加密webshell流量

作者:我不知道该唱什么 发布时间:January 22, 2016 19:20:43 分类:tech

之前群里在讨论webshell怎么过安全狗,
注意是过流量检查(返回内容、请求内容etc) 不是文件本身的查杀

有两位大王分别写了burp插件,也写了blog:
https://www.blackh4t.org/archives/1730.html
http://blog.j14nj13.com/?p=7
我记着当时是darkray先提出来的用burp做中转。
我的想法是用php做中转。

关于产品化和依据特定例子做出快速能用的工具的问题,有时间再讨论。
这里很显然我的想法是规则不尽相同,针对各个不同的站点不同的waf/ids规则进行快速重写,别轻易想着去通用化产品化,规则需要适应的情况太多,到最后只能是创建一个dsl来应对各种ids规则的境遇。
但是这也不能覆盖全面,因为未能解码(html,json)的http payload本来就很可疑。

下面是一个加密webshell流量的ad hoc版本,在10分钟内快速完成需求
这里加密的算法是一个demo,只是为了变形绕过检测。可以替换成其他方法
其中注册shutdown回调是因为有些上层工具比如中国菜刀等在动态代码最后加入die()

代码:

本机和proxy之间的流量:

proxy和目标之间的流量:

标签: none

已有 2 条评论 »

  1. 猴子 猴子

    前两天为了过个百度云waf自己也愣是折腾了两天菜刀的conf文件最终用的方法就是:

    1. 我不知道该唱什么 我不知道该唱什么

      @猴子
      后面的代码好像被strip了?

添加新评论 »