HTTP隐蔽隧道工具--Stowaway流量特征检测分析

于 2024-08-16 16:19:25 发布
阅读量1k 收藏 15
点赞数 22
分类专栏: 工具流量分析 文章标签: http 网络协议 网络 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36259703/article/details/141262959
版权

工具介绍

项目地址
https://github.com/ph4ntonn/Stowaway
Stowaway是一个利用go语言编写、专为渗透测试工作者制作的多级代理工具
用户可使用此程序将外部流量通过多个节点代理至内网,突破内网访问限制,构造树状节点网络,并轻松实现管理功能
结构特征:
感觉类似termite

流量&逻辑分析

截止到目前为止,官网最新版本为2.1版本

环境&测试准备

环境配置
外部服务器Ubantu 192.168.2.134 stowaway admin端
内部服务器WIn10 192.168.2.1 stowaway agent端
内部资源Win7 http://192.168.2.130:8888 只允许192.168.2.1访问

测试流程

  1. Ubantu运行下面命令对3000端口进行监听处理

./linux_x64_admin -l 3000

image.png

  1. Win10连接Ubantu监听的3000端口

.\windows_x64_agent.exe -c 192.168.2.134:3000image.png

  1. 在Ubantu上可以执行各种功能

image.png

检测特征

其整体架构和相关的页面个人感觉和Termite非常类似,其中admin和agent的入口函数分别在agent目录下的agent.go和admin目录下的admin.go
image.png
admin和agent中都会调用initial.ParseOptions方法对输入的参数做解析,确定运行的模式的一些其他功能的开启与否。

Agent逻辑分析

下面这些逻辑和分析基于未使用-s参数,即未加密情况进行,加密情况另行研究
主入口函数为agent#agent.go#19#main.php,主要方法如下:
image.png
参数解析需要注意一下,关于up和down的参数,默认只有http和raw两种类型,直接跟踪process.NewAgent方法
image.png
其中UUID参数值在protocol#protocol.go中定义
image.png
childrenMessChan用于生成ChildrenMess传输信道,其由两部分组成,Header+message,Header同样在protocol.go中定义
image.png
之后针对不同的分支做不同的处理,其实就是进入method.go的不同分支,针对admin和agent都是一样的操作。

NORMAL_ACTIVE类型(-c参数)

image.png
函数入口在agent#initial#method.go#46-110,主要代码如下:

func NormalActive(userOptions *Options, proxy share.Proxy) (net.Conn, string) {
    //实例化发送消息和接收消息
    var sMessage, rMessage protocol.Message
    // 生成HIMEss,相关数据结构在protocol.go中定义
    hiMess := &protocol.HIMess{
        GreetingLen: uint16(len("Shhh...")),
        Greeting:    "Shhh...",
        UUIDLen:     uint16(len(protocol.TEMP_UUID)), //IAMNEWHERE
        UUID:        protocol.TEMP_UUID,	//IAMNEWHERE
        IsAdmin:     0,
        IsReconnect: 0,
    }
    header := &protocol.Header{
        Sender:      protocol.TEMP_UUID, //IAMNEWHERE
        Accepter:    protocol.ADMIN_UUID, //IAMADMINXD
        MessageType: protocol.HI, //0 uint16
        RouteLen:    uint32(len([]byte(protocol.TEMP_ROUTE))), //THEREISNOROUTE uint32
        Route:       protocol.TEMP_ROUTE,
    }
    for {
        ...
    	//授权认证,取serect值的后16位(如果没设置就是0的md5)发送到服务器,并获取服务器返回判断是否相同
        if err := share.ActivePreAuth(conn, userOptions.Secret); err != nil {
            ...
        }
        //依据不同的协议生成raw或者http类型数据,http相比于raw来说就是增加了Header部分,后面的raw数据在body中,如果设置-s参数,后续的加密会使用AES进行加密(会对key进行填充或切割处理,32位)
        sMessage = protocol.PrepareAndDecideWhichSProtoToUpper(conn, userOptions.Secret, protocol.TEMP_UUID)
    	//生成Message,这一步中会依次调用ConstructData(生成头部数据和body数据)、ConstructHeader(生成HTTP头部)、ConstructSuffix(暂未实现,暂时不用关注)
        protocol.ConstructMessage(sMessage, header, hiMess, false)
        //发送数据
        sMessage.SendMessage()
        //判断上游协议
        rMessage = protocol.PrepareAndDecideWhichRProtoFromUpper(conn, userOptions.Secret, protocol.TEMP_UUID)
        //解析数据,Contstruct的逆向操作
        fHeader, fMessage, err := protocol.DestructMessage(rMessage)
        ...
        if fHeader.MessageType == protocol.HI {
            mmess := fMessage.(*protocol.HIMess)
            if mmess.Greeting == "Keep slient" && mmess.IsAdmin == 1 {
                //接收UUID处理
                uuid := achieveUUID(conn, userOptions.Secret)
                return conn, uuid
            }
        }
    }
}

其中HEAER接口如下
image.png
HTTPMESSAGE中用于生成HTTP HEADER的ConstructHeader如下
image.png
重点关注一下raw类型数据中的ConstructData方法和DeconstructData方法,关键部分代码如下:

func (message *RawMessage) ConstructData(header *Header, mess interface{}, isPass bool) {
    ...
    //默认为0
    binary.BigEndian.PutUint16(messageTypeBuf, header.MessageType)
    //默认值为0000000e
	binary.BigEndian.PutUint32(routeLenBuf, header.RouteLen)
    //写入Header数据,默认为IAMNEWHEREIAMADMINXD\x00\x00\x00\x00\x00\x0eTHEREISNOROUTE
    headerBuffer.Write([]byte(header.Sender))
	headerBuffer.Write([]byte(header.Accepter))
	headerBuffer.Write(messageTypeBuf)
	headerBuffer.Write(routeLenBuf)
	headerBuffer.Write([]byte(header.Route))
    ...
    //dataBuffer为hiMess处理之后内容,默认为0007536868682e2e2e000a49414d4e45574845524500000000
    //默认会进行此操作,isPass默认为False
    if !isPass {
        //Gzip压缩,默认数据为1f8b08000000000000ff62600fcec8c8d0d3d363e0f274f4f5730df7700d726560606000040000ffff7cebbead19000000,注意这里关于go中的gzip压缩和其余的压缩数据稍有不同,具体原因可自行百度
		message.DataBuffer = crypto.GzipCompress(message.DataBuffer)
        //进行AES加密,如果未设置key的话,这一步不会进行
		message.DataBuffer = crypto.AESEncrypt(message.DataBuffer, message.CryptoSecret)
	}
    
}

DeconstructData方法用于解析收到的数据,解析为header+body的形式,为ConstructData的逆向处理过程,其中会存在针对MessageType的判断行为,判断是哪种数据类型从而成功对应的新的请求数据:
image.png
在上面不同的选择处理分支都处理完成之后都会进入到agent.Run()代码
image.png

Admin逻辑分析

入口在admin.go中image.png
其中topo是保存整个链路网络的全部信息和节点通信之间的调度处理,非常重要。
按照对应Agent端的程序逻辑,其中NormalPassive在agent代码分析中已经分析完了,只剩下NormalPassive类型

NormalPassive(-l)

主要代码如下:

func NormalPassive(userOptions *Options, topo *topology.Topology) net.Conn {
    ...
    //监听端口
	listener, err := net.Listen("tcp", listenAddr)
	...
	var sMessage, rMessage protocol.Message
    //admin端的默认hiMess
	hiMess := &protocol.HIMess{
		GreetingLen: uint16(len("Keep slient")), //0b
		Greeting:    "Keep slient",
		UUIDLen:     uint16(len(protocol.ADMIN_UUID)), //0a
		UUID:        protocol.ADMIN_UUID, //IAMADMINXD
		IsAdmin:     1, //int16
		IsReconnect: 0,	//int16
	}
	//Header初始化
	header := &protocol.Header{
		Sender:      protocol.ADMIN_UUID,	//IAMADMINXD
		Accepter:    protocol.TEMP_UUID,	//IAMNEWHERE
		MessageType: protocol.HI,	//0 int16
		RouteLen:    uint32(len([]byte(protocol.TEMP_ROUTE))),	//0e
		Route:       protocol.TEMP_ROUTE,	//THEREISNOROUTE
	}
	for {
        //监听
		conn, err := listener.Accept()
        //和客户端相同的密码验证
		if err := share.PassivePreAuth(conn, userOptions.Secret); err != nil {
        	...
		}
    	//选择协议
		rMessage = protocol.PrepareAndDecideWhichRProtoFromLower(conn, userOptions.Secret, protocol.ADMIN_UUID)
        //解析Cleint发送的hiMess
		fHeader, fMessage, err := protocol.DestructMessage(rMessage)
		if fHeader.MessageType == protocol.HI {
			...
				...
                //构造服务端的HiMessage并发送,默认的HeaderBuff为IAMADMINXDIAMNEWHERE00000000000eTHEREISNOROUTE0000000000000005,默认的DataBuffer为1f8b08000000000000ff62e0f64e4d2d5028cec94ccd2b61e0f274f47574f1f5f48b706160646000040000ffffcb28c8cb1d000000
				protocol.ConstructMessage(sMessage, header, hiMess, false)
				sMessage.SendMessage()
				if mmess.IsReconnect == 0 {
                    //disapatchUUID用于和agent确认uuid,admin中生成通过Message形式发送给agent,其中调用了GenerateUUID,生成了10位[0-9a-z]数据,默认Header为IAMADMINXDIAMNEWHERE00010000000eTHEREISNOROUTE0000000000000024,默认Data为1f8b0b000000000000ff62e0b230494d354a32b24c4a03040000ffff92a1c4f80c000000
					node := topology.NewNode(dispatchUUID(conn, userOptions.Secret), conn.RemoteAddr().String())
					task := &topology.TopoTask{
						Mode:       topology.ADDNODE,
						Target:     node,
						ParentUUID: protocol.TEMP_UUID,
						IsFirst:    true,
					}
                    //发送到task信道处理
					topo.TaskChan <- task

					<-topo.ResultChan

					printer.Success("[*] Connection from node %s is set up successfully! Node id is 0\r\n", conn.RemoteAddr().String())
				} else {
                    //针对设置了重连选项的节点,直接使用当前的UUID
					node := topology.NewNode(mmess.UUID, conn.RemoteAddr().String())
            	...
	}
}

检测规则

主要检测思路,检测数据的Header部分,body涉及到加密问题,但是Header部分不涉及到加密

whereGoAn
关注
专栏目录
多级代理工具Stowaway
飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘
03-22 5156
节点: 指admin || agent主动模式: 指当前操作的节点主动连接另一个节点被动模式: 指当前操作的节点监听某个端口,等待另一个节点连接上游: 指当前操作的节点与其父节点之间的流量下游:指当前操作的节点与其所有子节点之间的流量
网络攻防技术——溯源取证与分析实验
学习记录
02-28 6743
一、题目 溯源取证分析作为网络攻防过程中重要环节,准确找到攻击者的入侵线索(尤其是攻击突破口、攻击IP地址、域名、工具等信息),对于企业或者团队安全运营团队来说都是必备技能。常规攻击取证过程中往往会结合流量Web访问日志、终端系统或者软件日志等信息来挖掘或者推断相关线索。本实验通过网络流量、日志等溯源环境进行真实案例模仿,通过实战化分析来锻炼学生的取证溯源能力,从而加深大家对于网络攻防的实战化水平。在本实验结束时,学生应该能够具备对网络流量和日志的基本分析能力。 二、过程 一、Webshell数据包(we
Stowaway::ghost:Stowaway-用于渗透测试者的多跳代理工具
02-06
偷渡者 Stowaway是一个利用go语言编写,专为渗透测试工作者制作的多级代理工具 用户可使用此程序将外部流量通过多个代理至内网,突破内网访问限制,构造树状节点网络,并轻松实现管理功能 PS:谢谢大家的star,同时欢迎大家使用后提出问题 :face_blowing_a_kiss: 。 PPS:请在使用前详细阅读使用方法及文末的注意事项! 此工具仅限于安全研究和教学,用户承担因使用此工具而导致所有法律和相关责任!作者不承担任何法律和相关责任! 特性 一目了然的议员树管理 丰富的摘要信息展示及长久保存 官员间正向/反向连接 官员间可通过socks5代理进行反向连接 ssh隧道连接 多平台适应 多级袜子5流量代理转发(支持UDP /
内网穿透工具--Stowaway流量特征检测分析
qq_36259703的博客
01-24 1826
Stowaway是一个利用go语言编写、专为渗透测试工作者制作的多级代理工具用户可使用此程序将外部流量通过多个节点代理至内网,突破内网访问限制,构造树状节点网络,并轻松实现管理功能感觉类似termite。
HTTP隐蔽隧道工具--pystinger流量特征检测分析
qq_36259703的博客
10-20 248
毒刺(pystinger)通过webshell实现可直接用于metasploit-framework,viper,cobalt strike上线.主体使用python开发,当前支持php,jsp(x),aspx三种代理脚本.
http隐蔽隧道搭建
u014310010的专栏
10-25 3222
本文参考自多个博客,具体链接会在文中详细写出,感谢各位原作者 HTTP隐蔽隧道环境搭建一 使用httptunnel(linux)工具搭建环境 工具下载地址: https://linux.softpedia.com/get/System/Networking/HTTPTunnel-7159.shtml 客户端服务器分别编译httptunnel 根据docs/README中的配置示例搭建环...
组件分享之后端组件——一个利用go语言编写、专为渗透测试工作者制作的多级代理工具Stowaway...
CN華少的博客
04-19 363
组件分享之后端组件——一个利用go语言编写、专为渗透测试工作者制作的多级代理工具Stowaway 背景 近期正在探索前端、后端、系统端各类常用组件与工具,对其一些常见的组件进行再次整理一下,形成标准化组件专题,后续该专题将包含各类语言中的一些常用组件。欢迎大家进行持续关注。 组件基本信息 组件:Stowaway 开源协议:MIT License 内容 本节我们分享一个利用go语言编写、专为...
基于静态数据流分析的android应用权限检测方法
08-24
传统的检测方法如STOWAWAY,依赖于自动化测试工具生成权限匹配图,然后对比应用实际使用的权限和声明的权限。这种方法虽然有一定效果,但存在一定的局限性。本文提出的新方法采用数据流分析技术,能更深入地理解应用...
基于改进随机森林算法的Android恶意软件静态检测
04-03
例如,Felt等设计的stowaway工具可以检测应用的过度权限问题,而Enck等提出的Kirin安全机制则基于权限规则来评估应用的安全性。 3. 研究中的创新点:本研究提出了一种新的基于改进随机森林算法的两层检测机制,旨在...
Stowaway内网代理
weixin_51151498的博客
07-24 979
Stowaway是一个利用go语言编写、专为渗透测试工作者制作的多级代理工具,用户可使用此程序将外部流量通过多个节点代理至内网,突破内网访问限制,构造树状节点网络,并轻松实现管理功能。
基于HTTP流量和DNS隧道技术进行检测
12-07
根据专家经验,总结出了恶意HTTP流量中各种不一致、字段异常、回传系统信息等情况以及部分木门和后门对应的DNS传输的特征。PPT多达70多页,内容详尽,值得学习。
Stowaway搭建隧道打CFS内网靶场
weixin_74171325的博客
07-07 506
后台私信可获取弹药库。
探索HTTP流量分析的新利器:http-sniffer
最新发布
gitblog_00810的博客
08-16 734
探索HTTP流量分析的新利器:http-sniffer http-snifferA multi-threading tool to sniff TCP flow statistics and embedded HTTP headers from PCAP file. Each TCP flow carrying HTTP is exported to text file in json form...
内网渗透之隐藏通信隧道
focus on security
06-22 2494
前言 在实际的网络中,通常会通过各种边界设备、软/硬件防火墙甚至入侵检测系统来检查对外连接情况,如果发现异样,就会对通信进行阻断。那么什么是隧道呢?这里的隧道,就是一种绕过端口屏蔽的通信方式。防火墙两端的数据包通过防火墙所允许的数据包类型或端口进行封装,然后穿过防火墙,与对方进行通信。当封装的数据包到达目的地时,将数据包还原,并将还原后的数据包发送到相应服务器上。 一、隐藏通信隧道基础知识 隧道 隧道技术是一种通过使用互联网络的基本设施在网络之间传递数据的方式,使用隧道传递的数据(或负载)可以是不同
Stowaway搭建多级代理隧道
sirius的博客
08-21 1066
正向代理是一个位于客户端和原始服务器之间的服务器,为了从原始服务器取得内容,客户端向代理发送一个请求并指定目标(原始服务器),然后代理向原始服务器转交请求并将获得的内容返回给客户端。客户端是无感知代理的存在,以代理服务器来接受internet上的连接请求,然后将请求转发给内部网络上的服务器,并将从服务器上得到的结果返回给internet上请求连接的客户端。从目标机器能够反弹shell到攻击者的外网VPS,攻击者通过反弹回来的shell能够很方便的对目标内网进行扫描,这就是反向代理的一种表现形式。
检查http流量
小码农的博客
04-21 840
常用的主要工具: Wireshark 和 Charles Proxy 。主要作用。我们不需要修改代码对其进行调试操作。
内网渗透基石篇-- 隐藏通信隧道技术(上)
dzqxwzoe的博客
08-21 1043
在实际的网络中,通常会通过各种边界设备、软/硬件防火墙甚至入侵检测系统来检查对外连接情况,如果发现异样,就会对通信进行阻断。那么什么是隧道呢?这里的隧道,就是一种绕过端口屏蔽的通信方式。防火墙两端的数据包通过防火墙所允许的数据包类型或端口进行封装,然后穿过防火墙,与对方进行通信。当封装的数据包到达目的地时,将数据包还原,并将还原后的数据包发送到相应服务器上。内网隧道基础上就到这里了,在本文中简单做了几个实验,都很基础,用来理解基础知识刚刚好。
Stowaway搭建多级网络代理
内心不种满鲜花就会长满杂草
03-21 4744
Stowaway是一个利用go语言编写、专为渗透测试工作者制作的多级代理工具,用户可使用此程序将外部流量通过多个节点代理至内网,突破内网访问限制,构造树状节点网络,并轻松实现管理功能。在win2012-1上执行,使用秘钥123连接控制端8000端口,并设置重连间隔时间,当控制端掉线时客户端每隔8s重连控制端。当客户端连接控制端后,使用detail就可以查看到目前有哪些客户端已经连接,使用use 节点,然后会进入这个节点的控制面板。被动模式: 指当前操作的节点监听某个端口,等待另一个节点连接。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值