一款基于Http.sys的利用工具

2023年1月14日16:11:05评论32 views字数 613阅读2分2秒阅读模式

利用 Http.sys 驱动对urlacl进行操作，由于Http.sys是IIS服务器的基础，其优先级高于IIS，不会造成端口bind冲突，达到端口服用效果，由于与受害机对外服务端口相同，可做到极高的隐蔽性。由于其生效后效果很类似于LOL的小丑，故起名为Joker。

此工具的使用前提是管理员权限 IIS环境

1. 基于路径进行复用

Joker.exe "http://*:{PORT}/{PATH}"

一款基于Http.sys的利用工具

可直接使用蚁剑进行连接，配置如下：

连接密码随便填写

2.基于HOST进行复用（强烈推荐）

Joker.exe "http://{HOST}:{PORT}/"

蚁剑配置如下

这样，在正常访问80端口的时候为正常业务，在带特殊的头访问80端口的时候则为后门程序。

3.Regeorg适配

项目JokerTunnel为对Regeorg适配版本。

客户端使用Regeorg进行连接即可

三、二次开发

此项目的handle都集中在handle.h当中，以执行为例，传入参数依次为 Request的body、RequestBody的长度与响应内容的指针

四、Joker工具获取：

点击下方名片进入公众号

回复 ’ Joker ‘ 获取下载链接

关注公众号后台回复数字 1126 获取应急响应实战笔记，1127 - ctf工具集合，1230 - 内网工具，3924 - 弱口令爆破工具。

原文始发于微信公众号（菜鸟学信安）：一款基于Http.sys的利用工具

如何使用xurlfind3r查找目标域名的已知URL地址