frp改造5-流量特征

    渗透测试 lz520520 2个月前 (10-07) 194次浏览

    特征1

    使用tls_enable加密后,首次连接会一个0x17的头部。
    frp改造5-流量特征

    pkg/util/net/tls.go,frp自实现tls,所以存在很强的特征
    frp改造5-流量特征

    这个0x17只有再发起连接时会有,后续均为tls加密传输,所以我们需要修改此处就够了

    第一步:修改byte内容,然后新增一个以该byte开头,后续内容随机的字节切片。
    pkg/util/net/tls.go

    frp改造5-流量特征

    第二步: 然后就是调用位置的调整,要注意下面buf虽然是设定成FRPTLSHeadBytes长度,但判断比较的时候只判断第一个字节,因为后面的每次运行都是随机生成的,服务端和客户端是不一样的。
    所以这里的判断依据就是:长度一致,首字节一致则表示tls接收无问题。
    frp改造5-流量特征

    server/service.go

    frp改造5-流量特征

    数据包如下,前11字节就表示使用tls。
    frp改造5-流量特征
    https://www.anquanke.com/post/id/231685

    PS: 新版本frp已经优化该特征
    frp改造5-流量特征


    Security , 版权所有丨如未注明 , 均为原创丨
    转载请注明原文链接:frp改造5-流量特征
    喜欢 (1)