登陆 注册

【防溯源】如何优雅的隐藏你连接 Webshell 的真实 IP

桑云信息Lzers 2021-07-26 防溯源WEBSHELL

前言

用过云函数的 XD 们都知道,它可以用来帮助我们转发请求,但是这种方法已经被老外玩烂了,但是也很实用!由于它自带 CDN 这样我们每次请求 Webshell 的时候 IP 都是不同的,从而达到隐藏 RT 的效果!还是那句话,一个合格的 RedTeam 被溯源到是很可耻的!

如何优雅的隐藏你连接 Webshell 的真实 IP

云函数隐藏 Webshell 真实 IP

首先来到腾讯云后台找到云函数,我们使用自定义的模版:

然后依次点击函数服务->函数管理->函数代码,然后将下面的代码粘贴到 index.py 中:

# -*- coding: utf8 -*-
import requests
import json
def geturl(urlstr):
    jurlstr = json.dumps(urlstr)
    dict_url = json.loads(jurlstr)
    return dict_url['u']
def main_handler(event, context):
    url = geturl(event['queryString'])
    postdata = event['body']
    headers=event['headers']
    resp=requests.post(url,data=postdata,headers=headers,verify=False)
    response={
        "isBase64Encoded": False,
        "statusCode": 200,
        "headers": {'Content-Type': 'text/html;charset='+resp.apparent_encoding},
        "body": resp.text
    }
    return response

然后点击部署后,创建一个触发器:

这里需要选择 API网关触发:

然后就可以访问这个了:

https://service-gh2cn6ys-xxxxx.gz.apigw.tencentcs.com/release/saulGoodman

这个时候 u 参数后面就是你的一句话:http://111.111.111.111/saulGoodman.php

https://service-gh2cn6ys-xxxxx.gz.apigw.tencentcs.com/release/saulGoodman?u=http://111.111.111.111/saulGoodman.php

这个时候每次访问 webshell 的 IP 都不一样!从而隐藏了 RT 的真实 IP!


参考文章:

https://blog.csdn.net/qq_41918771/article/details/114359458

文由渗透攻击红队


生成海报
请发表您的评论
桑云信息Lzers

桑云信息Lzers

乐山桑云信息技术有限公司专注于企业安全与网站、小程序、APP架设,为企业客户提供一站式解决方案,帮助企业快速实现互联网+转型。
907文章数 31评论数
请关注微信公众号
微信二维码
不容错过
Powered By SangYun.Net