防溯源连接WebShell

最新推荐文章于 2023-05-12 12:42:35 发布
最新推荐文章于 2023-05-12 12:42:35 发布
阅读量1.7k 收藏 6
点赞数 2
分类专栏: web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41918771/article/details/114359458
版权

前言

原理就是通过腾讯云的云函数将我们的请求进行转发,目标那里获取到的IP即腾讯云的IP,并且有CDN。

实战

首先我们登陆到腾讯云的控制台https://console.cloud.tencent.com/scf。第一次使用云函数的时候可能需要授权。点击新建
在这里插入图片描述
这里直接默认就好,也可以设置一下函数名称和地域。然后点击完成

在这里插入图片描述
然后依次点击函数服务->函数管理->函数代码。将下面的代码粘贴到index.py

# -*- coding: utf8 -*-
import requests
import json


def geturl(urlstr):
    jurlstr = json.dumps(urlstr)
    dict_url = json.loads(jurlstr)
    return dict_url['u']

def main_handler(event, context):
    url = geturl(event['queryString'])
    postdata = event['body']
    headers=event['headers']
    resp=requests.post(url,data=postdata,headers=headers,verify=False)
    response={
        "isBase64Encoded": False,
        "statusCode": 200,
        "headers": {'Content-Type': 'text/html;charset='+resp.apparent_encoding},
        "body": resp.text
    }
    return response

在这里插入图片描述

向下滑动,点击部署。

部署完成后,依次点击函数服务->触发管理->创建触发器

在这里插入图片描述
这里选择API网关触发。第一次的时候可能需要授权。其他默认即可,点击提交

在这里插入图片描述
复制下面的访问路径。

在这里插入图片描述

然后我给我的vps种个马,使用php开启临时服务器。使用腾讯云函数访问自己的马。
图中的9648542.php即是一句话木马
在这里插入图片描述

打开蚁剑,url设置为刚刚复制的访问路径?u=木马路径
我这里是
https://service-h8ew8bu0-1256512262.gz.apigw.tencentcs.com/release/forwarded?u=http://vps/9648542.php

测试连接,连接成功。
在这里插入图片描述
可以看到每次测试连接的时候IP都不一样,也就是腾讯云的CDN。
在这里插入图片描述

1.在函数管理 - 函数配置里面,最好把执行超时时间设置成和蚁剑里面的超时时间一样或者更长。

参考:https://mp.weixin.qq.com/s/nq5b4J0Y9TsiC4wQH-MPTg

Vicl1fe
关注
  • 2
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
WebShell文件上传漏洞分析溯源
02-22
WebShell文件上传漏洞
溯源】利用腾讯来隐藏连接Webshell的真实IP
Ms08067安全实验室
08-10 749
文章来源|MS08067安全实验室本文作者:大方子(MS08067实验室核心成员)因为腾讯函数自带CDN,这样我们可以通过腾讯函数来转发我们的Webshell请求,从而达到隐藏真实IP...
溯源制】CDN&域前置&函数-流量分析|溯源
最新发布
今天是几号的博客
05-12 2527
1、不备案的域名+禁用不必要的域名解析记录(止被溯源收集到更多信息)2、使用HTTPS通讯3、C2服务器混淆基础特征-修改profile配置文件,修改ssl证书4、CS服务端火墙做策略,仅允许目标主机网段连接止其他网段主机对其进行扫描,溯源5、加跳板、代理等,当然最重要的是免杀了……
linux环境下的"蚂蚁"-wget使用简介
hem的专栏
06-05 1270
 linux环境下的"蚂蚁"-wget使用简介技巧管理员(2000-12-23 09:41)〖返回〗〖转发〗wget的使用形式是:wget [参数列表] URL首先来介绍一下wget的主要参数:· -b:让wget在后台运行,记录文件写在当前目录下"wget-log"文件中;· -t [nuber of times]:尝试次数,当wget无法与服务器建立连接时,尝试连接
红队溯源
5L2g556F5ZWl77yf
09-20 707
函数自带CDN,每次请求webshell的时候ip都不同,利用函数溯源 登录腾讯,新建自定义函数 贴上大佬的代码 # -*- coding: utf8 -*- import requests import json def geturl(urlstr): jurlstr = json.dumps(urlstr) dict_url = json.loads(jurlstr) return dict_url['u'] def main_handler(event, co
红队攻演练-溯源基础
weixin_39251927的博客
11-16 898
近几年攻演练对抗越来越激烈,越来越多的蜜罐系统让红队新手频频被抓。
【红队APT】朔源隐藏&C2项目&CDN域前置&函数&数据中转&DNS转发
今天是几号的博客
04-19 1930
区别于单纯的CDN隐藏IP技术;域前置技术采用高权重域名进行伪装,效果要更上一层楼!可以看到这里正常上线,也是简单的进行流量代理,这里我把上面的iptables转发配置清空了,避免干扰 注: 如果中转服务器被拿下的话,那么搜集信息很可能就可以发现请求重定向的痕迹,从而找到真实C2地址。 请求重定向也可以和之前的CDN方法相结合,之前CDN方法是通过CDN将请求转发到真实的C2服务器上,而添加请求重定向后,流程就变为了CDN转发到中转服务器,中转服务器再转到C2,达到双重隐藏的效果。
函数(变相代理池)的三种常见利用
dzqxwzoe的博客
02-22 485
之前学到一些函数的利用,感觉很有趣,于是借此篇来总结一下三种对函数的简单利用方式。
使用函数来隐藏webshell的真实IP
weixin_61638307的博客
04-10 460
在平时的学习工作中,大家有没有遇到一穿webshell就被ban掉IP呢,今天本文就决定分享一个使用函数来隐藏自己的真实IP的案例,也可以利用函数的多出口性为了止被红队溯源
webshell 攻与kill_webshell_detect-master.zip
07-25
最近几个月中,参加过很多webshell检测的比赛,有我们内部的,也有其他厂商的,平心而论,TSRC和 青藤针对webshell|文件的检测思路和实现成熟度是业界领先的,使用动静态污点分析webshell文件,已经是非常高级的...
nginx虚拟主机webshell完美版
09-30
nginx虚拟主机webshell完美版,使用nginx的朋友可以参考下。
webshell连接工具skyscorpionV1.0.beta39.20210126.zip
04-27
webshell连接工具skyscorpionV1.0.beta39.20210126.zip
webshell-master连接yyds
04-13
webshell-master连接yyds哎。。。。。。。。。。。。。。难搞
XSS绕过单引号限制
Vicl1fe的博客
04-20 4183
前言 一个朋友突然问我xss闯关第三关如何弹cookie。自己研究了一下确实不是太简单。记个笔记在此。 有网上在线的xss闯关。也可以去下载一下 第三关 xss在出现在keyword参数上。用的是单引号闭合的。 看源码可以看到用什么闭合的。但是你f12看的时候是双引号,实际是单引号。所以我觉得这里还是要猜一下。也好猜。不是单引号就是双引号了。 看下图。 1、这个靶场似乎没有cookie。我自己...
DASCTF-Esunserialize(序列化字符逃逸)
Vicl1fe的博客
04-25 3974
环境 <?php show_source("index.php"); function write($data) { return str_replace(chr(0) . '*' . chr(0), '\0\0\0', $data); } function read($data) { return str_replace('\0\0\0', chr(0) . '*' . ...
利用XXE进行内网主机探测
Vicl1fe的博客
12-22 1282
XXE漏洞大家也应该清楚了,不清楚可以看我的另两篇博客 https://blog.csdn.net/qq_41918771/article/details/103628721 https://blog.csdn.net/qq_41918771/article/details/103641745 内网主机探测 先上脚本 import requests def build_xml(ip): xml...
Java序列化(之)JNDI注入绕过高版本限制
Vicl1fe的博客
12-30 913
前言 JNDI注入绕过高版本限制已经被别人玩烂了,我才开始学。参考文章写的特别好。 本文大部分参考https://kingx.me/Restrictions-and-Bypass-of-JNDI-Manipulations-RCE.html JNDI注入 暂时只了解到 JNDI注入分为如下几类 RMI Remote Object Payload(限制较多,不常使用) RMI + JNDI Reference Payload LDAP + JNDI Reference Payload CORBA攻击
fastjson序列化 BasicDataSource链分析
Vicl1fe的博客
01-06 810
前言 BCEL BCEL的全名是Apache Commons BCEL,属于Apache Commons项目下的一个子项目,CC链也就是从Apache Commons产生的。 BCEL库提供了一系列用于分析、创建、修改Java Class文件的API。主要用来将xml文档转为class文件。编译后的class被称为translet,可以在后续用于对XML文件的转换。该库已经内置在了JDK中。关于BCEL具体详情可参考https://www.leavesongs.com/PENETRATION/where-i
连接webshell的工具
04-01
连接webshell的工具有很多,以下是一些常用的工具: 1. Burp Suite:Burp Suite是一个流行的渗透测试工具,可以通过它的Proxy模块来连接webshell。 2. Metasploit:Metasploit是一个流行的渗透测试框架,它可以通过使用Meterpreter模块来连接webshell。 3. Netcat:Netcat是一个常用的网络工具,可以通过在本地计算机上运行一个Netcat服务器来连接webshell。 4. Putty:Putty是一款常用的SSH和Telnet客户端,可以通过它连接webshell。 5. PowerShell:PowerShell是一种基于命令行的脚本语言,可以通过它连接webshell

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Vicl1fe

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值