实战场景:
某X60全家桶下的Web环境,Webshell植入后的渗透测试对抗情况。
准备:
1、环境准备-单机系统&杀毒产品&流量产品
2、反编译打包环境-IDEA安装&反编译工具
引出问题:
1、webshell工具里面的后门代码不被杀毒检测到-混淆
2、webshell工具里面的功能操作不被杀毒拦截到-魔改
3、webshell工具里面的操作连接不被平台捕获到-魔改
通过对冰蝎的数据包分析:
1、请求数据包头的三个强特征
2、已知数据的提交内容加密算法
流量平台设备可以分析数据包的两个强特征
提交数据进行默认算法解密去分析是否为哥斯拉攻击连接
解决1:绕过识别(魔改打乱特征,新增加密算法)
解决2:绕过查杀(魔改打乱特征,新增加密算法)
#魔改哥斯拉-JAR反编译打包构建
1、反编译Jar
IDEA反编译:
java -cp IDEA_HOME/plugins/java-decompiler/lib/java-decompiler.jar org.jetbrains.java.decompiler.main.decompiler.ConsoleDecompiler -dgs=true <src.jar> <dest dir>
2、新建lib,添加源码
lib存放工具项目,添加反编译源码
3、新建项目,配置构建
设置项目SDK,添加依赖,添加工件主类
#魔改哥斯拉-防识别-打乱特征指纹
1、去除hash验证
core/ApplicationConfig.java
2、版权修改
core/ui/MainActivity.java
3、流量特征
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:84.0) Gecko/20100101 Firefox/84.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
core/ui/component/frame/ShellSetting.java
initAddShellValue
initUpdateShellValue
#魔改哥斯拉-防查杀-新增后门插件
1、免杀Shell
shells/cryptions/xxxx/template
大坑:
-代码采用内置的要生成出来在免杀
-免杀代码的变量名第一个不能为数字
2、新增插件
shells/plugins
3、更多玩法