最近看到各位大佬修改代理工具的操作,小可不才,也来班门弄斧一下。
上来肯定是流量分析啦,不分析流量,怎么抓特征呢。首先建立一条隧道,看一下通信流量:
新增好后
使用原版npc连接服务端
接下来,开启wireshark进行抓包,追踪TCP流。
下面这是一个tcp握手包:
可以看到有以下字段:
TST0.26.0sucsmain还有两段32位的md5
1)第一处 TST sucs main
对应协议的握手包。
2)第二处 0.26.0
对应NPS的服务端从客户端获取的版本信息
可以对照服务端
3)第三处 两段md5
还有两段32位的md5值,简单解密对照一下
89a4f3fc3c89257d6f712de6964bda8e
b1a1c58efd68f299ef0a096f8ea92f5a
这一段MD5的值其实就是服务端生成的vkey的md5值
综上,我们需要修改的特征暂时就这些,简单的模糊一下,就检测不到了。
1)nps授权绕过的修复
首先简单探测,做个证明
修复的话,注释默认nps.conf配置文件的auth_key即可
2)面板入口的隐藏
修改web_base_url地址
不知道路径访问就会404
需要使用完整路径访问即可
3)开启HTTPS
再访问面板
4)替换默认NPS的SSL证书
5)端口的修改
bridge_port
web_port进行修改即可
6)面板密码
体积方面来说,简单的压缩了一下,可以缩减到3MB左右,也利于稍微恶劣网络环境的使用。
再扯点有的没的防扫描的操作,比如域名套个云WAF什么的,对抗恶意扫描。
原文始发于微信公众号(JC的安全之路):聊聊红队中的代理工具-NPS
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论