C2-牧云-长亭百川云平台

工具
Created At :
Views 👀 :
  1. C2-牧云-长亭百川云平台
  2. 使用
    1. 安装agent
  3. 局限

C2-牧云-长亭百川云平台

某厂商推出的主机管理系统用作红队C2(再次申明:Saas服务实名认证,请勿用于非法用途)。

网上看到的一个思路,复现一下。其实也是很简单的第一个东西,主要是给人提供一种c2的思路而已,要学会举一反三。

使用

访问https://rivers.chaitin.cn/workbench,使用微信注册,免费开通主机管理助手

登录到主机管理助手平台,点击绑定主机,即可选择Linux主机和Windows主机安装agent的命令,甚至还有针对于海外主机类型的海外链路,对于红队网络侧的基础设施搭建再也无需购买和部署域名和构建如CS那样的teamserver服务了。

image-20230616121932802

image-20230616122015774

image-20230616122234455

目前兼容 windows10,windows11,windows server 2019,windows server 2022,其他版本很快上线

安装agent

agent大小差不多有30m,且需要管理员权限运行,但附带某亭签名!

image-20230616122302400

静默安装:

跟上文一样,很多场景是只有一个webshell command line或者远程命令执行,无交互式shell时进行点击安装步骤就显得很被动,而且installer并非msi程序,无法使用msiexec命令进行静默安装。

经过后面测试,发现在终端运行installer.exe即可自动安装,得益于牧云自身的设计,无需点击任何确认或者下一步,即可将agent安装且自动运行。

image-20230616122611931

可是当目标主机人员在使用的情况下突然弹出安装程序,未免有点小离谱了

start /min installer.exe

powershell -WindowStyle Hidden -Command "Start-Process -FilePath 'installer.exe' -WindowStyle Hidden"

image-20230616123858753

安装完成后,需要点击Done,才能将安装程序退出,聪明的你应该已经想到如何解决了,当看到主机管理平台上线后使用,taskkill将安装进程干掉:

taskkill /im installer.exe /F

image-20230616124135908

最后成功

image-20230616124246703

image-20230616124253558

image-20230616124304561

值得一提的是,在管理端解绑主机之后,删除被控端会自己删除

image-20230616124539803

image-20230616124610380

已经自己删除了,大概解绑之后的五六秒钟就会自己删除。

局限

  • 需要管理员权限进行安装
  • windows 10以上版本
  • Sass服务提供,懂得都懂,请合法合规使用

大部分内容参考:https://mp.weixin.qq.com/s/JlL4GWRFeIFgpRYx8OrdNg

主要是自己复现一下懒得写,有现成的文章为什么不复制呢(),也没有用作盈利嘛~

转载请注明来源,欢迎对文章中的引用来源进行考证,欢迎指出任何有错误或不够清晰的表达。后续可能会有评论区,不过也可以在github联系我。

©2016-2020 Yelog

Built with Hexo and 3-hexo theme