棱镜不断更新优化,实现很多有用的功能。其主要功能不再局限于漏洞扫描,在资产扫描中,棱镜是一款很好用的指纹识别工具;在红蓝对抗中同时又可以代替多款内网渗透以及应急响应工具。
远程管理支持Windows、Linux、MacOS,客户端经过更新,免杀效果大幅提升。在操作流程上棱镜还是秉持“一键化”原则,只需输入目标即可获得结果,大大减少用户操作。
棱镜附带了很多有意思的功能,文档中未提及,此篇文章做演示。
0x01 应急响应
在遇到挖矿、勒索等应急情况时通常做些进程、网络通信、登录日志、计划任务等信息的收集与排查工作,为了简化这一机性械操作我们在控制端新增了“一键溯源”功能,在目标机器安装客户端即可使用
点击“溯源”按钮,等待处理完成后在应急响应页面可看到结果
点击分析,即可获取采集到的系统进程、操作记录等痕迹,此功能支持Windows、Linux、MacOS全平台
计划对接IP情报服务,自动化检测通信IP信誉
0x02 Socks隧道
为了解决靶标限制端口开放并实现隧道和流量转发功能,我们实现了socks5隧道模块。通过在服务端监听一个端口,无需在被控端做任何动作,即可开启以被控端为流量出口的socks5隧道。这样可以绕过靶标限制端口开放,通过该隧道进行流量转发和安全测试
0x03 内网扫描
为了简化内网横向测试过程中的存活主机和端口扫描操作,在上传远程控制程序后避免重复上传内网扫描工具,在客户端新增了一个隐藏功能:在客户端的“运行”功能中输入命令“scan”,并提供需要扫描的IP地址或网段作为参数即可开启主机、端口存活扫描
0x04 邮件伪造
在优化“邮件测试”功能时,发现一个有趣的问题:通过伪造发件人的From字段结合某客户端可实现真实程度近98%的钓鱼攻击。使用棱镜发送一封自定义发件邮箱的邮件
客户端邮箱助手在收到邮件后会展示伪造后的发件人邮箱作为醒目提示
打开邮箱详情,展示的发件人也是伪造后的发件人,只是在邮箱后面提示了通过xxxxx
如果将伪造的发件人换成与收件人在同一组织内的账号,则客户端在提示时会自动拉取发件人在组织内的名称作为通知Title。
如果不是专业人员很难识别此邮件的安全性
0x05 近源攻击
安卓手机安装termux软件即可运行棱镜Linux_arm系统。在攻防实战中,使用WIFI万能钥匙 / 弱口令 等反方式连接到目标网络,进入内网后直接在手机上运行扫描。
安全交流群等更多内容:https://link3.cc/infosec404
考证咨询:全网最低最优惠报考NISP/CISP/CISSP/PTE/PTS/IRE/IRS等证书
【工具更新】Firefly-SRC资产探测平台新版更新
【工具更新】Invicti(Netsparker)最新版Crack(附下载)
【工具更新】BurpSuite最新版Windows/Linux/Mac(附下载)
【工具更新】Nessus 最新windows版Cracked(附下载)
【工具更新】AWVS 最新版Crack(附下载)
Windows 应急响应手册v1.2 【重要更新】
点个在看你最好看
