开源软件

用于绕过 IDS 检测的往返模糊 HTTP 文件传输设置-Skyhook

Skyhook 是一种 REST 驱动的实用程序,用于将文件偷运到 IDS 实施所防御的网络中或从这些网络中偷运出去。它带有一个预打包的网络客户端,使用 React、vanilla JS 和网络组件来管理文件传输。


关键链接

特征

  • 往返文件内容混淆

  • 用户可配置的混淆链

  • 自签名和 Lets Encrypt 证书获取方式

  • 用于配置和文件传输的嵌入式 Web 应用程序。

  • 服务器指纹识别弹性技术:

    • 加密加载器能够在渲染文件传输接口时动态加密接口文件

    • API 和 Web 资源路径随机化

简介

注意: 有关 Skyhook 及其功能的更全面讨论,请参阅用户文档。

Skyhook 的文件传输服务器在将内容写入响应主体之前,使用用户配置的一系列混淆算法无缝地混淆文件内容。配置了相同混淆算法的客户端会在将文件保存到磁盘之前对文件内容进行反混淆。文件流技术用于以分块方式管理 HTTP 事务,从而促进大文件传输。


flowchart

subgraph sg-cloudfront[Cloudfront CDN]
    cf-listener(443/tls)
end

subgraph sg-vps[VPS]
    subgraph sg-skyhook[Skyhook Servers]
        admin-listener(Admin Server
45000/tls)
        transfer-listener(Transfer Server
45001/tls)
    end
    
    config-file(Config File
/var/skyroot/config.yml)

    admin-listener -..->|Reads &
Manages| config-file
    
    webroot(Webroot
/var/skyhook/webroot)
    transfer-listener -..->|Serves From &
Writes Cleartext
Files To| webroot
end


    op-browser(Operator
Web Browser) -->|Administration
Traffic| admin-listener
    op-browser <-->|Obfuscated
Data| transfer-listener

subgraph sg-corp[Corporate Environment]
    subgraph sg-compromised[Beachhead Host]
        comp-browser(Web Browser) -->|Reads &

例子

例如,这是一个有效的混淆配置:

2023100916968368144538139.jpg

这里是文件传输界面。单击“下载”会以块的形式检索文件,这些块是使用上面配置的混淆方法链进行加密的。

JavaScript 在提示用户将文件保存到磁盘之前会对文件进行反混淆。

2023100916968368153222032.jpg

以下是来自使用 Burp 检查的下载的请求。交易的关键元素被加密以逃避检测。

2023100916968368157211176.jpg


下载Skyhook


相关主题

评论

回复