Webshell篇&魔改哥斯拉&打乱特征指纹&新增后门混淆&过云查杀&过流量识别

实战场景:

某X60全家桶下的Web环境,Webshell植入后的渗透测试对抗情况。

准备:

1、环境准备-单机系统&杀毒产品&流量产品

2、反编译打包环境-IDEA安装&反编译工具

引出问题:

1、webshell工具里面的后门代码不被杀毒检测到-混淆

2、webshell工具里面的功能操作不被杀毒拦截到-魔改

3、webshell工具里面的操作连接不被平台捕获到-魔改

通过对冰蝎的数据包分析:

1、请求数据包头的三个强特征

2、已知数据的提交内容加密算法

流量平台设备可以分析数据包的两个强特征

提交数据进行默认算法解密去分析是否为哥斯拉攻击连接

解决1:绕过识别(魔改打乱特征,新增加密算法)

解决2:绕过查杀(魔改打乱特征,新增加密算法)

#魔改哥斯拉-JAR反编译打包构建

1、反编译Jar

https://www.decompiler.com/

IDEA反编译:

java -cp IDEA_HOME/plugins/java-decompiler/lib/java-decompiler.jar org.jetbrains.java.decompiler.main.decompiler.ConsoleDecompiler -dgs=true <src.jar> <dest dir>

2、新建lib,添加源码

lib存放工具项目,添加反编译源码

3、新建项目,配置构建

设置项目SDK,添加依赖,添加工件主类

#魔改哥斯拉-防识别-打乱特征指纹

1、去除hash验证

core/ApplicationConfig.java

2、版权修改

core/ui/MainActivity.java

3、流量特征

User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:84.0) Gecko/20100101 Firefox/84.0

Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8

Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2

core/ui/component/frame/ShellSetting.java

initAddShellValue

initUpdateShellValue

#魔改哥斯拉-防查杀-新增后门插件

1、免杀Shell

shells/cryptions/xxxx/template

大坑:

-代码采用内置的要生成出来在免杀

-免杀代码的变量名第一个不能为数字

2、新增插件

shells/plugins

3、更多玩法

https://mp.weixin.qq.com/s/dry90pizg-uf6yi3sWlt0Q

相关推荐
小嵌同学12 分钟前
Meson:开源的自动化构建系统
linux·运维·开源·自动化·meson
果子⌂38 分钟前
Zabbix 企业级高级应用
linux·运维·nginx·zabbix
IPFLY代理专家2 小时前
Linux设置动态IP的三种方法:图文+命令行实操详解
linux·前端框架
mygugu2 小时前
Conda install安装了一些库,如何撤销操作
linux·conda
努力做小白2 小时前
Linux驱动25 --- RkMedia音频API使用&&增加 USB 音视频设备
linux·驱动开发·单片机·嵌入式硬件·音视频
明月心9522 小时前
NFS CENTOS系统 安装配置
linux·运维·centos
Raymond运维3 小时前
MySQL 8.0源码编译安装(二)
linux·运维·mysql
liunim903 小时前
linux服务器上word转pdf后乱码问题
linux·服务器·pdf
小王努力学编程4 小时前
【Linux系统编程】线程概念与控制
linux·服务器·开发语言·c++·学习·线程·pthread库
gogogo出发啦4 小时前
JVM快速入门
linux·运维·jvm