第25篇:冰蝎2.x过流量检测改造的全过程

已于 2022-10-23 05:41:22 修改
阅读量1k 收藏 1
点赞数 3
分类专栏: 红队攻防 文章标签: java 安全 servlet 信息安全 数据库
于 2022-10-11 18:10:03 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_71692682/article/details/127274910
版权

f1cebc9793750f9d6b0330e78173a4c2.png

 Part1 前言 

冰蝎是一款动态二进制加密网站管理客户端,其特点是流量AES加密,JSP文件很小,做红队或者攻防比赛的人,几乎人手一份。使用的人多了,必然被各种流量监控设备识别,所以需要手工对其魔改,去掉或者改掉一些流量特征。自己魔改冰蝎或者哥斯拉优势也明显,代码完全掌握在自己手里,可随时根据各种流量监控设备的规则,与时俱进地编写绕过代码。

这篇文章的核心内容主要基于我在2020年山东首届“明湖论剑”网络安全技术沙龙上分享的一个PPT,今天重新整理总结一下,感觉也不错。

 Part2 思考3个问题 

在进行冰蝎改造工作之前,首先思考3个问题,同时也借助这3个问题,分享几个迷惑管理员及蓝队分析人员的小技巧。

 1   在流量监控设备的记录里,或者在Web访问日志中,显示了一系列404响应码的/admin.jsp访问,这些是不是webshell攻击行为呢?

ea1de000c5e1a18e6164af4219a4abe7.png

这些都是webshell攻击行为!如下图所示,每条/admin.jsp访问记录的响应码都是404,但是webshell却是真实存在的,而且已经完成执行命令操作了。

087059d94286a9bac9fe096c7b45cf97.png

具体是怎么实现的呢?其实非常简单,我只是加了一行代码而已。因为response对象在我们控制之下,意味着返回的response的属性我们是可以控制和修改的!

8827e9f06e7818dbbd39d6d52f82a87d.png

 2   浏览器访问一个webshell地址,网页返回提示“HTTP ERROR 404”或者“找不到XXX的网页”,这个webshell就一定不存在吗?

ce2086b2c0cb4945041b28f64cb9aebd.png

其实这个webshell是存在的!404响应码也只是一个伪装而已。如下所示,我也只是加了一行代码而已,当使用GET方法去请求webshell时,返回404响应码。

a5188dd102f1c2730729cb63d7de13c0.png

 3   一个webshell删除.jsp文件及.class文件就真的就完全删除了吗?

答案是不一定。请看如下这个jsp型shell,只要攻击者浏览器访问一下,就可以向tomcat中间件注入一个内存马,即使把jsp文件删除也没用。

93f567fb8f151f4aa1f0cf35bbe072c0.png

 Part3 冰蝎逆向修改过程 

下面开始讲讲正式的冰蝎改造过程,我把详细的代码截图都贴出来了,大家到时候照着改就行。改造好的冰蝎就不放出来了,流传开了必然失效,因为始终敌不过流量监控设备的,这个道理就和免杀一样,一旦流传开免杀必然失效。

  • 两次秘钥交互过程去除

如下图所示,冰蝎2.0在秘钥交互过程中会发两次请求,这个两次请求的特征非常明显,很容易被识别,所以想办法去掉。至于秘钥,我们自己魔改的话,完全可以换成静态秘钥的,然后再把流量数据包修改一下即可,比如添加一些额外字符进行混淆等等。

d571865e3a713125cfd0d2b7056d99de.png

如下所示,这两次请求由Utils类控制,将url的相关代码注释掉即可。

0939d8f67872e60d7a4e40c4cf49bdb8.png

  • 更改为固定秘钥

在Utils类中的getRawKey方法的最后,向result对象写入秘钥。只要我们的秘钥不被知道,加密流量就解不开。

b7ce3fdb67021015dcb1063571011fb5.png

为了解耦合,方便随时更改秘钥,于是附带写了一个小工具,自动对冰蝎客户端的配置文件及附带的ASP、PHP、JSP马进行修改。

49531a686ee6c5292ad867c7fc916081.png

  • 客户端屏幕不居中

冰蝎客户端打开之后,界面不居中,我比较喜欢居中格式的。在Main.java类中,添加如下代码即可,通过setLocation方法使冰蝎界面屏幕居中。

9379f689cc9c103a33fa1a355d4d9a87.png

  • 添加设置超时时间功能

冰蝎2.0如果访问一个不存在的url时,由于默认超时时间过长,会造成界面长时间卡死。经过分析,它的发包基本上都是基于HttpURLConnection类实现的,所以可以直接设置各种超时时间解决这个问题。

15b280f0103d89546c868c937c30dae5.png

  • 文件管理功能无法排序

冰蝎2.0的“文件管理”功能无法排序。我们在获取webshell之后,经常需要按照时间、文件大小对文件进行排序,以便找到有价值的配置文件或者敏感文件。这里改动幅度大一些,我添加了一个按钮,然后在按钮事件中加入了一段排序代码。

8b2e94d068d47a384d826b51e34c6359.png

实现方法是,在MainShell类中添加一个按钮,并将排序功能代码写入按钮事件中。

6c8bb3398f70a98acb08223768e6dde2.png

排序功能代码如下:

6287b85e280be95e817341642f68cc06.png

  • 无socks5代理设置功能

这里我原本也想加入一个按钮去实现的,但是弄出来界面不美观,索性就添加一个“载入配置文件”的功能,在配置文件中实现设置socks5代理吧。

45b34f92bee31c772d20613fc560cf03.png

配置文件内容如下:

136e7ac734f37d39a659bf3b5ca97909.png

  • 请求数据包中Accept字段固定

这个好改,全局搜索setRequestProperty方法进行修改即可,修改成自己想要的http消息头:

61e1a97b492c2ec7e5afc867f6f53433.png

f01625ffe77c33269d79382724ab817b.png

  • Content-Type固定

这个好改,全局搜索setRequestProperty方法进行修改即可,修改成自己想要的http消息头:

19bbcb6b44cff30127dde21396372d18.png

和上述修改一样,全局搜索setRequestProperty方法进行修改即可:

67c07ecbb7b4f64c7cfe7772314ea54e.png

e823c1d8e74919a0e1794b4b9bbcdc89.png

  • User-Agent伪随机修正

这里需要强调一下,冰蝎2.0的User-Agent并不是完全随机的,点开webshell之前冰蝎客户端会随机选择一个user-agent,但是点开这个webshell之后,在当前的打开状态下,其User-Agent始终是这一个。

修正这个问题同样需要在Utils类中进行修改,然后把冰蝎中的User-Agent列表换成自己的,原版冰蝎中的User-Agent列表比较旧。

eac1c2ea0d23a5a80d1f7f2c997d4e01.png

  • 绕过OpenRASP

具体原理可以看以下这篇文章http://weishi.baidu.com/article/855

98e49a94c1b4f83204011eb310f282b4.png

如下图所示,将冰蝎的包名全部改掉,记得RunCMD方法名也需要改掉。当然冰蝎3.0的包名已经没有这些特征了。

64d5dc65eb7fee828f2bbc2bb8cfbcbf.png

改造后的冰蝎几乎无特征可寻

7361c8cfa80cce7a95ac96bf06f936ca.png

 Part4 总结 

1.  随着流量监控设备的不断升级,很多团队都研发了属于自己的Webshell管理平台,然后小范围流传,很多红队人员也都自己魔改了一个冰蝎或者哥斯拉webshell管理工具。

2.  上述魔改过程,只是给大家开阔一下思路,有什么好的建议,欢迎公众号后台给我留言,一起讨论。

57b5d31d55c3e2cb71819d6388d4b8cb.png

专注于网络安全技术分享,包括红队、蓝队、日常渗透测试、安全体系建设等

每周一篇,99%原创,敬请关注

希潭实验室
关注
  • 3
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
冰蝎4.0流量分析及魔改
2301_77157449的博客
05-11 1145
冰蝎v4.0开放了传输协议的自定义功能,使得流量魔改更为简单方便,本文以jsp脚本类型为例,提供一些冰蝎4流量魔改的方式冰蝎4内置了如下几种传输协议,传输协议可以理解为流量的加密方式 以default_xor传输协议为例,这种传输协议是对原始数据进行了异或加密 效果如下: 我们来去掉加密解密函数的相关代码 如果不用任何加解密函数,request body其实传输的是java 字节码 响应体其实也是明文的固定格式的json类型 {"msg":"执行结果base64编码","status":"c3Vj
frps-038 魔改Linux版(防远程桌面暴力破解)
11-29
这是基于0.38最新版修改,在管理界面增加了插件(白名单授权)功能。 此版本默认拒绝所有链接到frps端口的远程IP,除非通过管理界面进行IP授权! 让那些喜欢破解的辣鸡人撞墙吧!
冰蝎流量分析
weixin_48776804的博客
05-27 2591
冰蝎流量分析
内网穿透-FRP流量改造
A526847的博客
06-01 1107
在拿下一台机器作为入口时,内网代理就变得尤为重要。他是我们进行横向渗透一个中间人,没了代理在内网中就寸步难行。而内网穿透的工具有很多,比如frp,reGeorg等等非常优秀的代理工具。使用方法不在赘述,这文章主要记录下在FRP内网代理时的流量改造FRP作为一个开源的项目,它的特征早已被各大厂商掌握了,不进行流量上的改变我们就无法成功的建立连接,如果直接使用github编译后的EXE直接会被360等杀软直接判定为黑客行为,流量改造也是为了能够达到一定程度上的免杀效果。
改造冰蝎马,实现免杀之default_aes php
realmels的博客
12-17 1255
之前发的免杀文章有人说失效了。确实失效了。shellcode的免杀失效了,webshell的免杀被杀了。按理说我应该把之前的文章删掉。但是我不仅没有删,还开了一个专栏叫免杀。因为免杀这种东西,就是提供一个思路。你顺着这个思路,自己对你的shellcode或者webshell进行改造。然后不要发到网上去。发到网上去就会被waf的爬虫找到,然后你的免杀就失效了。我在写之前的文章就料到有这样一天。
改造冰蝎对抗waf&OpenRASP计划-初探
蚁景网安学院
02-19 745
0x01 前言在参考了各家waf对于多种姿势检测冰蝎”的文章之后,产生了改造冰蝎的想法,目前主要的检测手段为针对冰蝎流量特征进行匹配,所以我们的反侦探手段为改变冰蝎流量特征以达...
冰蝎4.0特征分析及流量检测思路
hackzkaq的博客
10-10 807
冰蝎是一款基于Java开发的动态加密通信流量的新型Webshell客户端。老牌Webshell管理神器——中国菜刀的攻击流量特征明显,容易被各类安全设备检测,实际场景中越来越少使用,加密 Webshell 正变得日趋流行。由于通信流量被加密,传统的 WAF、IDS 设备难以检测,给威胁狩猎带来较大挑战。冰蝎其最大特点就是对交互流量进行对称加密,且加密密钥是由随机数函数动态生成,因此该客户端的流量几乎无法检测
2017年上半年黑龙江化工工程师专业基础考点:过程考试题.pdf
11-11
这些题目涵盖了化学工程中...20. 高压电线安全距离:第二十题涉及电气安全,高压电线断落后的安全区域。 以上就是这些题目所涵盖的化工工程师专业基础知识点,这些知识点在实际工程设计、操作和安全管理中都至关重要。
10172911梁天一数值分析实验5:最小二乘拟合.docx
09-19
例如,第一行对应 x^4,第二行对应 x^3,以此类推。我们使用 Matlab 的循环语句来创建矩阵 A。 然后,我们使用 Matlab 的 inv 函数和 transpose 函数来计算系数。系数的计算公式为 (inv(A'*A))*A'*b,where b 是 y ...
一元二次方程全章质量检测试卷2.pdf
11-01
已知方程的根是 \(x_1 = 1\) 和 \(x_2 = 2\),根据韦达定理,可以构造方程 \(x^2 - (x_1 + x_2)x + x_1x_2 = 0\),即 \(x^2 - 3x + 2 = 0\),对应答案为 B。 6. **二次方程根的存在性**:第六题考察了方程有两个不...
初三第二十五章 概率初步检测题及答案解析.doc
09-27
- 第9题,通过概率逆向计算,白球出现10次,总次数100次,假设红球为x,那么(5+x)/ (5+x+5) = 10/100,解得x=40,红球大约有40个。 - 第10题,通过“凸面向上”的频率,可以估计“凹面向上”的概率约为1-0.1=0.9。...
微机原理与应用:第二十七讲 51系列单片机中断处理过程.ppt
09-19
中断处理过程包括中断申请、中断检测、中断响应、中断处理和中断返回五个主要步骤。 1. **中断申请**: 当系统中的中断源需要中断CPU工作时,会将中断申请信号发送到中断申请标志寄存器。这个过程需要满足两个前提...
049-冰蝎,从入门到魔改.pdf
09-20
049-冰蝎,从入门到魔改.pdf
frp一键安装脚本.zip
05-23
这是frp的服务器端和客户端的一键安装脚本,适用于windows系统,双击bat即可进行安装
魔改冰蝎 —— 绕过检测,自动生成免杀后门
m0_60870041的博客
02-02 1190
学会开发小玩意儿
【免杀】-魔改冰蝎(入门)
最新发布
qq_55349490的博客
06-04 1411
Ps:本人一名网安小菜鸡,初学免杀技术。如果有什么不对的地方,希望各位大佬们能友好指正,也欢迎进行友好交流。不可能每次都取idea里面打开冰蝎,所以我们需要将构建后的jar保存出来方便后续使用。当我们修改好自己想改的后,便可以打包成jar包了。新建-填入-保存-分享-导入项目-构建编译。如果可以利用冰蝎的传输协议解密,那就实锤。冰蝎4的Accept有两个强特征,固定为。是原版冰蝎的根目录。:绕过识别(魔改打乱指纹信息)为此,我们需要解决这两个问题。:绕过查杀(新增加密算法)是魔改冰蝎项目的根目录,
冰蝎各版本工具分析与魔改思路
QIANDXX的博客
02-08 1899
冰蝎各版本工具分析与魔改思路
冰蝎4魔改思路
2301_80127209的博客
10-25 217
在每一次的渗透当中,都会遇见很多问题,比如一个工具需要java的一个低版本,另外一个又需要高版本,是可以在一个系统一个系统中存在多个java,但太麻烦,所以我就想在一个工具当中嵌入多个工具,套娃,然后增添一些功能方便各种操作,包括自定义成自己方便的类型,其次这是配合我上一文章可以结合使用的。,SpringBoot等漏洞,但由于我太懒了,写了四个漏洞就先搁置了,主要四个都是Weblogic的漏洞,其次可以导入连接jndi,或者是使用其工具嵌入,这文章会持续更新-->包括github。
X.25网络原理:流量控制与LAPB协议解析
"X.25网络原理,包括流量控制机制和协议层次结构" X.25是一种早期的分组交换网络协议,主要设计用于连接远程终端设备(DTE)到数据通信设备(DCE),提供可靠的数据通信服务。它的流量控制机制是基于滑动窗口协议,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

希潭实验室

您的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值