公众号 : XG小刚
用于Webshell木马免杀、流量加密传输
免杀冰蝎、哥斯拉等Webshell的ASP、PHP、JSP木马文件,生成冰蝎流量加密传输配置文件
本工具仅用于授权测试,请勿用于非法用途
目前搭载1种ASP、8种php模板、8种jsp模板、5种jspx模板、7种waf页面、2种流量加密方式
git clone https://github.com/xiaogang000/XG_NTAI.git
java -jar XG_NTAI.jar
1、选择ASP、PHP、JSP、JSPX页面,选择免杀模板,加密密钥可自定义(不重要)
2、源码区替换为冰蝎、哥斯拉、或其他恶意代码的asp、php、jsp源码
3、点击免杀,获取免杀后代码即可
4、部分免杀马在第三文本框有使用注意事项
可在生成时添加模拟页面、目前支持7种waf页面(asp暂不支持)
也可以选择custom添加自定义页面的base64编码
部分demo需要加载配置文件XG_NTAI.properties才能使用
将XG_NTAI.properties放在同目录下运行即可
配置文件有需求加我微信咨询,进知识星球(黑灰产别来沾边)
jsp免杀500等问题,受Tomcat版本、Java版本影响
JSP页面选择Tomcat版本为需要版本,然后再免杀
tomcat7.0.x/8.x jdk6-8: 使用jsp_demo1、jsp_demo6、jsp_demo7
tomcat8.x/9.0.x jdk8-21: 使用jsp_demo2、jsp_demo5、jsp_demo7
tomcat10.0.x jdk8-21: 使用jsp_demo2、jsp_demo3、jsp_demo4、jsp_demo5、jsp_demo7
V2.0新增流量混淆功能(asp暂不支持)
将Webshell交互流量,根据测试系统的正常业务请求和响应数据,伪造成为正常的业务交互流量,从而规避安全产品和混淆防守人员判断。
针对冰蝎4.0协议规则生成
网站正常业务流量
伪造Webshell交互流量
1、根据正常业务,找到一个合适的POST数据包(js、json、html、图片、xml等)
2、将请求包数据和响应包数据,复制到Disguise功能指定位置
3、将标记!!insertPoint!!
插入请求包和响应包合适位置
4、选择加密方式,输入配置文件名称后点击加密,即可在工具目录下生成xxxxxx.config配置文件
5、打开冰蝎4.0,打开传输协议并导入该配置文件
选择导入的协议后生成服务端文件,并保存
6、新建Webshell连接,加密类型选择自定义-传输协议
此时的webshell交互流量已经伪造成为正常业务流量
7、针对php木马,可以直接复制整个响应包数据
此时的webshell交互流量,会伪造业务的正常响应头内容
针对请求头还需要手动配置UA、Content-type等,才能达到完美
(20240801): XG_NTAI_V2.3
ASP模板: 新增aspdemo1(测试)
######################################
(20240430): XG_NTAI_V2.2
JSP模板: 新增jspxdemo8(需配置文件)
JSPX模板: 新增jspxdemo1、jspxdemo2、jspxdemo5、jspxdemo6、jspxdemo8
更新jspdemo1、2模板
######################################