【防溯源】利用腾讯云来隐藏连接 Webshell 的真实 IP

最新推荐文章于 2024-05-23 16:40:08 发布
最新推荐文章于 2024-05-23 16:40:08 发布
阅读量5.7k 收藏 16
点赞数 4
分类专栏: 红队技术
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/nzjdsds/article/details/119259474
版权

因为腾讯云函数自带CDN,这样我们可以通过腾讯云函数来转发我们的Webshell请求,从而达到隐藏真实IP的目的

首先来到腾讯云后台找到云函数,我们使用自定义的模版:
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-GZGa6v1w-1627663757519)(https://note.youdao.com/yws/res/a/WEBRESOURCEcda13ce1dc0a1edf056d01127040f6ea)]

将下面代码复制到index.py中

# -*- coding: utf8 -*-
import requests
import json
def geturl(urlstr):
    jurlstr = json.dumps(urlstr)
    dict_url = json.loads(jurlstr)
    return dict_url['u']
def main_handler(event, context):
    url = geturl(event['queryString'])
    postdata = event['body']
    headers=event['headers']
    resp=requests.post(url,data=postdata,headers=headers,verify=False)
    response={
        "isBase64Encoded": False,
        "statusCode": 200,
        "headers": {'Content-Type': 'text/html;charset='+resp.apparent_encoding},
        "body": resp.text
    }
    return response

在这里插入图片描述

部署成功后,点击触发管理->创建触发器

T0R1F2U-1627663757528)(https://note.youdao.com/yws/res/e/WEBRESOURCE3b1808eef89dfb253d76ba655c7958ae)]![

这里需要选择API网关触发

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-yV00gcfq-1627663757529)(https://note.youdao.com/yws/res/b/WEBRESOURCEf169f79a80945be966dceb97fb27519b)]

创建成功后

我们就可以在地下看到我们的访问路径

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-XRqzOXxe-1627663757532)(https://note.youdao.com/yws/res/a/WEBRESOURCE65ce50dea5658dfdd9a858a4e9edb51a)]

然后在我们的访问路径后面增加?u=webshell一句话木马的地址即可

例如

https://sxxxxxxxxxxxxxxxxx.gz.apigw.tencentcs.com/release/helloworld-1627229247?u=http://xxxx/webshell.php

这里我用docker-compose来临时搭建了一个PHP服务

利用docker-coompose快速搭建PHP:https://github.com/nanoninja/docker-nginx-php-mysql

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-ewSUB2Oh-1627663757533)(https://note.youdao.com/yws/res/c/WEBRESOURCE4d5420ff024245d24793def723b156ec)]

然后在对应的文件夹下写一个webshell

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-HcY4TrJn-1627663757535)(https://note.youdao.com/yws/res/f/WEBRESOURCEa189b6e94b972059ee1c3f852f6cfc8f)]

然后我们在开启一个终端来实时查看PHP容器的日志信息

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-Pl3kX5FT-1627663757537)(https://note.youdao.com/yws/res/9/WEBRESOURCE2b903a40bf91e016f9542488758a4d49)]

这里我通过蚁剑直接连接,可以看到logs显示出了我的真实IP地址

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-hGGFh3jU-1627663757539)(https://note.youdao.com/yws/res/5/WEBRESOURCE7ebda8aa1f5cf690c34a342250b4e1d5)]

然后我们在尝试通过腾讯云的云函数来访问我们的webshell

打开蚁剑,url设置为刚刚复制的云函数访问路径?u=木马路径。

https://serxxxxxxxxxxxx.gz.apigw.tencentcs.com/release/forwarded?u=http://vps-ip/index.php

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-ledHZEZq-1627663757540)(https://note.youdao.com/yws/res/a/WEBRESOURCE0f0d78a54c078a95f6e259d28e3160da)]

然后测试连接成功

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-P0zfNfBM-1627663757543)(https://note.youdao.com/yws/res/f/WEBRESOURCE2231fc0a63d1ffa06f0b6a6bff86e3ff)]

然后我们再次访问webshell,可以看到IP已经变为腾讯云CDN的IP

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-qnH7OvCz-1627663757546)(https://note.youdao.com/yws/res/c/WEBRESOURCEf54f38d956c3c8d69fa469511f30824c)]

补充:

这里最好在【函数管理】 -> 【函数配置】里面,最好把执行超时时间设置成和蚁剑里面的超时时间一样或者更长

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-AyqeCsy0-1627663757548)(https://note.youdao.com/yws/res/b/WEBRESOURCEf25a8a172c5e21d40a81ff17fcbf532b)]

大方子
关注
  • 4
    点赞
  • 16
    收藏
    觉得还不错? 一键收藏
  • 5
    评论
专栏目录
溯源利用腾讯云隐藏连接Webshell真实IP
Ms08067安全实验室
08-10 770
文章来源|MS08067安全实验室本文作者:大方子(MS08067实验室核心成员)因为腾讯云函数自带CDN,这样我们可以通过腾讯云函数来转发我们的Webshell请求,从而达到隐藏真实IP...
WebShell文件上传漏洞分析溯源
02-22
WebShell 文件上传漏洞分析溯源 一、WebShell 文件上传漏洞概述 WebShell 文件上传漏洞是指攻击者通过上传恶意文件(如WebShell)来获取服务器的控制权,从而实现对服务器的攻击和控制。这种漏洞通常存在于Web应用...
使用云函数隐藏webshell真实IP
weixin_61638307的博客
04-10 540
在平时的学习工作中,大家有没有遇到一穿webshell就被ban掉IP呢,今天本文就决定分享一个使用云函数隐藏自己的真实IP的案例,也可以利用函数的多出口性为了止被红队溯源
使用腾讯云函数隐藏C2
最新发布
2201_75387456的博客
05-23 795
腾讯云函数(Serverless Cloud Function,SCF),可以为企业和开发者提供无服务器执行环境,无需购买和管理服务器,只要在腾讯云上使用平台支持的语言编写核心代码并设置代码运行的条件,即可在腾讯云基础设施上弹性、安全地运行代码。所有的流量都是通过腾讯云函数进行转发,因此溯源后门只能得到腾讯云的域名和IP,且云函数的服务器是自带 CDN 的,能够很好的隐藏我们的C2服务器。发布成功,到这里我们的云函数和触发器就配置成功了。域前置,走cdn域名,利用函数。保存,生成后门进行测试。
ASP隐藏IP地址函数
夢里水鄉
05-05 119
<% 'IP隐藏,0不隐藏,1隐藏最后一部分,2隐藏最后两部分,3隐藏最后三部分,其他数字则全部隐藏 Function Hide_IP(IP,num) If Instr(IP,":")>0 Then IP="127.0.0.1" Dim IpSplit IPnew=split(IP,".") Select Case num Case 0 Hide_IP = IP Case 1 Hide_IP = IPnew(0)&"."&IPnew(1
关于一句话webshell隐藏(建议)
weixin_30587927的博客
01-08 85
关于如何更好的隐藏webshell的几点建议: 1,尽量藏在那些程序员和管理员都不会经常光顾的目录中 比如:第三方工具的一些插件目录,主题目录,编辑器的图片目录以及一些临时目录 2,目录层级越深越好,平时网站不出问题的话,一般四五级目录很少会被注意到 3,webshell的名字千万不要太扎眼,比如:hack.php,sb.php,x.php这样的名字严禁出现……,在给webshell起名...
腾讯云找回自己用过的ip
子燕若水的博客
10-12 417
若您误操作释放或退还了公网 IP 地址(包含 EIP 和普通公网 IP),可以在公网 IP 控制台找回,找回后的公网 IP 为 EIP
webshell连接工具skyscorpionV1.0.beta39.20210126.zip
04-27
Webshell连接工具Skyscorpion V1.0.beta39.20210126.zip是一款专门针对Web安全领域的实用工具,主要用于管理和控制已植入的WebshellWebshell通常是在网站服务器上通过SQL注入、文件上传漏洞等攻击手段留下的后门,...
利用 通达OA 文件上传漏洞上传webshell获取主机权限
04-30
帮客户搭建一个演示环境,用于给领导演示,这里我利用了通达OA11.6文件上传漏洞往靶机上上传了一个webshell,然后通过蚁剑去连接webshell从而获取主机权限。 环境要求: 1.靶机环境win10 2.通达OA版本11.6 3.攻击机...
WebShell文件上传漏洞分析溯源(第3题)
02-22
WebShell 文件上传漏洞分析溯源 本文将对 WebShell 文件上传漏洞进行深入分析,探讨其原理、危害性以及御方法。同时,通过实践演示,展示如何绕过页面对可执行文件上传的限制,利用 WebShell 读取服务器上的源...
webshell 攻与kill_webshell_detect-master.zip
07-25
最近几个月中,参加过很多webshell检测的比赛,有我们内部的,也有其他厂商的,平心而论,TSRC和 青藤云针对webshell|文件的检测思路和实现成熟度是业界领先的,使用动静态污点分析webshell文件,已经是非常高级的...
Socket API隐藏自己的真实IP
flyinwuhan的专栏
03-23 3706
               下面是利用RAW Socket自己管理IP头和UDP头的例子~~~~~UDP隐藏自己的IP很容易,但是TCP就难了,因为必须和远程主机建立连接~~~~~~~~`假的IP地址怎么建立连接呢???interfaceuses  Windows, Messages, SysUtils, Variants, Classes, Graphics, Controls, Forms,
溯源连接WebShell
Vicl1fe的博客
03-04 1812
前言 原理就是通过腾讯云的云函数将我们的请求进行转发,目标那里获取到的IP腾讯云IP,并且有CDN。 实战 首先我们登陆到腾讯云的控制台https://console.cloud.tencent.com/scf。第一次使用云函数的时候可能需要授权。点击新建 这里直接默认就好,也可以设置一下函数名称和地域。然后点击完成 然后依次点击函数服务->函数管理->函数代码。将下面的代码粘贴到index.py中 # -*- coding: utf8 -*- import requests impor
【红队APT】反朔源隐藏&C2项目&CDN域前置&云函数&数据中转&DNS转发
今天是几号的博客
04-19 2586
区别于单纯的CDN隐藏IP技术;域前置技术采用高权重域名进行伪装,效果要更上一层楼!可以看到这里正常上线,也是简单的进行流量代理,这里我把上面的iptables转发配置清空了,避免干扰 注: 如果中转服务器被拿下的话,那么搜集信息很可能就可以发现请求重定向的痕迹,从而找到真实C2地址。 请求重定向也可以和之前的CDN方法相结合,之前CDN方法是通过CDN将请求转发到真实的C2服务器上,而添加请求重定向后,流程就变为了CDN转发到中转服务器,中转服务器再转到C2,达到双重隐藏的效果。
溯源反制】CDN&域前置&云函数-流量分析|溯源
今天是几号的博客
05-12 3405
1、不备案的域名+禁用不必要的域名解析记录(止被溯源收集到更多信息)2、使用HTTPS通讯3、C2服务器混淆基础特征-修改profile配置文件,修改ssl证书4、CS服务端火墙做策略,仅允许目标主机网段连接止其他网段主机对其进行扫描,溯源5、加跳板、代理等,当然最重要的是免杀了……
服务器被入侵了,溯源全过程(实战)
diaobusi的博客
06-22 2050
黑客为什么之前一直以 ssh方式用“git”等账号连接,在19号之前都是显示账号不可用,为什么19号那天突然就创建了一个git账号并成功入侵?应急处理的方式太过于草率,简单除暴的关闭火墙端口,如果是在生产环境中,要怎么去完美处理这类事件?对Linux的日志文件还不够熟悉,在翻阅日志时,只知道大概的方面,并不知道该何处入手分析?对linux后门不够了解。linux命令掌握的不够全面。址的SSH连接。你配置火墙规则,例如限制特定IP地址或IP地址范围对SSH端口的访问。
对云函数隐藏C2技术的御反制思路
include_voidmain的博客
08-30 1669
对云函数隐藏C2技术的御反制思路
浅谈溯源反制与溯源
weixin_48421613的博客
02-06 4343
溯源反制与溯源的小谈
蚁剑绕过腾讯云webshell查杀
08-18
蚁剑是一种功能强大的网络攻击工具,可以用于绕过腾讯云等系统的WebShell查杀功能。 蚁剑的主要原理是通过传输恶意代码的方式绕过腾讯云WebShell查杀机制。腾讯云WebShell查杀功能通常是通过检测和过滤具有恶意代码特征的文件或代码来进行的。然而,蚁剑可以使用一些技术手段来隐藏恶意代码,使其不容易被腾讯云的查杀机制所发现。 首先,蚁剑可以对恶意代码进行加密或混淆处理。通过对代码进行加密或使用特定的编码方式,可以将恶意代码的内容变得晦涩难懂,使其难以被腾讯云查杀引擎所识别。 其次,蚁剑还可以利用一些反查杀技术来规避腾讯云的查杀机制。例如,蚁剑可以检测到目标系统上的查杀程序,并在检测到时自动切换为其他的隐藏模式,以避免被检测到和查杀。 此外,蚁剑还具有自动适应性的特点。它可以根据不同的环境和系统自动调整自身的工作方式,使其更加隐蔽和难以被腾讯云WebShell查杀机制察觉。 然而,作为一个网络攻击工具,蚁剑违反了法律规定,并且会给网络系统的安全带来风险。因此,在任何情况下,我们都不鼓励和支持使用蚁剑等类似工具进行非法活动。维护网络安全,应该是我们的共同责任,我们应该遵守法律规定,不从事网络攻击和破坏行为。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值