蓝队技能
FRP&NPS&reGeorg&Venom
- 蓝队技能
- 总结
- 前言
- 一、FRP
- 1.1 流量分析
- 1.2 特征提取
- 二 NPS
- 1.1 流量分析
- 1.2 特征提取
- 三、reGeor
- 1.1 特征提取
- 四、Venom
- 1.1 特征提取
总结
前言
本文聚焦内网隧道代理技术,涵盖Frp、Nps、Neo-reGeorg及Venom等工具。这些工具通过内网穿透实现远程访问,各具特色。我们将深入解析其流量特征,包括数据包结构、编码方式及特定字符串等,为安全检测与防护提供指导。希望读者能从中获得实战启示。
一、FRP
一个专注于内网穿透的高性能的反向代理应用,支持 TCP、UDP、HTTP、HTTPS 等多种协议,且支持 P2P 通信。可以将内网服务以安全、便捷的方式通过具有公网 IP 节点的中转暴露到公网。
原理图如下:
1.1 流量分析
frp使用教程
如果看不到如下的流量特征,请停止客户端后进行抓包再启动客户端即可
1.2 特征提取
如上只是测试了没有启用tls加密的0.33版本,其余的版本和加密的版本自行测试,如下是所有加密特征:
1. 未启用TLS加密默认特征:(版本有限制)
{"version":"0.xx.0","hostname":"","os":"windows","arch":"amd64","user":"","privilege_key":"28840a6790af42d3dfcf549ab22172e5","timestamp":1726723109,"run_id":"","metas":{},"pool_count":1}
{"version":"0.xx.0","run_id":"88bcb623b0d06876","server_udp_port":0,"error":""}
{"run_id":"88bcb623b0d06876","privilege_key":"","timestamp":0}
2. 启用TLS加密:
添加了tls和加密压缩后的frp在通信过程已经没有了版本信息和会话信息。不过,在建立连接的过程启用tls前,客户端携带"0x17",请求服务端后续有"Gryphon"协议,"Gryphon"协议为工控协议,用于车用通讯协定.
frpc.ini配置:
[common]
server_addr = 115.159.72.226
server_port = 7000
token = 123456
tls_enable = true
[rdp]
type = tcp
local_ip = 127.0.0.1
local_port = 3389
remote_port = 7389
frps.ini配置:
[common]
bind_port = 7000
token = 123456
二 NPS
一款轻量级、高性能、功能强大的内网穿透代理服务器。目前支持tcp、udp流量转发,可支持任何tcp、udp上层协议(访问内网网站、本地支付接口调试、ssh访问、远程桌面,内网dns解析等等……),此外还支持内网http代理、内网socks5代理、p2p等,并带有功能强大的web管理端。
NPS使用教程
1.1 流量分析
1.2 特征提取
连接成功后的特征:
1、明文版本号,MD5加密版本号
2、lib/common/const.go代码定义:认证成功:服务端向客户端发送sucs,客户端发送main。
连接后续使用隧道的特征:
通讯后有传输数据特征固定格式:{"ConnType":"xx","Host":"xx","Crypt":false,"Compress":false,"LocalProxy":false,"RemoteAddr":"xx","Option":{"Timeout":5000000000}}
如下两款工具抓包分析是一样的,所以只做特征提取
三、reGeor
一个旨在积极重构 reGeorg 的项目,目的是:提高可用性,避免特征检测,提高 tunnel 连接安全性,提高传输内容保密性,应对更多的网络环境场景下使用
reGeor使用教程
1.1 特征提取
1、html注释的字符串
2、post数据包和返回包中存在大量编码后的字符串,同时最开始访问时是不带cookie的。而后面的流量统一带cookie访问
3、固定的数据包格式和UA等
四、Venom
一款为渗透测试人员设计的使用Go开发的多级代理工具。Venom可将多个节点进行连接,然后以节点为跳板,构建多级代理。渗透测试人员可以使用Venom轻松地将网络流量代理到多层内网,并轻松地管理代理节点。
Venom使用教程
1.1 特征提取
Venom/global/global.go源码:数据包带有"ABCDEFGH"、"VCMD"
