主机上的docker。
(2)Sensitive Information:当容器可以访问/var/run/docker.sock时,用户可以查看现有容器的配置,其中可能包含一些敏感信息。
(3)Remote Access:如果没有配置docker API只监听本地主机,那么网络上的每个主机都可以访问docker,攻击者可以利用这种错误配置启动其他容器。
文章中列举了一些最近的且已完全公开的可能在渗透测试期间使用的bug。
(1)CVE-2019-16884
(2)CVE-2019-13139
(3)CVE-2019-5736
(4)CVE-2019-5021
(5)CVE-2018-15664
(6)CVE-2018-9862
(7)CVE-2016-3697
首先需要对目标系统执行侦查来收集数据,然后使用收集到的信息来识别弱点和漏洞。
(2)识别容器的操作系统(或者Docker镜像)
(3)识别主机操作系统:因为容器使用宿主的内核,所以可以使用内核版本来标识宿主信息,从而检测一些内核利用。
(4)读环境变量:环境变量是启动容器时与容器通信信息的一种方式。当一个容器启动时,环境变量被传递给它,这些变量通常包含密码和其他敏感信息。
(5)检查Capabilities:通过查看/proc/self/status来查看容器的内核功能。其中CapEff是当前功能的值,可以使用capsh工具从十六进制值获取功能列表。可以使用这个来检查是否有可以用来容器逃逸的功能。
(6)检查特权模式:如果容器以特权模式运行,它将获得所有功能,因此可以通过查看能力(0000003fffffffff是所有能力的表示)来检查是否以特权模式运行进程。
(7)检查volumes:卷中可能包含敏感信息,可以通过查看挂载的文件系统位置来查看。
(8)检查挂载的docker socket
(9)检查网络配置
(2)拥有docker使用权限的用户
(3)配置:/etc/docker/daemon或/etc/default/docker
(4)可获得的镜像和容器
(5)iptables规则:使用 iptables -vnL 和 iptables -t nat -vnL,可以看到默认表filter和nat的规则。所有关于docker容器的防火墙规则都在filter中的docker -user链中设置。
服务器banner信息扫描
banner 信息来表示欢迎语,其中会包含一些敏感信息,所以获取 banner 也属于信息搜集的范畴。在渗透测试中,典型的 4xx、5xx 信息泄露就属于 banner 泄露的一种。在 banner 信息中,可以获取到软件开发商、软件名称、服务类型、版本号等。而版本号有时候就会存在公开的 CVE 问题,可以直接进行利用。
banner 信息获取的基础是在和目标建立链接后的,只有建立的链接,才可以获取到相应的 banner 信息,当目标对 banner 信息进行隐藏或者配置了禁止读取时,这时的 banner 则获取不到。
于是乎,我们可以写一个小脚本扫描服务器的banner信息,以获取有用的信息。
网上抄的:说一下细节,首先是 socket.socket 的参数,第一个参数是输入地址类型,第二个是输入套接字类型。socket.AF_INET 是用于服务之间的网络通信。socket.SOCK_STREAM 是用于 TCP,这两个参数的选择项如下:
第一个地址类型:
socket.AF_UNIX:用于 Unix 系统进程间的通信。
socket.AF_INET:服务器之间的网络通信。
socket.AF_INET6:使用 IPv6 进行通信。
第二个套接字类型:
socket.SOCK_STREAM:流式的 socket,用于 TCP。
socket.SOCK_DGRAM:数据包式的 socket,用于 UDP。
而经常组合用到的有两种,一种是 TCP 的 socket,一种是 UDP 的 socket,他们分别如下:
TCP:socket.socket(socket.AF_INET,socket.SOCK_STREAM)
UDP:socket.socket(socket.AF_INET,socket.SOCK_DGRAM)
网络安全工程师需要学习的必备技术有哪些?
第一部分,基础篇,包括安全导论、安全法律法规、web安全与风险、攻防环境搭建、核心防御机制、HTMLJS、PHP编程等。
第二部分,渗透测试,包括渗透测试概述、信息收集与社工技巧、渗透测试工具使用、协议渗透、web渗透、系统渗透、中间件渗透、内网渗透、渗透测试报告编写、源码审计工具使用、PHP代码审计、web安全防御等。
第三部分,等级保护,包括定级备案、差距评估、规划设计、安全整改、等保测评等。
第四部分,风险评估,包括项目准备与气动、资产识别、脆弱性识别、安全措施识别、资产分析、脆弱性分析、综合风险分析、措施规划、报告输出、项目验收等。
第五部分,安全巡检,包括漏洞扫描、策略检查、日志审计、监控分析、行业巡检、巡检总体汇总报告等。
第六部分,应急响应,应急响应流程、实战网络应急处理、实战Windows应急处理、实战Linux应急处理、实战、Web站点应急处理、数据防泄露、实战行业应急处理、应急响应报告等。
软件测试与渗透测试那个工作有前途
软件测试与渗透测试发展前途都非常不错的,可以根据个人的情况选择发展方向。
软件测试与渗透测试的区别:
1、测试对象不同
软件测试:主要测试的是程序、数据、文档。
渗透测试:对象主要为网络设备、主机操作系统、数据库系统和应用系统。
2、测试内容不同
软件测试:主要工作内容是验证和确认,发现软件中的缺陷或者不足,然后把发现的问题整理成报告并分析出软件质量的好坏。验证是保证软件正确地实现了一些特定功能的一系列活动;确认是一系列的活动和过程,目的是想证实一个给定的外部环境中软件的逻辑正确性,即保证软件做了你所期望的事情。
渗透测试:主要包括黑盒测试、白盒测试和灰盒测试。主要做的工作有:信息收集、端口扫描、权限提升、远程溢出攻击、Web应用测试、SQL注入攻击、检测页面隐藏字段、跨站攻击、Cookie利用、后门程序检查、第三方软件误配置等。
3、测试原则不同
软件测试:
①测试应该尽早进行;
②软件测试应该由第三方来负责;
③设计测试用例时应考虑到合法的输入和不合法的输入以及各种边界条件;
④应该充分注意测试中的群集现象;
⑤对错误结果要进行一个确认过程;
⑥制定严格的测试计划;
⑦妥善保存测试计划、测试用例、出错统计和最终分析报告。
渗透测试:
①测试验证时间放在业务量最小的时间进行;
②测试执行前确保相关数据进行备份;
③所有测试在执行前和维护人员进行沟通确认;
④在测试过程中出现异常情况时立即停止测试并及时恢复系统;
⑤对原始业务系统进行一个完全的镜像环境,在镜像环境上进行渗透测试。
总而言之,软件测试更多的是以正常使用者的角度为出发点,测试软件的可用性;而渗透测试则是以极端攻击者的角度出发,测试系统的安全性。
0条大神的评论