渗透攻击红队
一个专注于红队攻击的公众号
大家好,这里是 渗透攻击红队 的第 64 篇文章,本公众号会记录一些红队攻击的案例,不定时更新
用过云函数的 XD 们都知道,它可以用来帮助我们转发请求,但是这种方法已经被老外玩烂了,但是也很实用!由于它自带 CDN 这样我们每次请求 Webshell 的时候 IP 都是不同的,从而达到隐藏 RT 的效果!还是那句话,一个合格的 RedTeam 被溯源到是很可耻的!
如何优雅的隐藏你连接 Webshell 的真实 IP
云函数隐藏 Webshell 真实 IP
首先来到腾讯云后台找到云函数,我们使用自定义的模版:
然后依次点击函数服务->函数管理->函数代码,然后将下面的代码粘贴到 index.py 中:
# -*- coding: utf8 -*-import requestsimport jsondef geturl(urlstr):jurlstr = json.dumps(urlstr)dict_url = json.loads(jurlstr)return dict_url['u']def main_handler(event, context):url = geturl(event['queryString'])postdata = event['body']headers=event['headers']resp=requests.post(url,data=postdata,headers=headers,verify=False)response={"isBase64Encoded": False,"statusCode": 200,"headers": {'Content-Type': 'text/html;charset='+resp.apparent_encoding},"body": resp.text}return response
然后点击部署后,创建一个触发器:
这里需要选择 API网关触发:
然后就可以访问这个了:
https://service-gh2cn6ys-xxxxx.gz.apigw.tencentcs.com/release/saulGoodman
这个时候 u 参数后面就是你的一句话:http://111.111.111.111/saulGoodman.php
https://service-gh2cn6ys-xxxxx.gz.apigw.tencentcs.com/release/saulGoodman?u=http://111.111.111.111/saulGoodman.php
这个时候每次访问 webshell 的 IP 都不一样!从而隐藏了 RT 的真实 IP!
参考文章:
https://blog.csdn.net/qq_41918771/article/details/114359458
本文始发于微信公众号(渗透攻击红队):【防溯源】如何优雅的隐藏你连接 Webshell 的真实 IP
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论