日期:
来源:Hack分享吧收集编辑:点击关注
声明:该公众号分享的安全工具和项目均来源于网络,仅供安全研究与学习之用,如用于其他用途,由使用者承担全部法律及连带责任,与工具作者和本公众号无关。 |
现在只对常读和星标的公众号才展示大图推送,建议大家把Hack分享吧“设为星标”,否则可能看不到了!
工具介绍
该工具利用公开笔记本网站作为信息传递的中间服务器,能够让蓝队无法追溯到VPS的位置。
该工具未进行免杀处理,也未执行shellcode,仅仅使用了go的os/exec包进行命令执行,并对其采用AES加密。
工具能够有效避免被大多数安全设备及态势感知系统发现,同时在多个杀毒软件中免杀。
在红队攻防活动中,作者针对需要隐藏C2回连地址及流量的需求,创造了该工具。
← 左右滑动查看更多 →
优点:
具有免杀功能
可有效防止被溯源
实现了AES加密来保证信息的安全
对隐藏位置进行了深度优化
能够抵抗沙箱检测
缺点:
返回命令结果的速度较慢
功能较少(但敏感功能较少也降低了被检测的风险)
被控端微步在线扫描截图
工具原理
工具利用
./server --key notekey --admin ocis
其中有两个参数,为了提高安全性,建议都修改一下:
key:为AES加密的密钥,可自定义密钥,默认密钥为zhu1234554321zhu
admin:控制的uri地址,默认为ocis
控制端 client
username$ ./client
0:主机名:[penetration] note地址:[BpLnfgDsc3WD9F3qNfHK6a95jjJkwz] notekey地址:[zhu1234554321zhu]
1.获取在线主机列表(不一定全)
2.执行主机命令(需要等待30秒)
3.更新别控端列表(需等待30秒)
2. 控制端执行命令
username$ ./client
1.获取在线主机列表(不一定全)
2.执行主机命令(需要等待30秒)
3.更新别控端列表(需等待30秒)
2
请输入note地址:BpLnfgDsc3WD9F3qNfHK6a95jjJkwz
请输入notekey:BpLnfgDsc3WD9F3qNfHK6a95jjJkwz
请输入shell命令:whoami
请等待30秒
jpass
这里可以看到目标主机是与note.ms建立的连接,而不是与控制端直接进行连接的。
下载地址
回复关键字【230426】获取下载链接
往期推荐工具