在红队渗透测试过程中,数据的归集、处理与安全外带是一个常被忽略却极其重要的环节。尤其是在复杂的环境下,我们往往需要对目标系统中的关键目录或敏感数据进行快速打包,以供后续分析、归档或通过侧信道外发。
然而,实际环境并不总是如人所愿,传统压缩工具受限于图形界面或依赖库,难以在特殊场景中直接调用;同时,它们往往缺乏对冗余目录、无用扩展名的过滤能力,导致打包结果臃肿、容易触发安全告警。
某次攻防演练中,红队遭遇了典型场景:通过WebShell上传的可执行文件触发了EDR的静态特征检测,压缩的目录又无法排除obj目录下3.2GB的调试符号文件。当尝试传输这个包含大量冗余数据的压缩包时,目标内网的流量审计设备发出了告警...这类问题催生了我们对专用压缩工具的思考。
1.1 哥斯拉打包
哥斯拉等WebShell管理工具内置的打包功能存在两个问题:无法跳过指定目录遇到超过2GB的文件时成功率不足80%,容易崩溃,如下图所示。
1.2 可执行文件
我们之前分享的Sharp4ArchiveZip.exe虽经可以完成压缩,但由于使用第三方库技术,导致体积过大,不便测试使用。
Sharp4CompressArchive.exe "D:SoftWarePython313""C:WindowsTasksWEB123.zip""aspnet_client"".exe,.zip,.docx,.pdf"
这条命令的含义为:将 D:SoftWarePython313 目录进行压缩,生成的 zip 文件保存至 C:WindowsTasksWEB123.zip,同时排除掉名称为 aspnet_client 的子目录以及所有扩展名为 .exe、.zip、.docx、.pdf 的文件,运行时如下图所示。
以上相关的知识点已收录于新书《.NET安全攻防指南》,全书共计25章,总计1010页,分为上下册,横跨.NET Web代码审计与红队渗透两大领域。
上册深入剖析.NET Web安全审计的核心技术,帮助读者掌握漏洞发现与修复的精髓;下册则聚焦于.NET逆向工程与攻防对抗的实战技巧,揭秘最新的对抗策略与技术方法。
从漏洞分析到安全攻防,我们涵盖了 .NET 安全各个关键方面,为您呈现最新、最全面的 .NET 安全知识,下面是公众号发布的精华文章集合,推荐大伙阅读!
20+专栏文章
海量资源和工具
专属成员交流群
已入驻的大咖们
欢迎加入我们
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...