Skyhook | 一种用于绕过 IDS 检测的往返模糊 HTTP 文件传输设置插图

简介

Skyhook是一个REST驱动的实用程序,用于在受IDS保护的网络中秘密地进出文件。它配备了一个预打包的Web客户端,该客户端使用React、vanilla JS和Web程序集的混合来管理文件传输

特点

  • 往返文件内容混淆
  • 用户可配置的混淆链
  • 自签名和Lets Encrypt证书购买方式
  • 用于配置和文件传输的嵌入式Web应用程序。
  • 服务器指纹识别弹性技术:
    • 加密加载器能够在渲染文件传输接口时动态加密接口文件
    • API和Web资源路径随机化

注意:有关Skyhook及其功能的更全面讨论,请参阅用户文档。

文件传输流程

以下是Skyhook文件传输服务器的工作流程:

flowchart
subgraph sg-cloudfront[Cloudfront CDN]
    cf-listener(443/tls)
end

subgraph sg-vps[VPS]
    subgraph sg-skyhook[Skyhook Servers]
        admin-listener(Admin Server<br>45000/tls)
        transfer-listener(Transfer Server<br>45001/tls)
    end
    
    config-file(Config File<br>/var/skyroot/config.yml)

    admin-listener -..->|Reads &<br>Manages| config-file
    
    webroot(Webroot<br>/var/skyhook/webroot)
    transfer-listener -..->|Serves From &<br>Writes Cleartext<br>Files To| webroot
end

op-browser(Operator<br>Web Browser) -->|Administration<br>Traffic| admin-listener
op-browser <-->|Obfuscated<br>Data| transfer-listener

subgraph sg-corp[Corporate Environment]
    subgraph sg-compromised[Beachhead Host]
        comp-browser(Web Browser) -->|Reads &<b   r>Writes| cleartext-file(Cleartext Files)
    end
end

comp-browser <-->|Obfuscated<br>Data| cf-listener <-->|Obfuscated<br>Data| transfer-listener

一个简短的例子

例如,以下是一个有效的混淆配置:

Skyhook | 一种用于绕过 IDS 检测的往返模糊 HTTP 文件传输设置插图1

这是文件传输界面。单击“下载”将以块的形式检索文件,并使用上述配置的混淆方法链进行加密。

JavaScript会在提示用户将文件保存到磁盘之前对文件进行反混淆。

Skyhook | 一种用于绕过 IDS 检测的往返模糊 HTTP 文件传输设置插图2

以下是通过使用Burp检查下载的请求。传输的关键元素被加密以逃避检测。

Skyhook | 一种用于绕过 IDS 检测的往返模糊 HTTP 文件传输设置插图3