挖掘的带白签名的Frp

背景

这两天想挖个64位的白文件自己用，结果发现个sohu的带签名的frp，对一些师傅可能有用，就决定分享出来，我的博客名气还比较小，应该能用好几年，当然指不定有公众号看到转了我的文章就被杀毒干掉了

签名情况

frp是一个高性能的内网穿透工具，由于它的高性能稳定经常被国内的红队渗透用于攻防演练，也导致了被很多杀毒加入病毒库，使用这个带签名的frp即可规避所有杀软和流量感知

验证使用

看看版本，发现有点老了：

找一个版本接近的，我这里为了规避tls用的v0.38.0服务端，加上配置看看效果：

测试看看能不能正常工作：

完美，一切工作正常

流量分析

frp是有tls握手特征的，低版本没办法通过配置文件去规避，稍微厉害一点的防火墙都能识别出来特征拦截，更别说态势感知了，高版本可以规避，一开始我以为必须匹配版本，后面发现低版本的客户端是可以和高版本的服务端一起用的，导致这些特征完全消失了。

wireshark抓流量看看这些，看到红色框框版本交换了吗？

加上这两个disable_custom_tls_first_byte和tls_enable

[common]
token = yuzusoft0721
disable_custom_tls_first_byte = true
server_addr = 192.168.6.134
server_port = 7000
tls_enable = true

[socks5]
remote_port = 5444
plugin = socks5

改配置之后也啥看不出来，全加密了，神仙应该也没办法分析这些流量：

总结与思考

看起来大公司的签名给一些有用的工具进行的签名，也许有一些更广泛的工具会签名，我注意到很多游戏开发会有带签名的内存dump工具，只要在工作的足够久，啥奇怪的工具都会见识到。最后，本来想自己用，但是我的互联网精神告诉我应该要分享出来，经过3分钟的思想斗争，我想自己没什么贡献也应该做一点绵薄的贡献，工具和来源地安装包已经上传github，地址 https://github.com/kaliworld/whitefrp ：这几天就出发去魔都了，祝我自己好运！