奇安信攻防社区-内网穿透nps的魔改

内网穿透nps的魔改

nps工具是渗透测试过程和红蓝攻防过程中，比较常见的工具，但是nps的工具流量特征比较明显，常常出现落地秒的情况，所以本次主要是简单进行了一下二次开发。遂作了记录。

前言
==

nps的默认流量特征：
===========

抓包看下流量包：

![image.png](https://shs3.b.qianxin.com/attack_forum/2023/05/attach-4350dfcc77cec9351c4be633c5666ccd5f20d699.png)

##### 客户端--&gt;服务器

###### 发送TST字段

![image.png](https://shs3.b.qianxin.com/attack_forum/2023/05/attach-8e9a1b0da5f575fad8fe4497abb264eff2a0c8e5.png)

###### 发送verison

![image.png](https://shs3.b.qianxin.com/attack_forum/2023/05/attach-7415764f3f14395a215148209f26d781e16279e9.png)

###### 交互过程中一共发送的流量包(客户端--&gt;服务端)

![image.png](https://shs3.b.qianxin.com/attack_forum/2023/05/attach-b2514819c6c84cbbbaa216a191cc60859b3f5581.png)

![image.png](https://shs3.b.qianxin.com/attack_forum/2023/05/attach-98745ae8d6f0848ec5a87c96dc4a588c5936d0e8.png)

###### 服务器向客户端发送：（发送一次版本的md5）

![image.png](https://shs3.b.qianxin.com/attack_forum/2023/05/attach-a8592a921f61f53b842b0b877c059ac97e18b64e.png)

![image.png](https://shs3.b.qianxin.com/attack_forum/2023/05/attach-5f3f9cd21eae38bd04981310c562a684a77484ff.png)

可以看到后续通信流量均为明文

![image.png](https://shs3.b.qianxin.com/attack_forum/2023/05/attach-6322225c615d1bdac958505bd566b27800a42e19.png)

魔改版本nps介绍
=========

这里先介绍几种常见的魔改方式，也是免杀或者工具魔改方面常见的思路。

### （1）特征替换

这里简单来说就是明显特征替换，这里可以看下nps的认证过程。这里客户端向服务器发送了两次version的值，如果这个时候，我们把这个值改为其他值特定值，是否就可以达到流量混淆呢？？？

![image.png](https://shs3.b.qianxin.com/attack_forum/2023/05/attach-2824638a3f8b9aa07588ba0680b610a48a8e59d4.png)

### （2）免杀环境检测

这里可以看是否在特定的环境中来进行，例如，虚拟机就有常见虚拟环境，例如常见的虚拟机vmware、parallels Desktop。

主要是通过以下功能来进行检测。

```php
（1）cpu检测
（2）注册表检测
（3）特定文件检测
（4）内核检测
```

### （3）流量协议重做

原版的nps是的认证协议，是通过客户端发送特定字段来与服务端进行的c/s认证，而认证过程均为明文进行显示，所以的话，也是比较好进行分析和溯源的，所以的话，这里我基于原版的nps进行魔改。认证交互部分。大家可以看下图

![image.png](https://shs3.b.qianxin.com/attack_forum/2023/05/attach-1eae8d6611e54f0e80bcc16bcee3fad054e1bd6a.png)

### 魔改后检测

#### 通信流量

![image.png](https://shs3.b.qianxin.com/attack_forum/2023/05/attach-3651135e926366c61029a3f404d3079cb6d601fb.png)

#### 某社区☁️沙箱

![image.png](https://shs3.b.qianxin.com/attack_forum/2023/05/attach-3c53b78518592fd268df3c9563a923802990c64e.png)

#### virustotal

![image.png](https://shs3.b.qianxin.com/attack_forum/2023/05/attach-30288da293f9691a339f466b520e4f6a7a0b64d0.png)

#### windows defender（静态）

![image.png](https://shs3.b.qianxin.com/attack_forum/2023/05/attach-ad28abb87eb7c7a46861324b93868c753a4ceda8.png)

#### windows defender（动态）

![image.png](https://shs3.b.qianxin.com/attack_forum/2023/05/attach-35e368ff01b31debb6f3b9fa10331014cff197e6.png)

#### 数字、?绒未进行检测

### 工具执行

##### 服务端

![image.png](https://shs3.b.qianxin.com/attack_forum/2023/05/attach-46b16e1e7ef22865ef73c7934e4bd7e031ff17c1.png)

##### 客户端

###### 配置文件启动

![image.png](https://shs3.b.qianxin.com/attack_forum/2023/05/attach-2c0c44df7f5cc14c2006fa39b5ae42e73e1c9568.png)

###### 命令行启动

![image.png](https://shs3.b.qianxin.com/attack_forum/2023/05/attach-f3eb4d268acefa8099baea910bbddceb0b375ebf.png)

工具地址
====

喜欢的话记得点点?哦

```php
https://github.com/Q16G/npsmodify
```

测试情况
====

✅ 2023.5.20 修改了nps未授权漏洞，进行了通信流量混淆，支持客户端以命令行方式进行连接（暂不支持conf文件）  
✅ 2023.5.21 支持客户端用conf文件进行连接，支持conf的分离（不落地）

发表于 2023-05-29 09:00:00
阅读 ( 5726 )
分类：安全开发

内网穿透nps的魔改

0 条评论