一款基于Http.sys的利用工具

作者:Sec-Labs | 发布时间:

项目地址

https://github.com/ZhuriLab/Joker

Joker

b2d08b9709213713

 

版本 1.0

工具原理介绍

利用 Http.sys 驱动对urlacl进行操作,由于Http.sys是IIS服务器的基础,其优先级高于IIS,不会造成端口bind冲突,达到端口服用效果,由于与受害机对外服务端口相同,可做到极高的隐蔽性。由于其生效后效果很类似于LOL的小丑,故起名为Joker。

使用方法

此工具的使用前提是 管理员权限 IIS环境

1. 基于路径进行复用

Joker.exe "http://*:{PORT}/{PATH}"

a84d0370c3213739

 

可直接使用蚁剑进行连接,配置如下:

a82ee03e27213822

 

连接密码随便填写

3d1f6e580c213830

 

2.基于HOST进行复用(强烈推荐)

Joker.exe "http://{HOST}:{PORT}/"

b48a394710213838

 

蚁剑配置如下

df88f2d890213847

 

这样,在正常访问80端口的时候为正常业务,在带特殊的头访问80端口的时候则为后门程序。

3.Regeorg适配

项目JokerTunnel为对Regeorg适配版本。

e6c4bd9e38213857

 

43b3c6066f213906

 

客户端使用Regeorg进行连接即可

二次开发

此项目的handle都集中在handle.h当中,以执行为例,传入参数依次为 Request的body、RequestBody的长度与响应内容的指针

08a6136cf7213916

 

标签:工具分享