首页 > 知识 > 修改
【页面双击滚屏】
标题 简介 类型 公开时间
关联规则 关联知识 关联工具 关联文档 关联抓包
参考1(官网)
参考2
参考3
详情
[SAFE-ID: JIWO-2025-3248]   作者: ecawen 发表于: [2023-01-03]

本文共 [408] 位读者顶过

一、工具原理介绍

利用Http.sys驱动对urlacl进行操作,由于Http.sys是IIS服务器的基础,其优先级高于IIS,不会造成端口bind冲突,达到端口服用效果,由于与受害机对外服务端口相同,可做到极高的隐蔽性。由于其生效后效果很类似于LOL的小丑,故起名为Joker。

二、使用方法

此工具的使用前提是 管理员权限 IIS环境

1. 基于路径进行复用 

Joker.exe "http://*:{PORT}/{PATH}"

	

		8ac6cb20-72a2-11ed-8abf-dac502259ad0.png
	

	

		可直接使用蚁剑进行连接,配置如下:[出自:jiwo.org]

8adc251a-72a2-11ed-8abf-dac502259ad0.png

连接密码随便填写

8afd6f40-72a2-11ed-8abf-dac502259ad0.png

2.基于HOST进行复用(强烈推荐


Joker.exe "http://{HOST}:{PORT}/"

8b21d1fa-72a2-11ed-8abf-dac502259ad0.png

蚁剑配置如下

8b3a9d34-72a2-11ed-8abf-dac502259ad0.png8b610eb0-72a2-11ed-8abf-dac502259ad0.png



这样,在正常访问80端口的时候为正常业务,在带特殊的头访问80端口的时候则为后门程序。



3.Regeorg适配



项目JokerTunnel为对Regeorg适配版本。



8b77e806-72a2-11ed-8abf-dac502259ad0.png8ba3188c-72a2-11ed-8abf-dac502259ad0.png

客户端使用Regeorg进行连接即可
	

		三、二次开发
	

	

		此项目的handle都集中在handle.h当中,以执行为例,传入参数依次为Request的body、RequestBody的长度与响应内容的指针

8bca1338-72a2-11ed-8abf-dac502259ad0.png
	


			

				
	





评论


暂无



发表评论









 返回顶部 






	热度(408)





	

		

			
				
			
			
				
			
		

		

			
			
		

	






 关注微信 





v1.4 by jiwo@jiwo.org   Copyright © 2016-2046 机窝安全   
京ICP备16002041号-2