流量混淆
XG拟态_V2.0新增流量混淆功能
https://github.com/xiaogang000/XG_NTAI将Webshell交互流量,根据测试系统的正常业务请求和响应数据,伪造成为正常的业务交互流量,从而规避安全产品和混淆防守人员判断。
针对冰蝎4.0协议规则生成
网站正常业务流量
伪造Webshell交互流量
使用方法
1、根据正常业务,找到一个合适的POST数据包(js、json、html、图片、xml等)
2、将请求包数据和响应包数据,复制到Disguise功能指定位置
3、将标记!!insertPoint!!插入请求包和响应包合适位置
4、选择加密方式,输入配置文件名称后点击加密,即可在工具目录下生成xxxxxx.config配置文件
5、打开冰蝎4.0,打开传输协议并导入该配置文件
选择导入的协议后生成服务端文件,并保存
6、新建Webshell连接,加密类型选择自定义-传输协议
此时的Webshell交互流量已经伪造成为正常业务流量
7、针对php木马,可以直接复制整个响应包数据
此时的Webshell交互流量,会伪造业务的正常响应头内容
针对请求头还需要手动配置UA、Content-type等,才能达到完美
XG拟态会持续更新免杀demo,多多支持star
https://github.com/xiaogang000/XG_NTAI原文始发于微信公众号(XG小刚):XG拟态-Webshell流量混淆功能
