问答
发起
提问
文章
攻防
活动
Toggle navigation
首页
(current)
问答
商城
实战攻防技术
漏洞分析与复现
NEW
活动
摸鱼办
搜索
登录
注册
内网穿透nps的魔改
安全工具
nps工具是渗透测试过程和红蓝攻防过程中,比较常见的工具,但是nps的工具流量特征比较明显,常常出现落地秒的情况,所以本次主要是简单进行了一下二次开发。遂作了记录。
前言 == nps工具是渗透测试过程和红蓝攻防过程中,比较常见的工具,但是nps的工具流量特征比较明显,常常出现落地秒的情况,所以本次主要是简单进行了一下二次开发。遂作了记录。 nps的默认流量特征: =========== 抓包看下流量包: ![image.png](https://shs3.b.qianxin.com/attack_forum/2023/05/attach-4350dfcc77cec9351c4be633c5666ccd5f20d699.png) ##### 客户端-->服务器 ###### 发送TST字段 ![image.png](https://shs3.b.qianxin.com/attack_forum/2023/05/attach-8e9a1b0da5f575fad8fe4497abb264eff2a0c8e5.png) ###### 发送verison ![image.png](https://shs3.b.qianxin.com/attack_forum/2023/05/attach-7415764f3f14395a215148209f26d781e16279e9.png) ###### 交互过程中一共发送的流量包(客户端-->服务端) ![image.png](https://shs3.b.qianxin.com/attack_forum/2023/05/attach-b2514819c6c84cbbbaa216a191cc60859b3f5581.png) ![image.png](https://shs3.b.qianxin.com/attack_forum/2023/05/attach-98745ae8d6f0848ec5a87c96dc4a588c5936d0e8.png) ###### 服务器向客户端发送:(发送一次版本的md5) ![image.png](https://shs3.b.qianxin.com/attack_forum/2023/05/attach-a8592a921f61f53b842b0b877c059ac97e18b64e.png) ![image.png](https://shs3.b.qianxin.com/attack_forum/2023/05/attach-5f3f9cd21eae38bd04981310c562a684a77484ff.png) 可以看到后续通信流量均为明文 ![image.png](https://shs3.b.qianxin.com/attack_forum/2023/05/attach-6322225c615d1bdac958505bd566b27800a42e19.png) 魔改版本nps介绍 ========= 这里先介绍几种常见的魔改方式,也是免杀或者工具魔改方面常见的思路。 ### (1)特征替换 这里简单来说就是明显特征替换,这里可以看下nps的认证过程。这里客户端向服务器发送了两次version的值,如果这个时候,我们把这个值改为其他值特定值,是否就可以达到流量混淆呢??? ![image.png](https://shs3.b.qianxin.com/attack_forum/2023/05/attach-2824638a3f8b9aa07588ba0680b610a48a8e59d4.png) ### (2)免杀环境检测 这里可以看是否在特定的环境中来进行,例如,虚拟机就有常见虚拟环境,例如常见的虚拟机vmware、parallels Desktop。 主要是通过以下功能来进行检测。 ```php (1)cpu检测 (2)注册表检测 (3)特定文件检测 (4)内核检测 ``` ### (3)流量协议重做 原版的nps是的认证协议,是通过客户端发送特定字段来与服务端进行的c/s认证,而认证过程均为明文进行显示,所以的话,也是比较好进行分析和溯源的,所以的话,这里我基于原版的nps进行魔改。认证交互部分。大家可以看下图 ![image.png](https://shs3.b.qianxin.com/attack_forum/2023/05/attach-1eae8d6611e54f0e80bcc16bcee3fad054e1bd6a.png) ### 魔改后检测 #### 通信流量 ![image.png](https://shs3.b.qianxin.com/attack_forum/2023/05/attach-3651135e926366c61029a3f404d3079cb6d601fb.png) #### 某社区☁️沙箱 ![image.png](https://shs3.b.qianxin.com/attack_forum/2023/05/attach-3c53b78518592fd268df3c9563a923802990c64e.png) #### virustotal ![image.png](https://shs3.b.qianxin.com/attack_forum/2023/05/attach-30288da293f9691a339f466b520e4f6a7a0b64d0.png) #### windows defender(静态) ![image.png](https://shs3.b.qianxin.com/attack_forum/2023/05/attach-ad28abb87eb7c7a46861324b93868c753a4ceda8.png) #### windows defender(动态) ![image.png](https://shs3.b.qianxin.com/attack_forum/2023/05/attach-35e368ff01b31debb6f3b9fa10331014cff197e6.png) #### 数字、?绒未进行检测 ### 工具执行 ##### 服务端 ![image.png](https://shs3.b.qianxin.com/attack_forum/2023/05/attach-46b16e1e7ef22865ef73c7934e4bd7e031ff17c1.png) ##### 客户端 ###### 配置文件启动 ![image.png](https://shs3.b.qianxin.com/attack_forum/2023/05/attach-2c0c44df7f5cc14c2006fa39b5ae42e73e1c9568.png) ###### 命令行启动 ![image.png](https://shs3.b.qianxin.com/attack_forum/2023/05/attach-f3eb4d268acefa8099baea910bbddceb0b375ebf.png) 工具地址 ==== 喜欢的话记得点点?哦 ```php https://github.com/Q16G/npsmodify ``` 测试情况 ==== ✅ 2023.5.20 修改了nps未授权漏洞,进行了通信流量混淆,支持客户端以命令行方式进行连接(暂不支持conf文件) ✅ 2023.5.21 支持客户端用conf文件进行连接,支持conf的分离(不落地)
发表于 2023-05-29 09:00:00
阅读 ( 8251 )
分类:
安全开发
2 推荐
收藏
0 条评论
请先
登录
后评论
Q16G
5 篇文章
×
发送私信
请先
登录
后发送私信
×
举报此文章
垃圾广告信息:
广告、推广、测试等内容
违规内容:
色情、暴力、血腥、敏感信息等内容
不友善内容:
人身攻击、挑衅辱骂、恶意行为
其他原因:
请补充说明
举报原因:
×
如果觉得我的文章对您有用,请随意打赏。你的支持将鼓励我继续创作!