冰蝎Behinder_v4.0

最新推荐文章于 2025-03-17 16:33:08 发布
最新推荐文章于 2025-03-17 16:33:08 发布
阅读量1.5w 收藏 98
点赞数 14
分类专栏: 渗透 文章标签: 网络 java web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_55793759/article/details/127250968
版权

目录

一、冰蝎4.0☕️

 冰蝎是一款基于Java开发的动态加密通信流量的新型Webshell客户端,由于通信流量被加密,传统的WAF、IDS 设备难以检测,给威胁狩猎带来较大挑战。冰蝎其最大特点就是对交互流量进行对称加密,且加密密钥是由随机数函数动态生成,因此该客户端的流量几乎无法检测

 同时冰蝎v4.0相对于3.0版本,更新了较多内容,其中包括了开放了传输协议的自定义功能

下载地址:https://github.com/rebeyond/Behinder/releases

二、流量特征问题☕️

 在流量层,冰蝎的aes特征一直是厂商查杀的重点,在主机层,aes相关的API也是一个强特征。既然是特征,那就一定存在一个一成不变的常量,那我们就把这个特征泛化一下,让他成为变量。为了一劳永逸解决这个问题,v4.0版本提供了传输协议自定义功能,让用户对流量的加密和解密进行自定义,实现流量加解密协议的去中心化。v4.0版本不再有连接密码的概念,你的自定义传输协议的算法就是连接密码

三、工作流程☕️

看一下冰蝎Payload流转的流程图:

在这里插入图片描述

1、本地对Payload进行加密,然后通过POST请求发送给远程服务端;
2、服务端收到Payload密文后,利用解密算法进行解密;
3、服务端执行解密后的Payload,并获取执行结果;
4、服务端对Payload执行结果进行加密,然后返回给本地客户端;
5、客户端收到响应密文后,利用解密算法解密,得到响应内容明文。

 由上述流程可知,一个完整的传输协议由两部分组成,本地协议和远程协议。由于客户端使用Java开发,因此本地协议的加解密算法需要用Java实现。远程协议根据服务端语言类型,可能为Java、PHP、C#、ASP。无论用哪种语言,同一个名称的传输协议,本地和远程的加解密逻辑应该是一致的,这样才能实现本地加密后,远程可以成功解密,远程加密后,本地同样也可以解密(因此如果修改默认的aes协议的key,则需要同时修改本地和远程的加密函数和加密函数中的key)

一个传输协议必须包含一对本地加解密函数,至少包含一对远程加解密函数(Java、PHP、C#、ASP中的一个或者多个)

如下是传输协议中的本地加解密函数与远程加解密函数:

在这里插入图片描述

传输协议的加解密函数名称分别为EncryptDecrypt,且都只有一个入参,参数类型为二进制字节流。在函加密数体内可以对字节流做任何加密,比如aes、rsa或者各种封装、拼接、自定义算法等等,最终将加密结果返回。在解密函数中利用对称算法将加密函数的结果进行解密,并将解密结果返回

四、演示过程☕️

 可以注意到,冰蝎v4.0版本没有再附带server端代码,因为加解密函数是不固定的,因此服务端也是动态生成的

命令行环境运行冰蝎

java -jar Behinder.jar

在这里插入图片描述

打开如下的GUI界面

在这里插入图片描述

生成木马,点击左上角的传输协议,然后选择default_aes协议,点击生成服务端,即可创建server服务端文件,同时生成木马文件

为了方便加解密一致性校验,冰蝎提供了即时加解密验证功能,输入加解密函数以后,可直接在窗口下方进行验证

在这里插入图片描述
生成server服务端文件里面的木马

在这里插入图片描述

将生成的PHP木马文件上传到PHP环境的网站,然后在工具页面,鼠标右击新增shell,确定木马文件上传的URL、上传的脚本类型、生成脚本的协议,保存即可

在这里插入图片描述
成功连接则显示已连接

在这里插入图片描述
这里新增的功能,认为也是比较好的,平行空间,同时也有一些扩展功能

在这里插入图片描述

五、流量检测☕️

1、Accept字段
流量特征
Accept: application/json, text/javascript, */*; q=0.01

在这里插入图片描述
检测思路:
 浏览器可接受任何文件,但最倾向application/json 和 text/javascript

2、Content-Type
流量特征

Content-type: Application/x-www-form-urlencoded

检测思路:
 可以把这个字段作为一个弱特征,辅助其他特征来检测

3、User-agent 字段
流量特征

冰蝎设置了10种User-Agent,每次连接shell时会随机选择一个进行使用
在这里插入图片描述
检测思路:
 在较短较简单的content字段后加上fast_pattern关键字则会优先匹配这个content,避免浪费太长时间在匹配user-agent上

snort编写可以用content:“User-Agent”;content:“浏览器版本”,来匹配相应的十个浏览器

4、端口
流量特征

 冰蝎与webshell建立连接的同时,javaw也与目的主机建立tcp连接,每次连接使用本地端口在49700左右(就是比较大的端口),每连接一次,每建立一次新的连接,端口就依次增加

检测思路:
 可以对符合该范围内的端口告警

5、PHP webshell 中存在固定代码
流量特征

$post=Decrypt(file_get_contents("php://input"));
eval($post);

检测思路:
 content字段中,将eval($post)作为流量特征纳入

6、长连接
流量特征

冰蝎通讯默认使用长连接,避免了频繁的握手造成的资源开销。默认情况下,请求头和响应头里会带有 Connection

Connection: Keep-Alive

在这里插入图片描述
检测思路:
 可以作为辅助的流量特征

7、连接密码
流量特征:

默认时,所有冰蝎4.0 webshell都有e45e329feb5d925b 一串密钥,该密钥为连接密码32位md5值的前16位,默认连接密码rebeyond

8、webshell特征
JSP webshell代码特征

在这里插入图片描述
PHP webshell代码特征

在这里插入图片描述

9、请求和响应
流量特征
在这里插入图片描述

☕️参考文章:

1、冰蝎v4.0传输协议详解
2、冰蝎4.0特征分析及流量检测思路

冰蝎behinder4.0使用教程网络安全工具使用教程
SHELLCODE_8BIT的博客
09-02 1830
点击生成服务端后就会根据相应传输协议,生成不同语言的webshell。将webshell放置在网站目录中,我的是tomcat,所以放置在。填写脚本类型和传输协议,我的环境为jsp何default_xor。对该条目右键打开,弹出下列信息则说明连接成功。2.选择协议名称,目前有如下几种传输协议。完成添加后,会看到一条新增的网站信息。不同web组件会有不同的目录。对空白处点击新增按钮。
PHPstudy与冰蝎Behinder连接使用
zjhysj的博客
08-23 522
PHPstudy与冰蝎Behinder连接使用
冰蝎-Webshell管理工具
weixin_66717977的博客
06-30 1万+
冰蝎超详解,新手食用
Webshell工具-冰蝎4.0配置及使用
归零者的博客
07-07 1831
冰蝎webshell管理工具用作webshell的连接,4.0版本带自加密功能。要求运行环境jre1.8。
最新冰蝎,哥斯拉,蚁剑,菜刀流量特征分析与检测指南
ai0070411的博客
03-17 1080
近年来,冰蝎Behinder)、哥斯拉(Godzilla)、蚁剑(AntSword)、菜刀(ChinaChopper)等工具仍是攻防对抗中的高频武器。本文基于最新样本(截至2024年8月),深度剖析其流量特征,并提供实战检测方法。:攻防对抗持续升级,建议结合流量特征与主机日志进行联动分析。:检测规则库与样本下载。
红队大杀器 Behinder_v4.0(冰蝎4.0)
热门推荐
zip471642048的博客
07-25 1万+
httpshttpshttpshttpshttpshttpshttpshttpshttpshttpshttpshttpshttpshttpshttps。
冰蝎4.0特征分析及流量检测思路
lza20001103的博客
10-10 4387
冰蝎4.0特征分析及流量检测思路 文章目录冰蝎4.0特征分析及流量检测思路冰蝎4.0介绍1、新版本2、工具通信原理特征检测Accept字段Content-TypeUser-agent 字段4、端口5、PHP webshell 中存在固定代码6、长连接7、固定的请求头和响应头8、连接密码9、webshell特征10、请求和响应 冰蝎4.0介绍 冰蝎是一款基于Java开发的动态加密通信流量的新型Webshell客户端。老牌Webshell管理神器——中国菜刀的攻击流量特征明显,容易被各类安全设备检测,实际场景中
SHELLPUB完整检测冰蝎4.0
chennqqi的专栏
07-25 1277
2022-07-25 T08:36 GMT+8 rebeyond在GitHub上更新了冰蝎4.0。新增多个特性,包括无文件内存马,经验证,SHELLPUB可完整检测冰蝎4.0。关于“冰蝎”"冰蝎"是最为流行WebShell管理工具之一,第一代WebShell管理工具"菜刀"的流量特征比较明显,很容易就被检测。冰蝎的流量是加密的,能够有效规避流量设备的检测;"冰蝎"客户端用...
冰蝎v3.0-beta7
08-31
冰蝎3.0
冰蝎Bhinder下载安装包
09-26
冰蝎(Bhinder)动态二进制加密网站管理客户端。基于JAVA,需要安装jre,可以跨平台使用。主要功能为:基本信息、命令执行、虚拟终端、文件管理、Socks代理、反弹shell、数据库管理、自定义代码等。
webshell管理工具-冰蝎(Behinder)的安装和基础使用(msf联动,流量特征)
wangluoanquan111的博客
02-26 2098
冰蝎是一款基于Java开发的动态加密通信流量的新型Webshell客户端,由于通信流量被加密,传统的WAF、IDS 设备检测,给威胁狩猎带来较大挑战。冰蝎其最大特点就是对交互流量进行对称加密,且加密密钥是由随机数函数动态生成,因此该客户端的流量几乎无法检测。在流量层,冰蝎的aes特征一直是厂商查杀的重点,在主机层,aes相关的API也是一个强特征。既然是特征,那就一定存在一个一成不变的常量,那我们就把这个特征泛化一下,让他成为变量。为了一劳永逸解决这个问题,
32_behinder(冰蝎)
qq_45301512的博客
02-04 2692
有时候这个jd-gui工具无法打开文件,我们可以放一些其它的文件,例如我随便找的一个ArcTest.class文件,只要打开这个,agent.class也可以查看。防检测功能未生效,这里可能是软件功能没制作好,或者可能是只能防止部分软件检测,而恰好findshell不能防。或者停止服务器,再使用jps命令,对比发现少了哪个PID,快速判断目标JVM的PID。点击注入内存马之后,注入类型选择agent,路径点击默认的,然后修改文件名。保存之后,点击上方的生成服务端,会自动弹出shell.jsp存放的文件夹。
冰蝎4.0 webshell 流量分析
2401_84578953的博客
09-27 1582
冰蝎是一款基于 Java 开发的动态加密通信流量的新型 Webshell 客户端。老牌 Webshell 管理神器 —— 中国菜刀的攻击流量特征明显,容易被各类安全设备检测,实际场景中越来越少使用,加密 Webshell 正变得日趋流行。由于通信流量被加密,传统的 WAF、IDS 设备难以检测,给威胁狩猎带来较大挑战。冰蝎其最大特点就是对交互流量进行对称加密,且加密密钥是由随机数函数动态生成,因此该客户端的流量几乎无法检测。
kali安装jdk8和切换jdk版本和4.0版本冰蝎的使用
qq_44029310的博客
07-31 8781
本文包括kali安装jdk8的环境以及如何切换别的jdk版本和4.0版本冰蝎使用。
冰蝎的安装和使用
weixin_51641247的博客
04-06 6839
相对于菜刀和蚁剑,冰蝎的特点是动态二进制加密实现新型一句话木马,它的数据是加密传输的,右键空白处新增,输入webshell信息,若使用冰蝎自带的webshell则默认密码为rebeyond冰蝎提供asp、c#、php、Java的自定义代码执行功能,文本框支持语法高亮,c#和Java会把输入的源代码自动编译并执行。
冰蝎v4.0.6下载及使用方法
weixin_68070435的博客
03-13 7168
冰蝎webshell链接工具
冰蝎4.0流量分析及魔改
2301_77157449的博客
05-11 1328
冰蝎v4.0开放了传输协议的自定义功能,使得流量魔改更为简单方便,本文以jsp脚本类型为例,提供一些冰蝎4流量魔改的方式冰蝎4内置了如下几种传输协议,传输协议可以理解为流量的加密方式 以default_xor传输协议为例,这种传输协议是对原始数据进行了异或加密 效果如下: 我们来去掉加密解密函数的相关代码 如果不用任何加解密函数,request body其实传输的是java 字节码 响应体其实也是明文的固定格式的json类型 {"msg":"执行结果base64编码","status":"c3Vj
打点神器behinder冰蝎)使用教程-踩坑版
weixin_69925635的博客
05-29 1105
使用命令java -jar Behinder.jar启动后如果java版本过高会报错缺少javafx,但在高版本java环境下安装会有点麻烦,所以安装一个jdk1.8进行替换更好。lhost设置为kali的ip,端口9527,并将这些信息也填在刚刚behinder建立的连接中。点击给我连,msf中exploit该漏洞,可以看到成功反弹shell。在msf中有这个漏洞,因此可以利用msf和behinder联动。将该文件利用靶机dvwa文件上传的漏洞进行上传。在攻击机上安装kali,安装完成后如下图所示。
Webshell【冰蝎魔改】(入门)
夜风的博客
02-20 516
关注公众号夜风Sec,回复CTF获取资源,不定时分享各种视频和资料。 解决1:绕过识别( 魔改打乱特征, 新增加密算法 ) 解决2:绕过查杀( 魔改打乱特征, 新增加密算法 )① 在线网址: https://www.decompiler.com/② 等反编译分析工具③ IDEA自带的插件: 创建工程 添加模块依赖 添加工件 修改代码,打包包 新增加密协议 参考的加密算法:https://xz.aliyun.com/t/12453 生成全新的冰蝎目录 -> 方便打开 server目录来源
冰蝎
最新发布
03-29
<think>好的,用户想了解冰蝎Behinder)与反序列化漏洞利用工具的相关信息。首先,我需要确认冰蝎是什么,以及它如何与反序列化漏洞结合使用。冰蝎是一个知名的渗透测试工具,主要用于Webshell管理和远程控制,支持多种加密协议,能够绕过安全设备的检测。反序列化漏洞则是由于程序在反序列化数据时未进行充分验证,导致攻击者可以执行恶意代码。常见的反序列化漏洞包括Shiro、Hessian等,用户提到的引用[1]和[2]也涉及这些漏洞。 接下来,我需要整理冰蝎如何利用反序列化漏洞。通常,冰蝎会生成恶意序列化数据,利用目标系统的漏洞(如Shiro的RememberMe功能)发送请求,触发反序列化执行代码,从而建立加密隧道。例如,Shiro漏洞利用需要AES密钥,一旦密钥泄露,冰蝎可以构造有效的payload。 用户可能需要的信息包括冰蝎的功能、支持的漏洞类型、利用流程以及防护措施。同时,生成相关问题需要考虑用户可能的进一步疑问,比如漏洞检测、防护方法、与其他工具对比等。需要确保回答准确,引用相关来源,如用户提供的Shiro和Hessian漏洞资料,并正确标注引用。 最后,确保使用中文,结构清晰,分点说明,并添加相关问题。注意使用正确的LaTeX格式,不过用户问题中没有涉及数学公式,可能不需要使用。但根据系统级指令,如果有相关内容需按格式处理。</think>### 冰蝎Behinder)与反序列化漏洞利用工具解析 #### 1. 冰蝎工具简介 冰蝎Behinder)是一款基于Java开发的渗透测试工具,主要用于Webshell的加密通信和管理。其核心特性包括: - 支持动态加密传输协议(如AES、RSA),可绕过传统WAF/IDS检测 - 提供文件管理、命令执行、数据库操作等模块 - 支持HTTP/HTTPS隧道穿透 - 可集成反序列化漏洞利用模块[^2] #### 2. 反序列化漏洞利用原理 反序列化漏洞产生于未安全处理序列化数据时,典型利用流程: $$漏洞触发点 \rightarrow 恶意序列化数据注入 \rightarrow 对象反序列化 \rightarrow 代码执行$$ 冰蝎通过构造特定协议的序列化payload(如Shiro的RememberMe Cookie)实现漏洞利用,流程如下: 1. 检测目标是否存在反序列化漏洞(如Shiro框架) 2. 利用已知密钥生成加密payload 3. 通过HTTP请求发送恶意序列化数据 4. 触发漏洞建立加密通信隧道 #### 3. 冰蝎与Shiro反序列化漏洞结合案例 ```java // Shiro RememberMe漏洞利用伪代码 byte[] payload = generatePayload("冰蝎内存马"); // 生成恶意字节码 ByteSource ciphertext = encrypt(payload, AES_KEY); // AES加密 cookie.setValue(ciphertext.toString()); // 设置RememberMe Cookie ``` 当Shiro使用默认AES密钥且未更新时,冰蝎可通过此方式植入Webshell[^1] #### 4. 防御建议 - 及时更新Shiro至最新版本并更换加密密钥 - 对反序列化操作进行白名单控制 - 部署RASP(运行时应用自我保护)检测异常行为 - 监控异常HTTP请求特征(如长连接保活机制)
评论 6
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值