项目介绍
XGNTAI用于实现Webshell木马免杀、流量加密传输,生成免杀冰蝎、哥斯拉等Webshell的PHP、JSP木马文件,生成冰蝎流量加密传输配置文件
静态免杀
目前搭载8种php模板、7种jsp模板、7种waf页面、2种流量加密方式(备注:jsp免杀最好JAVA8运行)
使用方法:
1、选择PHP、JSP页面,选择免杀模板,加密密钥可自定义(不重要)
2、源码区替换为冰蝎、哥斯拉、或其他恶意代码的php、jsp源码
3、点击免杀,获取免杀后代码即可
4、部分免杀马在第三文本框有使用注意事项
模拟页面
可在生成时添加模拟页面、目前支持7种waf页面
也可以选择custom添加自定义页面的base64编码
配置文件
部分demo需要加载配置文件XG_NTAI.properties才能使用,随后将XG_NTAI.properties放在同目录下运行即可
流量混淆
V2.0新增流量混淆功能,将Webshell交互流量,根据测试系统的正常业务请求和响应数据,伪造成为正常的业务交互流量,从而规避安全产品和混淆防守人员判断
针对冰蝎4.0协议规则生成
网站正常业务流量
伪造Webshell交互流量
使用方法:
1、根据正常业务,找到一个合适的POST数据包(js、json、html、图片、xml等)
2、将请求包数据和响应包数据,复制到Disguise功能指定位置
3、将标记!!insertPoint!!插入请求包和响应包合适位置
4、选择加密方式,输入配置文件名称后点击加密,即可在工具目录下生成xxxxxx.config配置文件
5、打开冰蝎4.0,打开传输协议并导入该配置文件
选择导入的协议后生成服务端文件,并保存
6、新建Webshell连接,加密类型选择自定义-传输协议
此时的webshell交互流量已经伪造成为正常业务流量
7、针对php木马,可以直接复制整个响应包数据
此时的webshell交互流量,会伪造业务的正常响应头内容
针对请求头还需要手动配置UA、Content-type等,才能达到完美
免责声明
本开源工具是由作者按照开源许可证发布的,仅供个人学习和研究使用。作者不对您使用该工具所产生的任何后果负任何法律责任
下载地址
点击下方名片进入公众号
回复关键字【webshell】获取下载链接
扫一扫
1791
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
