【防溯源】如何优雅的隐藏你连接 Webshell 的真实 IP

2021-08-06 10:30:31 浏览数 (1)

大家好,这里是 渗透攻击红队 的第 64 篇文章,本公众号会记录一些红队攻击的案例,不定时更新

前言

用过云函数的 XD 们都知道,它可以用来帮助我们转发请求,但是这种方法已经被老外玩烂了,但是也很实用!由于它自带 CDN 这样我们每次请求 Webshell 的时候 IP 都是不同的,从而达到隐藏 RT 的效果!还是那句话,一个合格的 RedTeam 被溯源到是很可耻的!

如何优雅的隐藏你连接 Webshell 的真实 IP

云函数隐藏 Webshell 真实 IP

首先来到腾讯云后台找到云函数,我们使用自定义的模版:

然后依次点击函数服务->函数管理->函数代码,然后将下面的代码粘贴到 index.py 中:

代码语言:javascript复制
# -*- coding: utf8 -*-
import requests
import json
def geturl(urlstr):
    jurlstr = json.dumps(urlstr)
    dict_url = json.loads(jurlstr)
    return dict_url['u']
def main_handler(event, context):
    url = geturl(event['queryString'])
    postdata = event['body']
    headers=event['headers']
    resp=requests.post(url,data=postdata,headers=headers,verify=False)
    response={
        "isBase64Encoded": False,
        "statusCode": 200,
        "headers": {'Content-Type': 'text/html;charset=' resp.apparent_encoding},
        "body": resp.text
    }
    return response

然后点击部署后,创建一个触发器:

这里需要选择 API网关触发:

然后就可以访问这个了:

代码语言:javascript复制
https://service-gh2cn6ys-xxxxx.gz.apigw.tencentcs.com/release/saulGoodman

这个时候 u 参数后面就是你的一句话:http://111.111.111.111/saulGoodman.php

代码语言:javascript复制
https://service-gh2cn6ys-xxxxx.gz.apigw.tencentcs.com/release/saulGoodman?u=http://111.111.111.111/saulGoodman.php

这个时候每次访问 webshell 的 IP 都不一样!从而隐藏了 RT 的真实 IP!


参考文章:

https://blog.csdn.net/qq_41918771/article/details/114359458

0 人点赞