github 上のプロジェクトをローカルにプルし、Havoc ディレクトリに入ります。
git clone https:
cd Havoc
Kali に基づく一連のソフトウェアをダウンロードする
sudo apt install -y git build-essential apt-utils cmake libfontconfig1 libglu1-mesa-dev libgtest-dev libspdlog-dev libboost-all-dev libncurses5-dev libgdbm-dev libssl-dev libreadline-dev libffi-dev libsqlite3-dev libbz2-dev mesa-common-dev qtbase5-dev qtchooser qt5-qmake qtbase5-dev-tools libqt5websockets5 libqt5websockets5-dev qtdeclarative5-dev golang-go qtbase5-dev libqt5websockets5-dev python3-dev libboost-all-dev mingw-w64 nasm
追加の Go 依存関係をインストールする
cd teamserver
go mod download golang.org/x/sys
go mod download github.com/ugorji/go
cd ..
- ダウンロードが失敗した場合は、次の環境変数を設定します。
go env -w GO111MODULE=on
go env -w GOPROXY=https:
コンパイルサーバー
make ts-build
- コンパイルコマンドを直接実行すると解凍時にエラーが発生しますが、ここではInstall.shを直接表示して、その中のコマンドを一つ一つ実行していきます。
![ここに画像の説明を挿入します](https://img-blog.csdnimg.cn/28318b716ea44f65ba682d46e8ac302e.png)
- 解凍エラーを修正した後も、197:15 サービスの未定義エラーが表示される場合があります。teamserver/cmd/server/teamserver.go ファイルを確認して、サービスが定義されていないことを確認してください。github 上のソース コードと組み合わせた後、この部分がコメントされていることがわかりました(コメントが削除された理由はわかりません)、この部分にコメントを追加するだけです
![ここに画像の説明を挿入します](https://img-blog.csdnimg.cn/bd533a9ba67a472eb4647fe34abd7520.png)
コンパイルクライアント
make client-build
クライアントとサーバーを起動する
./havoc server --profile ./profiles/havoc.yaotl -v --debug
./havoc client
サーバーに接続する
- IP とアカウントのパスワードを入力します。デフォルトのアカウントは 5pider、パスワードは passwd1234、ポートは 40056 です。
![ここに画像の説明を挿入します](https://img-blog.csdnimg.cn/a5360511344a413bbd80e3b3aec71332.png)
- 接続に成功しました。CS のオープンソース版のような感じです
![ここに画像の説明を挿入します](https://img-blog.csdnimg.cn/2d9460e323444ad7af355e0a219ceb28.png)
ポートやパスワードなどの構成パラメータを変更する
./profiles/havoc.yaotl
変更のためにファイルを開く
![ここに画像の説明を挿入します](https://img-blog.csdnimg.cn/2a78159165324870930ddf21b95304fd.png)
ペイロードを生成してテストする
- まず通信用のリスナーを作成し、タイプとして HTTPS を選択し、IP をローカル IP として構成して、「保存」をクリックします。
![ここに画像の説明を挿入します](https://img-blog.csdnimg.cn/37c7f85a29994b41acea01b1c58f2895.png)
- [攻撃] -> [ペイロード] を選択してペイロードを作成します。設定できるオプションには、EDR をバイパスするスリープ時間の設定、および DLL インジェクション構成が含まれます。デフォルトは、メモ帳への SYSCALL システム コール インジェクション、AMSI/ETW およびその他の設定です。つまり、ウイルス検出はバイパスされ、高度な脅威スキャン技術は依然として比較的進歩しています。生成後、しばらく待つと保存アドレスが表示されるので、デスクトップを選択して保存します 名前は Demon.x64.exe
- このファイルをターゲットマシンに置き、ダブルクリックして実行するとサーバーが起動しますすぐにオンラインにします。whoami /all を使用してクエリを実行し、1 秒待ちます。後で、デフォルトの通信頻度がまだ比較的高いことがわかります。
![ここに画像の説明を挿入します](https://img-blog.csdnimg.cn/c0a8423dad7543f391ef8f9d4f5ad80f.png)
- VisusTotal でリスクを検出したメーカーはかなりの数あり、その多くは大混乱ペイロードを直接特定しました。ハッブル解析システムは多くの低リスク操作を検出しましたが、結果はリスクとして特徴付けられませんでした。もちろん、これらの検出時間は短いため、後続の操作中に大混乱ペイロードが検出される可能性があります。
![ここに画像の説明を挿入します](https://img-blog.csdnimg.cn/28dece630b4246829c6a5e843517e4d0.png)
![ここに画像の説明を挿入します](https://img-blog.csdnimg.cn/b0244214f16841b1984674b25e62f7ff.png)