Webshell篇&魔改哥斯拉&打乱特征指纹&新增后门混淆&过云查杀&过流量识别

实战场景:

某X60全家桶下的Web环境,Webshell植入后的渗透测试对抗情况。

准备:

1、环境准备-单机系统&杀毒产品&流量产品

2、反编译打包环境-IDEA安装&反编译工具

引出问题:

1、webshell工具里面的后门代码不被杀毒检测到-混淆

2、webshell工具里面的功能操作不被杀毒拦截到-魔改

3、webshell工具里面的操作连接不被平台捕获到-魔改

通过对冰蝎的数据包分析:

1、请求数据包头的三个强特征

2、已知数据的提交内容加密算法

流量平台设备可以分析数据包的两个强特征

提交数据进行默认算法解密去分析是否为哥斯拉攻击连接

解决1:绕过识别(魔改打乱特征,新增加密算法)

解决2:绕过查杀(魔改打乱特征,新增加密算法)

#魔改哥斯拉-JAR反编译打包构建

1、反编译Jar

https://www.decompiler.com/

IDEA反编译:

java -cp IDEA_HOME/plugins/java-decompiler/lib/java-decompiler.jar org.jetbrains.java.decompiler.main.decompiler.ConsoleDecompiler -dgs=true <src.jar> <dest dir>

2、新建lib,添加源码

lib存放工具项目,添加反编译源码

3、新建项目,配置构建

设置项目SDK,添加依赖,添加工件主类

#魔改哥斯拉-防识别-打乱特征指纹

1、去除hash验证

core/ApplicationConfig.java

2、版权修改

core/ui/MainActivity.java

3、流量特征

User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:84.0) Gecko/20100101 Firefox/84.0

Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8

Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2

core/ui/component/frame/ShellSetting.java

initAddShellValue

initUpdateShellValue

#魔改哥斯拉-防查杀-新增后门插件

1、免杀Shell

shells/cryptions/xxxx/template

大坑:

-代码采用内置的要生成出来在免杀

-免杀代码的变量名第一个不能为数字

2、新增插件

shells/plugins

3、更多玩法

https://mp.weixin.qq.com/s/dry90pizg-uf6yi3sWlt0Q

相关推荐
风曦Kisaki4 小时前
#Linux数据库管理Day06:主从同步与MaxScale读写分离
linux·运维·数据库
小楼昨夜又东风1264 小时前
使用python快速拉包
linux
Tipriest_5 小时前
ubuntu创建和更换当前swap大小
linux·运维·ubuntu
WI8LbH7887 小时前
Ubuntu 部署Harbor
linux·运维·ubuntu
researcher-Jiang7 小时前
高性能计算之MPI:第一次MPI并行程序设计练习
linux·运维·服务器
Wireless_wifi67 小时前
Why Choose IPQ9574 for Your WiFi 7 Solution
linux·人工智能·5g
MYMOTOE68 小时前
国内对标腾讯 WorkBuddy 的桌面 AI 智能体软件大全
linux
小c君tt8 小时前
linux学习笔记1
linux·笔记·学习
RisunJan9 小时前
Linux命令-read(Bash 内建读取输入)
linux
CCPC不拿奖不改名10 小时前
Redis 工程化部署深度解析
linux·服务器·数据库·redis·深度学习·缓存·rag