正文

【正向代理】基于suo5二开 过D盾、安全狗、360、火绒的Xlsuo5 v1.0已发布!

admin
admin V管理员 /0 评论 /45 阅读
1111
此篇文章发布距今已超过11天,您需要注意文章的内容或图片是否可用!

点击上方蓝字关注我们

现在只对常读和星标的公众号才展示大图推送,建议大家能把星落安全团队设为星标”,否则可能就看不到了啦

工具介绍

suo5 是一个高性能 HTTP 隧道代理工具,它基于双向的 Chunked-Encoding 构建, 相比 Neo-reGeorg 等传统隧道工具, suo5 的性能可以达到其数十倍。获取方式:连同一键kill360、 一键禁用defender、cobaltstrike4.9.1二开版本、免杀插件以及其他发布的工具都放在了内部星球里

其主要特性如下:

  • 同时支持全双工与半双工模式,传输性能接近 FRP

  • 支持在 Nginx 反向代理和负载均衡场景使用

  • 支持 Java4 ~ Java 21 全版本和各大主流中间件服务

  • 支持 IIS .Net Framework >= 2.0 的所有版本

  • 完善的连接控制和并发管理,使用流畅丝滑

  • 同时提供提供命令行和图形化界面

目前服务器端代码已不具备免杀效果,在其基础上进行二次修改:

v1.0更新:

  • 新增免杀效果:过D盾、安全狗、360、火绒等杀软

使用方法

图形化版本

界面版基于 wails 实现,依赖 Webview2 框架。Windows 11 和 MacOS 已自带该组件,其他系统会弹框请允许下载安装,否则无法使用。

命令行版本

USAGE:   suo5 [global options] command [command options] [arguments...]GLOBAL OPTIONS:   --target value, -t value                               the remote server url, ex: http://localhost:8080/suo5.jsp   --listen value, -l value                               listen address of socks5 server (default: "127.0.0.1:1111")   --method value, -m value                               http request method (default: "POST")   --redirect value, -r value                             redirect to the url if host not matched, used to bypass load balance   --no-auth                                              disable socks5 authentication (default: true)   --auth value                                           socks5 creds, username:password, leave empty to auto generate   --mode value                                           connection mode, choices are auto, full, half (default: "auto")   --ua value                                             set the request User-Agent (default: "Mozilla/5.0 (Linux; Android 6.0; Nexus 5 Build/MRA58N) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/109.1.2.3")   --header value, -H value [ --header value, -H value ]  use extra header, ex -H 'Cookie: abc'   --timeout value                                        request timeout in seconds (default: 10)   --buf-size value                                       request max body size (default: 327680)   --proxy value                                          set upstream proxy, support socks5/http(s), eg: socks5://127.0.0.1:7890   --debug, -d                                            debug the traffic, print more details (default: false)   --no-heartbeat, --nh                                   disable heartbeat to the remote server which will send data every 5s (default: false)   --no-gzip, --ng                                        disable gzip compression, which will improve compatibility with some old servers (default: false)   --jar, -j                                              enable cookiejar (default: false)   --help, -h                                             show help   --version, -v                                          print the version

1. 命令行版本与界面版配置完全一致,可以对照界面版功能来使用,最简单的只需指定连接目标

./suo5 -t https://example.com/proxy.jsp

2. 使用 GET 方法发送请求,有时可以绕过限制

./suo5 -m GET -t https://example.com/proxy.jsp

3. 自定义 socks5 监听在 0.0.0.0:7788,并自定义认证信息为 test:test123

./suo5 -t https://example.com/proxy.jsp -l 0.0.0.0:7788 --auth test:test123

4. 负载均衡场景下将流量转发到某一个固定的 url 解决请求被分散的问题,需要尽可能的在每一个后端服务中上传 suo5。它的原理是判断 -r 中 URL 的 IP 是否与服务器的网卡 IP 匹配,不匹配则转发。

./suo5 -t https://example.com/proxy.jsp -r http://172.0.3.2/code/proxy.jsp

5. 配置域名/IP过滤规则,避免无意义的域名被代理, 命中规则的连接会直接被 reset 掉

# example.com 和 google.com 这两个域名不走代理$ ./suo5 -t https://example.com/proxy.jsp -E example.com -E google.com# 也可以将域名列表放在文件里,一行一个$ ./suo5 -t https://example.com/proxy.jsp -ef ./excludes.txt# 注意: 如果你配置的是域名,你需要确保 suo5 代理拿到的是域名,而不是解析好的 ip, 否则不会生效, 例如:# 已经解析成 IP:  curl -v -x 'socks5://127.0.0.1:1111' https://example.com# 仍然是域名:  curl -v -x 'socks5h://127.0.0.1:1111' https://example.com

特别提醒

User-Agent (ua) 的配置本地端与服务端是绑定的,如果修改了其中一个,另一个也必须对应修改才能连接上, 你可以将这个作为连接密码使用。

配置文件

配置文件的定义来自 ctrl.Suo5Config, 完整的配置如下:

{  "method": "POST",  "listen": "127.0.0.1:1111",  "target": "",  "no_auth": true,  "username": "",  "password": "",  "mode": "auto",  "buffer_size": 327680,  "timeout": 10,  "debug": false,  "upstream_proxy": "",  "redirect_url": "",  "raw_header": [    "User-Agent: Mozilla/5.0 (Linux; Android 6.0; Nexus 5 Build/MRA58N) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/109.1.2.3"  ],  "disable_heartbeat": false,  "disable_gzip": false,  "disable_cookiejar": true,  "exclude_domain": null}

GUI 版本可以使用界面 导入配置 和 导出配置 功能来导入和导出配置文件。cli 版本可以使用 -c 参数来指定配置文件。GUI 导出的配置文件也可以给命令行使用,两者的格式是一样的。

免杀效果

D盾:

安全狗:

360:

火绒:

圈子介绍

博主介绍

目前工作在某安全公司攻防实验室,一线攻击队选手。自2022-2024年总计参加过30+次省/市级攻防演练,擅长工具开发、免杀、代码审计、信息收集、内网渗透等安全技术。

目前已经更新的免杀内容:

  • 一键击溃360+核晶

  • 一键禁用defender

  •  CobaltStrike4.9.1二开 

  • CobaltStrike免杀插件

  • 数据库直连工具免杀版

  • aspx文件自动上线cobaltbrike

  • jsp文件自动上线cobaltbrike

  • 哥斯拉免杀工具 XlByPassGodzilla

  • 冰蝎免杀工具 XlByPassBehinder

  • 冰蝎星落专版 xlbehinder

  • 正向代理工具 xleoreg

  • 反向代理工具xlfrc

  • 内网扫描工具 xlscan

  • CS免杀加载器 xlbpcs

  • Todesk/向日葵密码读取工具

  • 导出lsass内存工具 xlrls

  • 绕过WAF免杀工具 ByPassWAF

  • 等等...

目前星球已满200人,价格由208调整为218元(交个朋友啦),300名以后涨价至248元!

关注微信公众号后台回复“入群”,即可进入星落安全交流群!

往期推荐

1.

3

4

5. 

声明本文所涉及的技术、思路和工具仅用于安全测试和防御研究,切勿将其用于非法入侵或攻击他人系统以及盈利等目的,一切后果由操作者自行承担!!!


推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
周飒博客-ZhouSa.com