【免杀】魔改frp内网隧道

在渗透测试中都有流量代理转发的需求,但是现如今的安全设备的流量识别愈加强大,很多开源的工具都会被流量设备所识别,如果不进行特征的去除的话会被流量设备识别并告警,所以本文针对frp工具进行特征的去除

frp的基础流量,可以看到代理ip以及其他信息,存在一定的被朔源隐患

图片[1]-【免杀】魔改frp内网隧道-Trojan

通过Frp自带的加密参数设置:

加密和压缩通讯

use_encryption = true

use_compression = true

隐藏了部分流量信息

图片[2]-【免杀】魔改frp内网隧道-Trojan

/pkg/msg/msg.go下修改基础特征

图片[3]-【免杀】魔改frp内网隧道-Trojan

修改Ip特征信息

图片[4]-【免杀】魔改frp内网隧道-Trojan

修改版本号信息

pkg/util/version/version.go

重新编译运行

修改后的流量,基础特征已经修改

图片[5]-【免杀】魔改frp内网隧道-Trojan

 

开启tls加密

tls_enable = true

开启之前先修改tls首字节以免被识别

pkg/util/net/tls.go中FRPTLSHeadByte参数的值

默认为0x17

图片[6]-【免杀】魔改frp内网隧道-Trojan

抓到的流量跟刚开始的默认流量截然不同,已经看不见ip信息和其他基础信息

图片[7]-【免杀】魔改frp内网隧道-Trojan

连通性测试

图片[8]-【免杀】魔改frp内网隧道-Trojan

 

 

 

 

© 版权声明
THE END
喜欢就支持一下吧
点赞0 分享
评论 抢沙发
头像
自古评论出人才是你吗?
提交
头像

昵称

取消
昵称表情代码

    暂无评论内容