安全矩阵

 找回密码
 立即注册
搜索
查看: 769|回复: 0

一款基于Http.sys的利用工具

[复制链接]

77

主题

77

帖子

257

积分

中级会员

Rank: 3Rank: 3

积分
257
发表于 2022-11-15 20:22:33 | 显示全部楼层 |阅读模式

工具原理
利用Http.sys驱动对urlacl进行操作,由于Http.sys是IIS服务器的基础,其优先级高于IIS,不会造成端口绑定冲突,达到端口服用效果,由于与受害机对外服务端口相同,可做到极高的隐蔽性。由于其生效后效果很类似于LOL的小丑,故起名为Joker。

使用方法
此工具的使用前提是:管理员权限、IIS环境

1. 基于路径进行复用

           

Joker.exe "http://*:{PORT}/{PATH}"
编辑
可直接使用蚁剑进行连接,配置如下:
编辑
连接密码随便填写
编辑
2. 基于HOST进行复用(强烈推荐)

           

Joker.exe "http://{HOST}:{PORT}/"
编辑
蚁剑配置如下
编辑
编辑
这样,在正常访问80端口的时候为正常业务,在带特殊的头访问80端口的时候则为后门程序。

3. Regeorg适配
项目JokerTunnel为对Regeorg适配版本。
编辑
编辑
客户端使用Regeorg进行连接即可

二次开发
此项目的handle都集中在handle.h当中,以执行为例,传入参数依次为Request的body、RequestBody的长度与响应内容的指针
编辑

回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

小黑屋|安全矩阵

GMT+8, 2024-11-29 06:48 , Processed in 0.012485 second(s), 18 queries .

Powered by Discuz! X4.0

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表