安全工具篇Go魔改二开Fscan扫描FRP代理特征消除新增扩展打乱HASH

免杀对抗——第一百六十五天

安全工具篇&Go魔改二开&Fscan扫描&FRP代理&特征消除&新增扩展&打乱HASH

安全工具 - Goland-FRP魔改二开&特征消除

• FRP是一种快速的反向代理，允许你将位于NAT或防火墙后的本地服务器暴露在互联网上。目前它支持TCP和UDP，以及HTTP和HTTPS协议，使请求可以通过域名转发到内部服务，也是内网常用的内网穿透工具。
• 下载地址：https://github.com/fatedier/frp
• 同样，这玩意下载下就全部被杀，所以我们还是需要魔改，把源码拖到本地，然后通过make进行编译，这里因为Kali上自带make，所以尽量是放到Kali上编译：

make-f Makefile.cross-compiles

• 但是这种直接编译的还是没啥用，因为这个frp是流量转发工具，所以除了对一些特征进行更改之外，还需要对流量特征进行更改

• 比如在pkg/msg/msg.go文件中把传输的数据特征改掉：
  
  

• 然后在pkg/util/net/tls.go文件中将FRPTLSHeadByte改掉：
  

• 版本特征也可以改掉，在pkg/util/version/version.go文件中：
  

• 这样改动之后对免杀有一定的效果，在这个基础上也可以进行加壳、加保护、加签名、降低熵值等等操作

• 当然这个只是治标不治本的方法，一些较强的杀软或者是EDR设备还是过不了，因此还是需要更深层的改动，但这里我们也不深入改了，有兴趣的可以根据这篇文章自己下去尝试：【神兵利器】手把手教你魔改frp

安全工具 - Goland-FScan魔改二开&特征消除

工具混淆

• fscan是一款内网综合扫描工具，方便一键自动化、全方位漏扫扫描，体积小、扫描快、功能多，因此在内网扫描当中非常受欢迎。
• 下载地址：Releases · shadow1ng/fscan
• 但是这个工具已经是被杀毒软件杀得不要不要的，所以我们需要对其进行免杀处理，和之前一样，我们可以从如下方面入手：
  1. 对EXE成品：
     • 加签名、加壳、加保护、降低熵值等等
     • 转换为二进制/dll文件通过Loader加载调用
  2. 对源码：
     • 重新编译
     • 修改源码逻辑
     • 重新写一个新的工具
• 那我们这里就从简单到难，首先看看重新编译的效果，这个的主要目的就是改变文件的哈希值，将文件源代码下载下来之后，用goland打开（记得关杀毒），执行如下命令编译：

go build -ldflags="-s -w"-trimpath main.go

• 但是自己编译出来的目前也是直接被杀，因此我们可以更进一步通过DLL加载调用，加载器代码如下：

#include<stdio.h>#include<windows.h>intmain(){HMODULE hDLL;hDLL=LoadLibrary("fscan.dll");if(hDLL!=NULL){// 定义函数指针类型typedefvoid(*FunctionType)();// 为每个导出函数创建一个函数指针FunctionType DllCanUnloadNow=(FunctionType)GetProcAddress(hDLL,"DllCanUnloadNow");FunctionType DllGetClassObject=(FunctionType)GetProcAddress(hDLL,"DllGetClassObject");FunctionType DllRegisterServer=(FunctionType)GetProcAddress(hDLL,"DllRegisterServer");FunctionType DllUnregisterServer=(FunctionType)GetProcAddress(hDLL,"DllUnregisterServer");// 调用每个函数（如果函数指针非空）if(DllCanUnloadNow)DllCanUnloadNow();if(DllGetClassObject)DllGetClassObject();if(DllRegisterServer)DllRegisterServer();if(DllUnregisterServer)DllUnregisterServer();// 卸载 DLL FreeLibrary(hDLL);printf("All functions executed successfully.\n");}else{printf("Failed to load DLL.\n");}return0;}

• go启动代码如下：

packagemainimport"C"import("fmt""time""github.com/wjlin0/fscan/Plugins""github.com/wjlin0/fscan/common")//export DllCanUnloadNowfuncDllCanUnloadNow(){}//export DllGetClassObjectfuncDllGetClassObject(){}//export DllRegisterServerfuncDllRegisterServer(){}//export DllUnregisterServerfuncDllUnregisterServer(){}funcinit(){start:=time.Now()varInfo common.HostInfo common.Flag(&Info)common.Parse(&Info)Plugins.Scan(Info)t:=time.Now().Sub(start)fmt.Printf("[*] 扫描结束,耗时: %s\n",t)}funcmain(){}

• 然后通过如下命令分别编译加载器和启动代码：

gcc -o fscan_loader.exe main.c go build -buildmode=c-shared -o fscan.dll main.go

• 运行fscan_loader.exe就可以调用fscan工具了：
  

• 这个可以过火绒、DF，但是卡巴过不了，然后这里引用的库是github.com/wjlin0/fscan/Plugins，这个不是官方的库，如果引用官方的库可能就会杀

• 这里如果要用最新版可以直接fork到自己的仓库然后改一下依赖即可

新增PoC

• 在fscan中是有一些常见Web PoC扫描的，在/WebScan/pocs目录下，如果我们想引入一些最新的漏洞PoC可以自己新增：
  

• 这里就不再演示了，怎么编写yml的PoC之前的课程也讲到过，写完之后重新打包即可：

go build -buildmode=c-shared -o fscan.dll ./main.go

• 对于其他的非Web模块的漏洞，可以在/Plugins目录下新增其他的插件或者漏洞扫描模块，比如这里我们新增一个zookeeper未授权连接的探测功能，首先在该目录下创建ZookeeperConn.go文件：

packagePluginsimport("fmt""strings""time""github.com/samuel/go-zookeeper/zk""github.com/shadow1ng/fscan/Common")funcZookeeperScan(info*Common.HostInfo)error{// Trim inputsinfo.Host=strings.TrimSpace(info.Host)info.Ports=strings.TrimSpace(info.Ports)varaddresses[]stringifinfo.Ports==""{// default zookeeper portaddresses=append(addresses,fmt.Sprintf("%s:%d",info.Host,2181))}elseifstrings.Contains(info.Ports,","){ports:=strings.Split(info.Ports,",")for_,port:=rangeports{p:=strings.TrimSpace(port)ifp==""{continue}addresses=append(addresses,fmt.Sprintf("%s:%s",info.Host,p))}}else{addresses=append(addresses,fmt.Sprintf("%s:%s",info.Host,info.Ports))}conn,err:=ZookeeperConn(addresses,time.Duration(Common.Timeout)*time.Second)iferr!=nil{errlog:=fmt.Sprintf("[-] Zookeeper %v:%v connect failed, %v",info.Host,info.Ports,err)Common.LogError(errlog)returnerr}deferconn.Close()// 检查根节点是否存在，作为未授权访问的判断依据exists,_,err:=conn.Exists("/")iferr!=nil{errlog:=fmt.Sprintf("[-] Zookeeper %v:%v check unauthorized failed, %v",info.Host,info.Ports,err)Common.LogError(errlog)returnerr}ifexists{result:=fmt.Sprintf("[+] Zookeeper %v:%v unauthorized",info.Host,info.Ports)Common.LogSuccess(result)_=Common.SaveResult(&Common.ScanResult{Time:time.Now(),Type:Common.VULN,Target:fmt.Sprintf("%s:%s",info.Host,info.Ports),Status:"vulnerable",Details:map[string]interface{}{"service":"zookeeper","vulnerability":"unauthorized-access"},})}returnnil}funcZookeeperConn(addresses[]string,timeout time.Duration)(*zk.Conn,error){conn,_,err:=zk.Connect(addresses,timeout)iferr!=nil{returnnil,fmt.Errorf("connect to Zookeeper failed: %v",err)}returnconn,nil}

• 如果是旧版，按小迪的流程注册插件即可，如果是新版，只需要在/Core/Registry.go文件中添加如下代码即可：

Common.RegisterPlugin("zookeeperconn",Common.ScanPlugin{Name:"ZookeeperConn",Ports:[]int{2181},ScanFunc:Plugins.ZookeeperScan,Types:[]string{Common.PluginTypeService},})

• 因为是测试未授权，所有不需要在/Core/Config.go中添加暴力破解的账户以及密码
• 然后我们在/Common/Ports.go文件的var MainPorts里面加入2181端口，运行如下命令进行扫描探测：

fscan.exe -h<IP>

• 可以看到这里能够成功发现了zookeeper的未授权访问漏洞，所以我们如果想增加一些服务漏洞扫描或者其他插件功能就可以在这里自行添加