网站建设、公众号开发、微网站、微商城、小程序就找牛创网络 !

7*24小时服务专线： 152-150-65-006 023-68263070 扫描二维码加我微信

开发工具团结互助，让我们共同进步！

当前位置：主页 > 技术资讯 > 工具 > 开发工具 >

我们的优势： 10年相关行业经验，专业设计师量身定制设计师一对一服务模式，上百家客户案例！企业保证，正规流程，正规合作 7*24小时在线服务，售后无忧

LOLBITS：C#反向Shell，微软后台智能传输服务（BITS），基于Flask Web应用程序构建，只通过Header的HTTP请求通信。

文章来源：重庆网络安全围观次数：

分享到:

摘要：LOLBITS是C 反向Shell，使用Microsoft后台智能传输服务（BITS）与后端命令控制服务器进行交互。后台命令控制服务器构建在Flask Web应用程序上，只能通过包含有效身份验证Header的HTTP请求与其通信。

LOLBITS是C#反向Shell，使用Microsoft后台智能传输服务（BITS）作为传输通道与后端命令控制服务器进行交互。后台命令控制服务器构建在Flask Web应用程序上，只能通过包含有效身份验证Header的HTTP请求与其通信。

LOLBITS由以下三个部分组成：

1. C＃代理，负责在受感染主机中执行控制命令，并在命令成功执行后将输出结果发送到后台命令控制服务器。

2. Flask Web应用程序，它充当中间调度程序。该组件可以伪装成隐藏后端C2基础结构的合法网站，并且可以向客户端发送新的控制命令。

3. C&C命令行可用于控制代理。

为了防止通信内容被拦截或窃听，代理和C&C服务器之间的通信内容使用R **（基于预共享密钥）进行加密。下图显示了LOLBITS的逻辑体系结构：

为了防止安全研究人员重复发出命令和控制请求来分析和研究C&C基础结构，每个身份验证Header都是随机的，并且仅在一个周期内有效。

工具依赖

后台C&C基础结构需要Windows Server 2012或更高版本，并安装了Python 3.4和以下Python依赖项：

Colorama：

pip install colorama

Flask：

pip install flask

当前版本的C＃客户端已在Windows Server 2016，Windows Server 2019，Windows 8.1和Windows 10上成功测试。编译环境如下：

Visual Studio 2017及更高版本

.NET Framework 4.5及更高版本

工具安装

使用以下命令将项目源代码克隆到C&C服务器：

git clone https://github.com/Kudaes/LOLBITS.git

通过Widnwos服务器管理器安装Web Server（IIS），确保已安装CGI，ASP.NET和.NET Extensibility：

并为IIS安装.NET Framework和BITS：

安装wfastcgi并在IIS中配置Fast CGI设置。这要求我们的Web应用程序必须使用Python开发。

关闭默认网站，并使用IIS管理器创建新网站并为该网站启用BITS上传服务：

将项目的C&C目录中的“the content”文件复制到本地主机上的站点物理目录中。假设我们创建的网站指向本地“ C：\ inetpub \ wwwroot \ bits”目录，则其结构应如下所示：

C:\inetpub\wwwroot\bits

|__ /config

|-- auth.txt

|__ /files

|-- abcde1234

|-- default

|__ /lolbins

|-- base64decode.py

|-- base64encode.py

|-- a lot of other .py files

|__ /templates

|-- index.html

|__ /static

|__ /payloads

|__ -- decrypt.py

|__ -- encrypt.py

|__ -- myapp.py

|__ -- web.config

建议您授予此目录“ C：\ inetpub \ wwwroot \ bits”对Everyone访问权限，以免出现错误。

接下来，编辑web.config文件并修改以下两个配置项：

1.对于Web处理程序的scriptProcessor属性，单击IIS管理器，在IIS服务器的根路径中选择FastCGI设置，然后将scriptProcessor属性值修改为“ Full Path | Arguments”：

在这里，将scriptProcessor属性设置为：

“ C：\ python3.4 \ python.exe | c：\ python3.4 \ lib \ site-packages \ wfastcgi.py”

2. PYTHONPATH，此参数需要指向我们的站点目录，即“ C：\ inetpub \ wwwroot \ bits”。

然后，修改初始安装常数，并设置预共享密钥的密码：

Program.cs->Password变量

myapp.py->Password变量

lawlbin.py->Password变量

选择Flask应用程序需要侦听的C＃代理URL：

Program.cs->Url变量

在myapp.py中，将AuthPath，ReadPath和Payloads的值设置为指向Web目录中的相应文件夹。

在lawlbin.py（lolbins目录）中设置baseReadPath和baseWritePath的值以指向Web目录中的相应文件夹。

在inject.py（lolbins文件夹）中设置__payloads的值。该值必须与myapp.py中的有效负载值相同。

编译代理并在受感染的主机上运行它。编译后，将生成一个exe文件和一个外部依赖文件（Newtonsoft.Json.dll）。您也可以使用ILMerge生成单独的exe文件。请在此处使用Windows应用程序编译该项目：

工具使用

用户可以直接在C&C服务器的命令行工具中输入以下命令，并在受感染主机上运行C＃代理以开始使用LOLBITS：

python lawlbin.py

本文由重庆网络安全整理发布,转载请保留出处，内容部分来自于互联网，如有侵权请联系我们删除。

上一篇：修复Responder实现的SMBv1&SMBv2的问题：使其与网络使用客户端的多个Hash捕获兼容，并修复了SMBv2实现的现有bug。
下一篇：GDA：新型反编译工具，基于C++开发，方便使用运行速度非常快，支持APK，DEX，OBED和oat文件格式。

关于我们

重庆牛创网络科技有限责任公司是一群技术强大、思维活跃、拥有创新精神的年轻人创立，公司致力于为企业提供全面、周到、专业的互联网解决方案，提供网站建设、网络推广、网络安全审计、wifi营销认证、网站运营维护、域名注册、虚拟主机、企业邮局、企业形象设计等多种信息产品和服务。

联系我们

公司电话： 023—68263070
办公地址：重庆市北碚区金华路399号
邮箱：120481297@qq.com
技术咨询：15215065006

“互联网+”方案

重庆网站建设

备案图标渝ICP备19004889号-1 渝公网安备 50010902000896号

行业安全认证

开发工具团结互助，让我们共同进步！

LOLBITS：C#反向Shell，微软后台智能传输服务（BITS），基于Flask Web应用程序构建，只通过Header的HTTP请求通信。

热门资讯

关于我们

联系我们

“互联网+”方案