nps工具是渗透测试过程和红蓝攻防过程中,比较常见的工具,但是nps的工具流量特征比较明显,常常出现落地秒的情况,所以本次主要是简单进行了一下二次开发。遂作了记录。
前言
nps工具是渗透测试过程和红蓝攻防过程中,比较常见的工具,但是nps的工具流量特征比较明显,常常出现落地秒的情况,所以本次主要是简单进行了一下二次开发。遂作了记录。
nps的默认流量特征:
抓包看下流量包:
客户端-->服务器
发送TST字段
发送verison
交互过程中一共发送的流量包(客户端-->服务端)
服务器向客户端发送:(发送一次版本的md5)
可以看到后续通信流量均为明文
魔改版本nps介绍
这里先介绍几种常见的魔改方式,也是免杀或者工具魔改方面常见的思路。
(1)特征替换
这里简单来说就是明显特征替换,这里可以看下nps的认证过程。这里客户端向服务器发送了两次version的值,如果这个时候,我们把这个值改为其他值特定值,是否就可以达到流量混淆呢???
(2)免杀环境检测
这里可以看是否在特定的环境中来进行,例如,虚拟机就有常见虚拟环境,例如常见的虚拟机vmware、parallels Desktop。
主要是通过以下功能来进行检测。
(1)cpu检测
(2)注册表检测
(3)特定文件检测
(4)内核检测
(3)流量协议重做
原版的nps是的认证协议,是通过客户端发送特定字段来与服务端进行的c/s认证,而认证过程均为明文进行显示,所以的话,也是比较好进行分析和溯源的,所以的话,这里我基于原版的nps进行魔改。认证交互部分。大家可以看下图
魔改后检测
通信流量
某社区☁️沙箱
virustotal
windows defender(静态)
windows defender(动态)
数字、?绒未进行检测
工具执行
服务端
客户端
配置文件启动
命令行启动
工具地址
喜欢的话记得点点?哦
https://github.com/Q16G/npsmodify
测试情况
✅ 2023.5.20 修改了nps未授权漏洞,进行了通信流量混淆,支持客户端以命令行方式进行连接(暂不支持conf文件)
✅ 2023.5.21 支持客户端用conf文件进行连接,支持conf的分离(不落地)
来源:https://forum.butian.net/share/2284
原文始发于微信公众号(黄公子学安全):内网穿透nps的魔改
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论