冰蝎Behinder_v4.0


一、冰蝎4.0☕️

 冰蝎是一款基于Java开发的动态加密通信流量的新型Webshell客户端,由于通信流量被加密,传统的WAF、IDS 设备难以检测,给威胁狩猎带来较大挑战。冰蝎其最大特点就是对交互流量进行对称加密,且加密密钥是由随机数函数动态生成,因此该客户端的流量几乎无法检测

 同时冰蝎v4.0相对于3.0版本,更新了较多内容,其中包括了开放了传输协议的自定义功能

下载地址:https://github.com/rebeyond/Behinder/releases

二、流量特征问题☕️

 在流量层,冰蝎的aes特征一直是厂商查杀的重点,在主机层,aes相关的API也是一个强特征。既然是特征,那就一定存在一个一成不变的常量,那我们就把这个特征泛化一下,让他成为变量。为了一劳永逸解决这个问题,v4.0版本提供了传输协议自定义功能,让用户对流量的加密和解密进行自定义,实现流量加解密协议的去中心化。v4.0版本不再有连接密码的概念,你的自定义传输协议的算法就是连接密码

三、工作流程☕️

看一下冰蝎Payload流转的流程图:

在这里插入图片描述

1、本地对Payload进行加密,然后通过POST请求发送给远程服务端;
2、服务端收到Payload密文后,利用解密算法进行解密;
3、服务端执行解密后的Payload,并获取执行结果;
4、服务端对Payload执行结果进行加密,然后返回给本地客户端;
5、客户端收到响应密文后,利用解密算法解密,得到响应内容明文。

 由上述流程可知,一个完整的传输协议由两部分组成,本地协议和远程协议。由于客户端使用Java开发,因此本地协议的加解密算法需要用Java实现。远程协议根据服务端语言类型,可能为Java、PHP、C#、ASP。无论用哪种语言,同一个名称的传输协议,本地和远程的加解密逻辑应该是一致的,这样才能实现本地加密后,远程可以成功解密,远程加密后,本地同样也可以解密(因此如果修改默认的aes协议的key,则需要同时修改本地和远程的加密函数和加密函数中的key)

一个传输协议必须包含一对本地加解密函数,至少包含一对远程加解密函数(Java、PHP、C#、ASP中的一个或者多个)

如下是传输协议中的本地加解密函数与远程加解密函数:

在这里插入图片描述

传输协议的加解密函数名称分别为EncryptDecrypt,且都只有一个入参,参数类型为二进制字节流。在函加密数体内可以对字节流做任何加密,比如aes、rsa或者各种封装、拼接、自定义算法等等,最终将加密结果返回。在解密函数中利用对称算法将加密函数的结果进行解密,并将解密结果返回

四、演示过程☕️

 可以注意到,冰蝎v4.0版本没有再附带server端代码,因为加解密函数是不固定的,因此服务端也是动态生成的

命令行环境运行冰蝎

java -jar Behinder.jar

在这里插入图片描述

打开如下的GUI界面

在这里插入图片描述

生成木马,点击左上角的传输协议,然后选择default_aes协议,点击生成服务端,即可创建server服务端文件,同时生成木马文件

为了方便加解密一致性校验,冰蝎提供了即时加解密验证功能,输入加解密函数以后,可直接在窗口下方进行验证

在这里插入图片描述
生成server服务端文件里面的木马

在这里插入图片描述

将生成的PHP木马文件上传到PHP环境的网站,然后在工具页面,鼠标右击新增shell,确定木马文件上传的URL、上传的脚本类型、生成脚本的协议,保存即可

在这里插入图片描述
成功连接则显示已连接

在这里插入图片描述
这里新增的功能,认为也是比较好的,平行空间,同时也有一些扩展功能

在这里插入图片描述

五、流量检测☕️

1、Accept字段
流量特征
Accept: application/json, text/javascript, */*; q=0.01

在这里插入图片描述
检测思路:
 浏览器可接受任何文件,但最倾向application/json 和 text/javascript

2、Content-Type
流量特征

Content-type: Application/x-www-form-urlencoded

检测思路:
 可以把这个字段作为一个弱特征,辅助其他特征来检测

3、User-agent 字段
流量特征

冰蝎设置了10种User-Agent,每次连接shell时会随机选择一个进行使用
在这里插入图片描述
检测思路:
 在较短较简单的content字段后加上fast_pattern关键字则会优先匹配这个content,避免浪费太长时间在匹配user-agent上

snort编写可以用content:“User-Agent”;content:“浏览器版本”,来匹配相应的十个浏览器

4、端口
流量特征

 冰蝎与webshell建立连接的同时,javaw也与目的主机建立tcp连接,每次连接使用本地端口在49700左右(就是比较大的端口),每连接一次,每建立一次新的连接,端口就依次增加

检测思路:
 可以对符合该范围内的端口告警

5、PHP webshell 中存在固定代码
流量特征

$post=Decrypt(file_get_contents("php://input"));
eval($post);

检测思路:
 content字段中,将eval($post)作为流量特征纳入

6、长连接
流量特征

冰蝎通讯默认使用长连接,避免了频繁的握手造成的资源开销。默认情况下,请求头和响应头里会带有 Connection

Connection: Keep-Alive

在这里插入图片描述
检测思路:
 可以作为辅助的流量特征

7、连接密码
流量特征:

默认时,所有冰蝎4.0 webshell都有e45e329feb5d925b 一串密钥,该密钥为连接密码32位md5值的前16位,默认连接密码rebeyond

8、webshell特征
JSP webshell代码特征

在这里插入图片描述
PHP webshell代码特征

在这里插入图片描述

9、请求和响应
流量特征
在这里插入图片描述

☕️参考文章:

1、冰蝎v4.0传输协议详解
2、冰蝎4.0特征分析及流量检测思路

<think>好的,我现在要处理用户关于查找冰蝎4.1使用教程的请求。首先,我需要确认用户提到的“冰蝎4.1”具体指的是什么。冰蝎通常指的是一款网络安全工具,主要用于渗透测试,作为Webshell管理工具。用户可能想要了解如何安装、配置和使用这个工具,尤其是在版本4.1中的新功能或改进部分。 接下来,我需要检查内部是否有相关的文档或教程。根据系统记录,可能存在关于冰蝎的基本使用方法和配置步骤的参考资料,比如设置服务端、生成客户端连接脚本等。但需要注意的是,这类工具通常用于安全测试,用户可能是在合法授权下使用,但必须提醒遵守法律法规,避免用于非法入侵。 然后,考虑用户可能的深层需求。用户可能希望了解冰蝎4.1的具体操作步骤,比如如何生成payload、如何连接被控主机、有哪些新特性等。此外,用户可能遇到常见问题,如连接失败、功能异常等,需要提供解决方案。 在回答时,需要遵循系统级指令,使用正确的中文和LaTeX格式。例如,当提到数学表达式或技术参数时,使用$...$包裹。同时,生成相关问题需要考虑用户可能进一步询问的优化方法、安全配置或与其他工具的比较。 最后,确保回答结构清晰,分步骤说明,并添加引用标识。需要强调合法使用,并在必要时建议参考官方文档或社区资源,避免提供可能被滥用的详细信息。</think>关于冰蝎4.1(Ice Scorpion 4.1)的使用方法,目前公开的技术文档显示该工具主要用于渗透测试的Webshell连接管理[^1]。以下为基本使用步骤框架: 1. **环境配置** - 需Java运行环境:$$ JRE \geq 1.8.0 $$ - 客户端与服务端采用动态密钥协商机制,建议在隔离测试环境中部署 2. **核心功能调用** ```python # 示例连接配置代码片段(伪代码) conn = WebshellClient( protocol="$AES-256-GCM$", dynamic_key=True, payload_type="jsp" ) ```
评论 6
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值