Webshell篇&魔改哥斯拉&打乱特征指纹&新增后门混淆&过云查杀&过流量识别

实战场景:

某X60全家桶下的Web环境,Webshell植入后的渗透测试对抗情况。

准备:

1、环境准备-单机系统&杀毒产品&流量产品

2、反编译打包环境-IDEA安装&反编译工具

引出问题:

1、webshell工具里面的后门代码不被杀毒检测到-混淆

2、webshell工具里面的功能操作不被杀毒拦截到-魔改

3、webshell工具里面的操作连接不被平台捕获到-魔改

通过对冰蝎的数据包分析:

1、请求数据包头的三个强特征

2、已知数据的提交内容加密算法

流量平台设备可以分析数据包的两个强特征

提交数据进行默认算法解密去分析是否为哥斯拉攻击连接

解决1:绕过识别(魔改打乱特征,新增加密算法)

解决2:绕过查杀(魔改打乱特征,新增加密算法)

#魔改哥斯拉-JAR反编译打包构建

1、反编译Jar

https://www.decompiler.com/

IDEA反编译:

java -cp IDEA_HOME/plugins/java-decompiler/lib/java-decompiler.jar org.jetbrains.java.decompiler.main.decompiler.ConsoleDecompiler -dgs=true <src.jar> <dest dir>

2、新建lib,添加源码

lib存放工具项目,添加反编译源码

3、新建项目,配置构建

设置项目SDK,添加依赖,添加工件主类

#魔改哥斯拉-防识别-打乱特征指纹

1、去除hash验证

core/ApplicationConfig.java

2、版权修改

core/ui/MainActivity.java

3、流量特征

User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:84.0) Gecko/20100101 Firefox/84.0

Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8

Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2

core/ui/component/frame/ShellSetting.java

initAddShellValue

initUpdateShellValue

#魔改哥斯拉-防查杀-新增后门插件

1、免杀Shell

shells/cryptions/xxxx/template

大坑:

-代码采用内置的要生成出来在免杀

-免杀代码的变量名第一个不能为数字

2、新增插件

shells/plugins

3、更多玩法

https://mp.weixin.qq.com/s/dry90pizg-uf6yi3sWlt0Q

相关推荐
源远流长jerry8 分钟前
STM32之DMA详解
linux·网络·c++·stm32·单片机·嵌入式硬件
tianyuanwo22 分钟前
技术总结:AArch64架构下Jenkins Agent(RPM容器编译节点)掉线问题分析与排查
java·linux·jenkins
blasit38 分钟前
Ubuntu 20.04.6交叉编译得到Ubuntu 16.04.6的可执行文件
linux·运维·ubuntu
轻松Ai享生活1 小时前
详解Linux LVM (Logical Volume Manager)
linux·后端
奇妙-2 小时前
创龙3576ububuntu系统设置静态IP方法
linux
Jayyih2 小时前
嵌入式系统学习Day23(进程)
linux·运维·服务器
Johny_Zhao3 小时前
Conda、Anaconda、Miniconda对比分析
linux·网络安全·信息安全·kubernetes·云计算·conda·shell·containerd·anaconda·yum源·系统运维·miniconda
大数据小墨3 小时前
在Arch Linux上设置SDDM自动登录Hyprland
linux
shylyly_3 小时前
Linux->多线程3
java·linux·开发语言·阻塞队列·生产者消费者模型
小王努力学编程3 小时前
从零开始的 Docker 之旅
linux·运维·服务器·docker·容器·容器编排·镜像制作