加密webshell流量
2016-01-22 11:20:43之前群里在讨论webshell怎么过安全狗,
注意是过流量检查(返回内容、请求内容etc) 不是文件本身的查杀
有两位大王分别写了burp插件,也写了blog:
https://www.blackh4t.org/archives/1730.html
我记着当时是darkray提出来用burp做中转。我的想法是用php做中转。
关于产品化和依据特定例子做出快速能用的工具的问题,有时间再讨论。
这里很显然我的想法是规则不尽相同,针对各个不同的站点不同的waf/ids规则进行快速重写,别轻易想着去通用化产品化,规则需要适应的情况太多,到最后只能是创建一个dsl来应对各种ids规则的境遇。
但是这也不能覆盖全面,因为未能解码(html,json)的http payload本来就很可疑。
下面是一个加密webshell流量的ad hoc版本,在10分钟内快速完成需求
这里加密的算法是一个demo,只是为了变形绕过检测。可以替换成其他方法
其中注册shutdown回调是因为有些上层工具比如中国菜刀等在动态代码最后加入die()
代码:
proxy和目标之间的流量,是完全被混淆的
本机和proxy之间的流量是明文流量,但是明文流量不会离开攻击者的机器:
