冰蝎4.0流量分析及魔改

最新推荐文章于 2024-06-04 00:40:21 发布
最新推荐文章于 2024-06-04 00:40:21 发布
阅读量1.1k 收藏 2
点赞数 1
文章标签: java servlet 开发语言 网络 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_77157449/article/details/130630822
版权
本文介绍了冰蝎4.0如何进行流量魔改,包括变换加密方式如hex、unicode、rot13加密,以及变换传输方式如xml、key-value、multipart格式,并探讨了加密方式与传输方式的组合使用,以增强流量隐蔽性。
摘要由CSDN通过智能技术生成

0x00 前言

冰蝎v4.0开放了传输协议的自定义功能,使得流量魔改更为简单方便,本文以jsp脚本类型为例,提供一些冰蝎4流量魔改的方式

0x01传输协议分析

冰蝎4内置了如下几种传输协议,传输协议可以理解为流量的加密方式

以default_xor传输协议为例,这种传输协议是对原始数据进行了异或加密

效果如下:

我们来去掉加密解密函数的相关代码

如果不用任何加解密函数,request body其实传输的是java 字节码

响应体其实也是明文的固定格式的json类型
{"msg":"执行结果base64编码","status":"c3VjY2Vzcw=="}

0x02冰蝎4.0魔改

变换加密方式

冰蝎4将加解密函数给外置出来,我们可以自己定义通信流量的加密方式,本次列举hex、unicode、rot13等加密方式

hex加密

前面已经分析过传输的data明文数据,所以在它基础上进行base64编码+hex编码,写上加解密函数即可实现hex加密流量

加密函数:

private byte[] Encrypt(byte[] data) throws Exception
{

    String result = java.util.Base64.getEncoder().encodeToString(data).replace("+","<").replace("/",">");
    String str="";
    for (int i=0;i<result.length();i++){
        int ch = (int)result.charAt(i);
        String s4 = Integer.toHexString(ch);
        str = str + s4;
    }
    return str.getBytes();
}

解密函数:

private byte[] Decrypt(byte[] data) throws Exception
{
                String s= new String(data);
        byte[] baKeyword = new byte[s.length()/2];
        for(int i = 0; i < baKeyword.length; i++){
        try{
            baKeyword[i] = (byte)(0xff & Integer.parseInt(s.substring(i*2, i*2+2),16));
        }catch(Exception e){
            e.printStackTrace();
        }
        }
        try{
        s = new String(baKeyword, "utf-8");
        }catch (Exception e1){
        e1.printStackTrace();
        }
        byte[] str = java.util.Base64.getDecoder().decode(s.replace("<","+").replace(">","/"));
        return str;
}

通信流量如下:

unicode加密

在base64编码的基础上加一层unicode编码,写unicode编码的加解密函数

加密函数:

private byte[] Encrypt(byte[] data) throws Exception
{

    String result = java.util.Base64.getEncoder().encodeToString(data).replace("+","<").replace("/",">");
    String str="";
    StringBuffer unicode = new StringBuffer();
    for(int i = 0; i < result.length(); i++){
        char c = result.charAt(i);
        unicode.append("\\u00" + Integer.toHexString(c));
    }
    return unicode.toString().getBytes();
}

解密函数:

private byte[] Decrypt(byte[] data) throws Exception
{
        String unicode= new String(data);
        StringBuilder sb = new StringBuilder();
        int i = -1;
        int pos = 0;
        while ((i = unicode.indexOf("\
最低0.47元/天 解锁文章
网安周
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
冰蝎4.0特征分析及流量检测思路
顶峰
02-18 2331
冰蝎是一款基于Java开发的动态加密通信流量的新型Webshell客户端。老牌Webshell管理神器——中国菜刀的攻击流量特征明显,容易被各类安全设备检测,实际场景中越来越少使用,加密Webshell 正变得日趋流行。由于通信流量被加密,传统的 WAF、IDS设备难以检测,给威胁狩猎带来较大挑战。冰蝎其最大特点就是对交互流量进行对称加密,且加密密钥是由随机数函数动态生成,因此该客户端的流量几乎无法检测。
049-冰蝎,从入门到.pdf
09-20
049-冰蝎,从入门到.pdf
【免杀】-冰蝎(入门)
最新发布
qq_55349490的博客
06-04 1421
Ps:本人一名网安小菜鸡,初学免杀技术。如果有什么不对的地方,希望各位大佬们能友好指正,也欢迎进行友好交流。不可能每次都取idea里面打开冰蝎,所以我们需要将构建后的jar保存出来方便后续使用。当我们修好自己想的后,便可以打包成jar包了。新建-填入-保存-分享-导入项目-构建编译。如果可以利用冰蝎的传输协议解密,那就实锤。冰蝎4的Accept有两个强特征,固定为。是原版冰蝎的根目录。:绕过识别(打乱指纹信息)为此,我们需要解决这两个问题。:绕过查杀(新增加密算法)是冰蝎项目的根目录,
冰蝎各版本工具分析与思路
QIANDXX的博客
02-08 1902
冰蝎各版本工具分析与思路
冰蝎Behinder_v4.0
热门推荐
一醉一休的博客
10-13 1万+
冰蝎是一款基于Java开发的动态加密通信流量的新型Webshell客户端,由于通信流量被加密,传统的WAF、IDS 设备难以检测,给威胁狩猎带来较大挑战。冰蝎其最大特点就是对交互流量进行对称加密,且加密密钥是由随机数函数动态生成,因此该客户端的流量几乎无法检测
冰蝎 —— 绕过检测,自动生成免杀后门
m0_60870041的博客
02-02 1194
学会开发小玩意儿
记一次流量分析&代码分析-冰蝎
pingan233的博客
02-22 3850
冰蝎流程图如下:冰蝎是先请求服务端,服务端判断请求之后生成一个128位的随机数,并将这个128位的随机数写入到session里面,并将这个128位的随机数返回给客户端,但是客户端并不会使用这个key作为之后的通讯的key,而是会继续重复上面过程,不断获取key,直到满足特定条件之后,才会确定是最终的key。客户端会保存这个key和响应报文里面的set-cookie的值。这个key就是之后客户端和服务端进行通讯的密匙。检测请求方式:Request.method= GET。
冰蝎v3.0-beta7
08-31
冰蝎3.0
ease4.0 软件 声场建声及模拟分析
07-02
ease4.0 软件 声场建声及模拟分析
PetShop4.0源程序及分析
10-28
《PetShop4.0源程序及分析》 PetShop4.0是一款经典的示例应用程序,由微软公司开发并提供,用于展示.NET Framework 1.1的技术特性与最佳实践。这个项目是一个在线宠物商店,它包含了丰富的功能,如商品浏览、购物车...
德国杰出的工业4.0技术分析-研究论文
05-19
本文首先介绍该主题,详细介绍“工业4.0”一词的含义,随后进行文献综述,以有目的地探索研究人员在该主题上取得的进展,最后,本文的最后一部分分为四个部分,以介绍方法论结果,分析和结论。 带有结果详细信息的图...
SAM4.0安装文件及操作手册
03-01
**SAM4.0安装文件及操作手册** SAM4.0(System for Automated Geospatial Analyses)是一款强大的地理空间分析软件,专为进行地理加权回归(Geographically Weighted Regression, GWR)和其他空间统计分析而设计。...
记一次解密wireshark抓取的冰蝎通信流量
m0_74131821的博客
04-21 1728
由于通信流量被加密,传统的WAF、IDS 设备难以检测,给威胁狩猎带来较大挑战
冰蝎流量分析
weixin_48776804的博客
05-27 2591
冰蝎流量分析
冰蝎v2.0.1流量分析
A_991128a的博客
08-08 688
冰蝎经过一系列的迭代,流量特征各有不同,我们以版本顺序探究冰蝎流量的进化史1、冰蝎自带webshell,我们以php的webshell为例(已加注释):[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-YcUNPc4x-1691284675827)(https://image.3001.net/images/20220901/1662002545_631025711eac09769c395.png!small)]
冰蝎4思路
2301_80127209的博客
10-25 217
在每一次的渗透当中,都会遇见很多问题,比如一个工具需要java的一个低版本,另外一个又需要高版本,是可以在一个系统一个系统中存在多个java,但太麻烦,所以我就想在一个工具当中嵌入多个工具,套娃,然后增添一些功能方便各种操作,包括自定义成自己方便的类型,其次这是配合我上一篇文章可以结合使用的。,SpringBoot等漏洞,但由于我太懒了,写了四个漏洞就先搁置了,主要四个都是Weblogic的漏洞,其次可以导入连接jndi,或者是使用其工具嵌入,这篇文章会持续更新-->包括github。
冰蝎V4.0流量分析到攻防检测
蚁景网安学院
01-16 4788
最近在写 yso,觉得自己基础太差了,想先阅读一下 sqlmap、冰蝎以及一些其他工具的开发思路。文章可能写的不够严谨,有不对的地方还请师傅们多多指出。
kali安装冰蝎4.0
06-08
为了在Kali Linux上安装冰蝎4.0,您需要按照以下步骤操作: 1. 下载冰蝎4.0服务器端和客户端的压缩包,可以从官方网站上下载:https://www.jianshu.com/p/9b6c4d9d77b8 2. 解压缩下载的压缩包,可以使用以下命令:...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值