基于Websocket的RAT

最新推荐文章于 2025-11-25 11:29:48 发布
原创 最新推荐文章于 2025-11-25 11:29:48 发布 · 334 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全

本文记录了作者在GitHub上发现的一款基于WebSocket的远程访问工具(RAT)的测试过程。该工具利用WebSocket特性,通过80端口传输加密流量,实现隐蔽通信,适配HTML5以上浏览器。测试表明,其有效避免了安全设备的告警,适合红队渗透测试。

###背景:今天在逛github的时候,无意发现了一款基于websocket传输的RAT。于是就下载下来进行了一番测试。感觉思路清奇,就做个记录吧。
地址:https://github.com/Arno0x/WSC2
###开始测试:
1.首先在VPS上进行下载

git clone https://github.com/Arno0x/WSC2

2.然后安装python库

这里需要注意一下,我的系统是centOS在安装pycrypto的时候,一直都在报错,后来使用的是pycryptodemo这个库才成功运行的。 
pip install -r requirements.txt

3.接着修改config.py这个文件,将url填写自己的域名或者IP
4.运行wsc2.py并生成样本

5.在目标机中运行生成好的样本,这里需要注意websocket是在html5才出现的,所以如果目标系统中的IE版本过低,就无法使用。当目标机上线后,我们可以对其进行相应的操作。

6.我对样本运行过程中进行了一下抓包,可以看到,所有流量都是通过80端口进行传输,并且传输的包也经过了加密,所以在红队开展工作的时候,还是能对逃避蓝队的检查提供帮助。就比如我今天做的测试,并没有触发相关设备的告警。

7.立个小目标,近期多研究一下websockt的骚操作

基于python编写的RAT(Remote Administration Tool)——Stitch
include_heqile的博客
06-23 1182
友链 项目地址 读到下面发现作者说有一个跟自己的工具很类似的一个更厉害的工具—pupy 此远控具有如下优点 自动补全命令和文件名 反病毒软件检测 开启/关闭显示器 隐藏/取消隐藏文件和文件夹 查看和修改hosts文件 查看系统环境变量 键盘记录器 查看目标主机的地理位置等信息 执行自定义python脚本 截屏 虚拟机检测 上传下载文件 dump目标主机hash 将有效载荷的属性被“伪装”为其他已知程序 针对windows的特点 显示用户名/密码登录框,以获取目标的用户名和密码 获取chrome中保存的
RAT免杀技术
一个孤独漫步者的遐想的博客
02-11 1370
RAT 检测原理 基于二进制文件中特征签名的黑名单检测方法 基于行为的分析方法(启发式) 免杀技术 修改二进制文件中的特征字符 替换、擦除、修改 加密技术(crypter) 通过加密使得特征字符不可读,从而逃避AV检测 运行时分片分段的解密执行,注入进程或AV不检查的无害文件中 防病毒软件的检测 恶意程序本身的特征字符 加密器crypter的特征字符 在线多引擎查杀网站AV厂商共享信...
Caesar:基于HTTP的RAT(远程管理工具),可让您从浏览器远程控制设备
02-03
HTTP远程管理工具 介绍 Caesar是基于HTTP的RAT,可让您直接从浏览器远程控制设备。 产品特点 易于安装和使用 它可以安装在任何免费的虚拟主机服务上(因此您不需要端口转发) 数据库驱动。 您可以在目标联机时将要执行的任务排队,并检查结果。 它只需要浏览器即可运行。 因此,一旦设置了服务器,就可以从每个操作系统(以及Android,iOS和Tails OS等实时操作系统)对其进行控制。 要求 PHP 5.6以上 MySQL的 Python 文档和示例 请参考。 影片教学课程: : 西班牙语视频教程(由Reldsec撰写): : zpEtgrveCx8 为项目做贡献 您
基于HTTP协议的WEB服务器(2020嵌入式UC结课项目)
weixin_44264668的博客
06-03 764
HTTP模块:实现HTTP协议 http.h // 声明HTTP协议有关的数据类型和函数 #ifndef _HTTP_H #define _HTTP_H #include <limits.h> #include <sys/types.h> // HTTP请求 typedef struct tag_HttpRequest { char method[32]; // 方法 char path[PATH_MAX + 1]; // 路径 char p
java中匿名内部类的两种实现方式
ratzip的专栏
08-29 213
这个兄弟的文章,让我收益匪浅,解决了之前的一个问题,特此收藏   使用匿名内部类课使代码更加简洁、紧凑,模块化程度更高。内部类能够访问外部内的一切成员变量和方法,包括私有的,而实现接口或继承类做不到。然而这个不是我说的重点,我说的很简单,就是匿名内部类的两种实现方式:第一种,继承一个类,重写其方法;第二种,实现一个接口(可以是多个),实现其方法。下面通过代码来说明: Java代码 public c...
13、网络安全防御现代RAT技术解析
f0g1h2的博客
08-29 89
本文深入解析了网络安全防御策略现代RAT(远程访问工具)技术。从防御策略的密码管理、双因素认证到RAT的架构、C&C通道选择,再到使用Rust语言开发RAT服务器的优势和实践,全面覆盖网络安全RAT技术的关键内容。适合从事网络安全安全测试及研究的人员参考学习。
rat.js:唯一的不和谐机器人-最终在js中
03-28
rat.js,正如其标题所示,是一款基于JavaScript的独特不和谐机器人,它在TypeScript的加持下,提供了更严谨的类型检查和更高效的代码编写体验。 JavaScript,作为Web开发的基石,是构建此类应用程序的常用语言。...
基于C#编写的Botnet程序代码分析
由于其强大的.NET框架支持、丰富的类库以及简便的网络通信接口(如TCP/IP、HTTP、WebSocket等),C#也常被滥用在编写恶意软件领域,尤其是远程访问木马(RAT)、后门程序和僵尸网络客户端。此类程序通常具备隐蔽运行...
websorket测试时报错[ERROR] [example-3]: process has died [pid 335049, exit code -6, cmd '/opt/tros/lib/dnn_node_example/example --ros-args --log-level warn --ros-args --params-file /tmp/launch_params_v4_ww6i8 --params-file /tmp/launch_params_g41vek5l --params-file /tmp/launch_params_asww2c5w --params-file /tmp/launch_params_kkux1rat --params-file /tmp/launch_params_1t68i7yq']. [hobot_usb_cam-1] [WARN] [1753373918.226564618] [hobot_usb_cam]: Open & Init device /dev/video8 success.
07-26
解决方案基于常见WebSocket开发实践和错误处理经验,确保真实可靠。 #### 步骤1: 收集关键信息(初步诊断) 在深入调试前,先收集必要信息以缩小问题范围: - **检查完整日志**:查找崩溃前的堆栈跟踪(stack trace...
C#远程管理工具源码分析
C# RAT(Remote Administration Tool,远程管理工具)是一种基于C#编程语言开发的远程控制软件,通常用于对目标计算机进行远程监控、管理和操作。从标题和描述来看,该文件是一个名为“C# RAT”的压缩包,内含相关源...
远控(RAT)软件汇总
a807719447的专栏
10-10 6225
如题,甩一堆源码给你自己去编译就没有后门了 https://github.com/quasar/QuasarRAT https://github.com/TheSph1nx/RT-101 https://github.com/BlackHacker511/BlackRAT https://github.com/mwsrc/njRAT https://github.com/Jwsoat-Media/...
websocket域名访问不了_Ttint:IoT远程访问木马通过2个0day传播
weixin_39521009的博客
12-06 913
背景介绍从2019年11月开始,360Netlab Anglerfish系统已使用两个Tenda路由器0天漏洞连续监视攻击者,以传播基于Mirai代码的远程访问木马(RAT)。常规Mirai变体通常集中在DDoS上,但此变体有所不同。除了DDoS攻击外,它还实现了12种远程访问功能,例如用于路由器设备的Socket5代理,篡改路由器DNS,设置iptables,执行自定义系统命令。另外,...
使用WebSocket WSC2进行命令和控制
Fly_鹏程万里
12-04 1096
这一切都始于我其他一些BHIS测试人员进行的对话。当时,我正在测试使用WebSockets的Web应用程序。该应用程序让我头疼,我正在发泄我的沮丧。渗透测试员,红队和坏人总是在寻找新的方法来防御。因此,谈话转向讨论如何将这些斗争用于进攻能力并不奇怪。有人提到使用WebSockets的命令和控制(C2)通道会非常酷。在我们开始讨论为什么会非常酷之前,我们应该仔细研究一下WebSocket协议。...
https下的websocket链接问题
暴躁兔子的记录
09-12 8866
错误信息 An insecure WebSocket connection may not be initiated from a page loaded over HTTPS. 最近在做一个项目的时候遇到需要使用websocket进行异步消息通知,就是有消息了,后台立马弹个窗出来。 后台使用netty做的websocket,具体代码就省略了,使用的端口是8081,然后正常服务使用端口8080...
一个demo学会java
热门推荐
全栈工程师开发手册(原创)https://github.com/tencentmusic/cube-studio
10-01 1万+
全栈工程师开发手册 (作者:栾鹏) 快捷链接: java系列教程1-数据库操作全解 java系列教程2-IO数据流全解 java系列教程3-网络协议全解 java系列教程4-web服务全解 java系列教程5-网络安全全解 java系列教程6-系统操作全解 java系列教程7-jsp全解 java系列教程8-数据结构全解 java系列教程9-算法全解 java系列教程10-DOM
HTTP协议调试工具汇总,你心目中应该是什么样的?
代码技巧
10-23 1038
来自:FreeBuf.COM,作者:mazekey前言本文收集了大量抓包工具,近40款,涵盖了各种开发语言(Java,C#,Delphi,C,C++,Objective-...
平台政策频变,跨境卖家如何筑牢安全防线?
最新发布
2501_93135886的博客
11-25 299
跨境电商正在进入精细化运营的新阶段,卖家需要在把握平台政策导向的同时,建立完善的风险防御体系,通过合规经营、供应链优化和安全管理,构建可持续的竞争壁垒,在这个快速变化的环境中,只有适应变革、主动求变的卖家,才能赢得长期发展的机会。针对这类风险,卖家需要建立更严谨的证据管理机制,从产品出厂到发货的每个环节都应保留完整的影像资料,形成可追溯的证据链,在处理客户投诉时,要求提供多角度证据或视频资料,能够有效识别AI生成的虚假内容。
人工智能时代:以备案制度筑牢安全防线
qq_58995858的博客
11-24 319
人工智能技术快速发展带来安全隐患,如自动驾驶事故、算法歧视等问题凸显。国家出台备案制度,要求AI产品提交技术资料和数据样本,增强透明度。该制度通过算法可解释性、公平性评估等机制,有效降低技术风险,提升用户信任。备案不仅是合规要求,更是构建数字时代信任基石的关键举措,将推动AI行业健康有序发展。
云原生安全
2509_93947362的博客
11-24 349
先聊聊容器安全这块硬骨头。另外,容器运行时也得盯紧,像Falco这种开源工具能实时监测异常操作,比如突然冒出的特权容器或者敏感目录访问,一有风吹草动就告警。云平台的原生安全工具也得用起来,比如AWS的Security Group和Azure的NSG,规则要最小权限原则,只开放必要端口。说实话,刚开始推行时总有人抱怨流程繁琐,等真防住几次零日漏洞攻击后,全员才意识到:云原生安全就是个持续博弈的过程,今天偷懒省一步,明天就可能全线崩盘。总之,云原生安全没有银弹,它得像编织渔网一样,把技术、流程、文化三层织密。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值