hombre de arena es una puerta trasera diseñada para funcionar en una red reforzada durante la participación del equipo rojo.
Sandman actúa como un organizador y utiliza NTP (un protocolo para sincronizar la hora y la fecha) para obtener y ejecutar arbitrariamente código de concha desde un servidor predefinido.
Debido a que NTP es un protocolo ignorado por muchos defensores, permite una amplia accesibilidad a la red.
Tabla de Contenidos
uso
SandmanServer (usado)
En máquinas Windows/*nix ejecute:
python3 sandman_server.py "Network Adapter" "Payload Url" "optional: ip to spoof"
- adaptador de red: El adaptador en el que desea que escuche el servidor (por ejemplo, ethernet para Windows, eth0 para *nix).
- URL de carga útil: La URL de su shellcode, que puede ser su proxy (por ejemplo, CobaltStrike o Meterpreter) u otro escenario.
- IP para falsificar: Si desea falsificar una dirección IP legítima (por ejemplo, la dirección IP de time.microsoft.com).
SandmanBackdoor (usado)
Primero, puede compilar SandmanBackdoor como como se indica a continuacióndado que es un único ejecutable de C# liviano, puede ejecutarlo a través de ExecuteAssembly, ejecutarlo como un proveedor de NTP o simplemente ejecutarlo/inyectarlo.
SandmanBackdoorTimeProvider (uso)
Para usarlo, debe seguir unos sencillos pasos:
- Agregue los siguientes valores de registro:
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient" /v DllName /t REG_SZ /d "C:\Path\To\TheDll.dll"
- Reinicie el servicio w32time:
sc stop w32time sc start w32time
Nota: ¡Asegúrese de compilar con las opciones x64 y no con las opciones de CPU!
capacidad
- Obtenga y ejecute cargas útiles arbitrarias desde el servidor controlado por el atacante.
- Puede funcionar en redes reforzadas, ya que NTP generalmente está permitido en el firmware.
- Hacerse pasar por un servidor NTP legítimo mediante la suplantación de IP.
configurar
SandmanServer (Configuración)
- pitón 3.9
- solicitud en Requerir documento.
SandmanBackdoor (Configuración)
Para compilar la puerta trasera usé Visual Studio 2022, pero como en usar parte Se puede compilar con VS2022 y CSC. Puede compilarlo con USE_SHELLCODE y usar el shellcode de Orca, o usar WebClient sin USE_SHELLCODE.
SandmanBackdoorTimeProvider (configuración)
Para compilar mi puerta trasera usando Visual Studio 2022, también necesita instalar Exportación de DLL Compílelo (a través de Nuget o de cualquier otra forma). Puede compilarlo con USE_SHELLCODE y usar el shellcode de Orca, o usar WebClient sin USE_SHELLCODE.