github 上のプロジェクトをローカルにプルし、Havoc ディレクトリに入ります。
git clone https:
cd Havoc
Kali に基づく一連のソフトウェアをダウンロードする
sudo apt install -y git build-essential apt-utils cmake libfontconfig1 libglu1-mesa-dev libgtest-dev libspdlog-dev libboost-all-dev libncurses5-dev libgdbm-dev libssl-dev libreadline-dev libffi-dev libsqlite3-dev libbz2-dev mesa-common-dev qtbase5-dev qtchooser qt5-qmake qtbase5-dev-tools libqt5websockets5 libqt5websockets5-dev qtdeclarative5-dev golang-go qtbase5-dev libqt5websockets5-dev python3-dev libboost-all-dev mingw-w64 nasm
追加の Go 依存関係をインストールする
cd teamserver
go mod download golang.org/x/sys
go mod download github.com/ugorji/go
cd ..
- ダウンロードが失敗した場合は、次の環境変数を設定します。
go env -w GO111MODULE=on
go env -w GOPROXY=https:
コンパイルサーバー
make ts-build
- コンパイルコマンドを直接実行すると解凍時にエラーが発生しますが、ここではInstall.shを直接表示して、その中のコマンドを一つ一つ実行していきます。
- 解凍エラーを修正した後も、197:15 サービスの未定義エラーが表示される場合があります。teamserver/cmd/server/teamserver.go ファイルを確認して、サービスが定義されていないことを確認してください。github 上のソース コードと組み合わせた後、この部分がコメントされていることがわかりました(コメントが削除された理由はわかりません)、この部分にコメントを追加するだけです
コンパイルクライアント
make client-build
クライアントとサーバーを起動する
./havoc server --profile ./profiles/havoc.yaotl -v --debug
./havoc client
サーバーに接続する
- IP とアカウントのパスワードを入力します。デフォルトのアカウントは 5pider、パスワードは passwd1234、ポートは 40056 です。
- 接続に成功しました。CS のオープンソース版のような感じです
ポートやパスワードなどの構成パラメータを変更する
./profiles/havoc.yaotl変更のためにファイルを開く
ペイロードを生成してテストする
- まず通信用のリスナーを作成し、タイプとして HTTPS を選択し、IP をローカル IP として構成して、「保存」をクリックします。
- [攻撃] -> [ペイロード] を選択してペイロードを作成します。設定できるオプションには、EDR をバイパスするスリープ時間の設定、および DLL インジェクション構成が含まれます。デフォルトは、メモ帳への SYSCALL システム コール インジェクション、AMSI/ETW およびその他の設定です。つまり、ウイルス検出はバイパスされ、高度な脅威スキャン技術は依然として比較的進歩しています。生成後、しばらく待つと保存アドレスが表示されるので、デスクトップを選択して保存します 名前は Demon.x64.exe
- このファイルをターゲットマシンに置き、ダブルクリックして実行するとサーバーが起動しますすぐにオンラインにします。whoami /all を使用してクエリを実行し、1 秒待ちます。後で、デフォルトの通信頻度がまだ比較的高いことがわかります。
- VisusTotal でリスクを検出したメーカーはかなりの数あり、その多くは大混乱ペイロードを直接特定しました。ハッブル解析システムは多くの低リスク操作を検出しましたが、結果はリスクとして特徴付けられませんでした。もちろん、これらの検出時間は短いため、後続の操作中に大混乱ペイロードが検出される可能性があります。
