神兵利器 - Google C2
2023-6-25 10:12:5 Author: 黑白之道(查看原文) 阅读量:36 收藏

 Google Calendar RAT 是基于 Google Calendar Events 的 Command&Control (C2) 的 PoC,该工具是为那些难以创建完整的红队基础设施的情况而开发的。要使用 GRC,只需要一个 Gmail 帐户。该脚本通过利用谷歌日历中的事件描述创建一个“隐蔽频道”。目标将直接连接到谷歌,它可以被视为第 7 层应用程序隐蔽通道。

        GCR 尝试连接到有效的共享 Google 日历链接,并在为任何尚未执行的命令生成唯一 ID 检查之后。如果找不到任何命令,它会创建一个新命令(固定为“whoami”)作为连接证明。每个事件由两部分组成:

        包含唯一 ID 的标题,这意味着您可以安排多个命令创建具有与名称相同的唯一 ID 的事件

其中包含要执行的命令和使用管道符号作为分隔符“|”的 base64 编码输出

攻击流程

唯一建立的连接将是谷歌的服务器,使连接看起来完全合法。

设置谷歌服务账号并获取credentials.json文件,将文件放在脚本同级目录下

创建新的 Google 日历并与新创建的服务帐户共享

编辑脚本以指向您的日历地址

一旦在目标机器上执行,就会自动创建一个具有唯一目标 ID 的事件,并自动执行“whoami”命令

在通信的事件描述中使用以下语法 => CLEAR_COMMAND|BASE64_OUTPUT

例子:

"whoami|"

"net users|"

日期固定在 2023 年 5 月 30 日。您可以使用唯一 ID 作为事件名称来创建无限事件。

下载地址

https://github.com/MrSaighnal/GCR-Google-Calendar-RAT

文章来源:Khan安全攻防实验室 

黑白之道发布、转载的文章中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途及盈利等目的,否则后果自行承担!

如侵权请私聊我们删文

END

多一个点在看多一条小鱼干


文章来源: http://mp.weixin.qq.com/s?__biz=MzAxMjE3ODU3MQ==&mid=2650572376&idx=4&sn=d389985006d231117f34fbefe584ab79&chksm=83bde3bcb4ca6aaaf159b6a1c503e5f9ea5b4cbdd55f2c39ac1d748b1e1d1856aac6e4a72306#rd
如有侵权请联系:admin#unsafe.sh