抓包工具,一款基于Http.sys的利用工具

一、工具原理介绍

使用Http.sys驱动操作urlacl，由于Http.sys是IIS服务器的基础，其优先级高于IIS，不会造成端口绑定冲突，达到端口取用的效果。因为与受害者的外部服务端口相同，所以可以达到很高的隐蔽性。因为其效果很像LOL的小丑，所以被命名为小丑。

二、用法

使用该工具的前提是IIS环境的管理员权限。

1.基于路径的多路复用

Joker.exe ' http://*:{ PORT }/{ PATH } '

可以直接用蚂蚁剑连接，配置如下：随便填写连接密码。2.基于主机的重用(强烈建议)。

Joker.exe' http://{host}: {port}/'蚂蚁剑配置如下，正常访问80端口时为正常服务，使用特殊头访问80端口时为后门程序。3.JokerTunnel，Regorgh的改编项目，是Regorgh的改编版。客户端可以使用Regeorg三、二次开发进行连接。

这个项目的Handle全部集中在handle.h以execution为例，传入的参数是请求体，请求体的长度和响应内容的指针来审核唐子鸿。