如何使用Twitter構建C&C伺服器
寫在前面的話
社交媒體網路對於企業的市場營銷團隊來說,絕對是一個非常好的推廣平台。如果能夠正確使用它們的話,絕對可以幫助企業帶來新的商機。因此,社交媒體平台(例如Twitter和Facebook)上的任何網路流量都不太可能會被屏蔽掉。但是對於滲透測試人員來說,這些社交平台可以成為命令控制工具,而網路犯罪分子甚至還可以利用社交媒體網路流量來隱藏自己的惡意行為。
工具介紹
目前,最著名的一款利用Twitter當作命令控制工具的就是Twittor了,這款工具由Paul Amar開發,而這款工具的開發靈感來自於Gcat(該工具使用Gmail作為命令控制伺服器)。
這裡唯一的限制條件就是,植入程序以及C2伺服器都需要用戶的參與以及訪問令牌,而這兩者都可以使用Twitter應用程序管理來生成。
當一個新的Twitter應用被創建之後,這些值都會自動生成。控制器與主機之間的通信是通過Twitter的直接消息來進行的,因此新的應用程序將需要擁有這類消息的讀取、寫入和轉發許可權。
植入程序是採用Python語言開發的,不過我們也可以用pyinstaller將其轉換成可執行程序(exe)。需要注意的是,這款工具要求的是Python 2.7,你可以使用下列命令直接安裝pyinstaller:
當我們的植入程序執行之後,Twittor將會接收到來自目標主機的通信連接以及MAC地址。
此時,Twittor將能夠在目標主機上執行任意命令,包括在內存中執行shellcode,並獲取到它已經在目標主機中執行過的命令列表。
為了發送控制命令,Twittor還需要使用目標主機的MAC地址。
命令將會通過一條Twitter的直接消息被發送至目標主機,該消息採用base64編碼格式。
由於Twittor不會對直接消息進行加密,因此解碼起來也相對更加容易。發送給目標主機的消息中包含以下信息:
CMD命令
JobID
消息發送者
消息接收者的MAC地址
命令執行後的輸出可以通過retrieve指令和相關的JobID來獲取。
$ !retrieve SPVGIpE
除此之外,為了得到Meterpreter會話並利用其完整功能,我們還可以向目標主機發送shellcode。Metasploit msfvenom還可以被用來生成Python shellcode。
下面這條命令將會幫助你在目標主機上執行shellcode。
下面這個Metasploit模塊可以用來獲取網路連接。
工具下載
Twittor:【點我下載】
* 參考來源:pentestlab,FB小編Alpha_h4ck編譯,轉載請註明來自FreeBuf.COM
※如何在32位系統中使用ROP+Return-to-dl來繞過ASLR+DEP
※沉睡一年的「臟牛」又被攻擊者利用,Android用戶你們還好嗎?
※美國網件ReadyNAS監控系統非認證遠程命令執行漏洞分析
※簡析60度CMS的Cookies欺騙漏洞
※再曝實錘,更多證據顯示俄羅斯或干預了去年的美國大選
TAG:FreeBuf |