【防溯源】利用腾讯云来隐藏连接 Webshell 的真实 IP

因为腾讯云函数自带CDN,这样我们可以通过腾讯云函数来转发我们的Webshell请求,从而达到隐藏真实IP的目的

首先来到腾讯云后台找到云函数,我们使用自定义的模版:
【防溯源】利用腾讯云来隐藏连接 Webshell 的真实 IP_第1张图片

将下面代码复制到index.py中

# -*- coding: utf8 -*-
import requests
import json
def geturl(urlstr):
    jurlstr = json.dumps(urlstr)
    dict_url = json.loads(jurlstr)
    return dict_url['u']
def main_handler(event, context):
    url = geturl(event['queryString'])
    postdata = event['body']
    headers=event['headers']
    resp=requests.post(url,data=postdata,headers=headers,verify=False)
    response={
        "isBase64Encoded": False,
        "statusCode": 200,
        "headers": {'Content-Type': 'text/html;charset='+resp.apparent_encoding},
        "body": resp.text
    }
    return response

【防溯源】利用腾讯云来隐藏连接 Webshell 的真实 IP_第2张图片

部署成功后,点击触发管理->创建触发器

【防溯源】利用腾讯云来隐藏连接 Webshell 的真实 IP_第3张图片

这里需要选择API网关触发

【防溯源】利用腾讯云来隐藏连接 Webshell 的真实 IP_第4张图片

创建成功后

我们就可以在地下看到我们的访问路径

【防溯源】利用腾讯云来隐藏连接 Webshell 的真实 IP_第5张图片

然后在我们的访问路径后面增加?u=webshell一句话木马的地址即可

例如

https://sxxxxxxxxxxxxxxxxx.gz.apigw.tencentcs.com/release/helloworld-1627229247?u=http://xxxx/webshell.php

这里我用docker-compose来临时搭建了一个PHP服务

利用docker-coompose快速搭建PHP:https://github.com/nanoninja/docker-nginx-php-mysql

【防溯源】利用腾讯云来隐藏连接 Webshell 的真实 IP_第6张图片

然后在对应的文件夹下写一个webshell

【防溯源】利用腾讯云来隐藏连接 Webshell 的真实 IP_第7张图片

然后我们在开启一个终端来实时查看PHP容器的日志信息

【防溯源】利用腾讯云来隐藏连接 Webshell 的真实 IP_第8张图片

这里我通过蚁剑直接连接,可以看到logs显示出了我的真实IP地址

【防溯源】利用腾讯云来隐藏连接 Webshell 的真实 IP_第9张图片

然后我们在尝试通过腾讯云的云函数来访问我们的webshell

打开蚁剑,url设置为刚刚复制的云函数访问路径?u=木马路径。

https://serxxxxxxxxxxxx.gz.apigw.tencentcs.com/release/forwarded?u=http://vps-ip/index.php

【防溯源】利用腾讯云来隐藏连接 Webshell 的真实 IP_第10张图片

然后测试连接成功

【防溯源】利用腾讯云来隐藏连接 Webshell 的真实 IP_第11张图片

然后我们再次访问webshell,可以看到IP已经变为腾讯云CDN的IP

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-qnH7OvCz-1627663757546)(https://note.youdao.com/yws/res/c/WEBRESOURCEf54f38d956c3c8d69fa469511f30824c)]

补充:

这里最好在【函数管理】 -> 【函数配置】里面,最好把执行超时时间设置成和蚁剑里面的超时时间一样或者更长

【防溯源】利用腾讯云来隐藏连接 Webshell 的真实 IP_第12张图片

你可能感兴趣的:(红队技术)