reversehttp

0x00 网络测绘角度下的C&C威胁分析 ​ 在日渐激烈的网络对抗中，伴随***手段的更新换代，远控为了满足需求随之发展，种类繁多，常见的远控有：Cobalt Strike、Metasploit Framework、Empire、PoshC2、Pupy等。 ​ 在常见的远控中，Cobalt Strike是熟知的***测试利器，功能十分强大，可扩展性强，从前期载荷生成、诱饵捆绑、钓鱼***到载荷植入目标成功后的持续控制、后***阶段都可以很好支持，几乎覆盖***链的各个阶段。并且支持多种上线方式，以及多种丰富的配置可以达到非常好的隐蔽效果。CS teamserver团队服务器又可以使众多CS客户端连上它，以进行团队协作。Metasploit Framework能够提供众多漏洞利用，这两款远控功能强大且容易上手，因此也是广大redteamer的必备武器。 ​ C&C作为全球范围红队的基础设施，长期部署在世界各个角落，如何通过探测C&C服务器成为了一个问题。传统的流量规则只能对小范围的C2设施进行识别，有一定的局限性。对于全网的资产识别，通过网络测绘来进行扫描识别C2会不会更全面呢？ 0x01 网络空间测绘 ​ 互联网在高速发展的今天，传统的网络安全大多面向局部安全未曾考虑整体全网环境下的网络安全，这样也造成了近年来***者频繁面向全网展开***

漏洞描述： SMB远程代码执行漏洞 SMB 3.1.1协议中处理压缩消息时，对其中数据没有经过安全检查，直接使用会引发内存破坏漏洞，可能被攻击者利用远程执行任意代码。攻击者利用该漏洞无须权限即可实现远程代码执行，受黑客攻击的目标系统只需开机在线即可能被入侵。 漏洞原理： Microsoft服务器消息块（SMB）协议是Microsoft Windows中使用的一项Microsoft网络文件共享协议。在大部分windows系统中都是默认开启的，用于在计算机间共享文件、打印机等。 Windows 10和Windows Server 2016引入了SMB 3.1.1 。本次漏洞源于SMBv3没有正确处理压缩的数据包，在解压数据包的时候使用客户端传过来的长度进行解压时，并没有检查长度是否合法，最终导致整数溢出。 利用该漏洞，黑客可直接远程攻击SMB服务端远程执行任意恶意代码，亦可通过构建恶意SMB服务端诱导客户端连接从而大规模攻击客户端。 影响范围： Windows 10 Version 1903 for 32-bit Systems Windows 10 Version 1903 for x64-based Systems Windows 10 Version 1903 for ARM64-based Systems Windows Server, Version 1903 (Server