记一次解密wireshark抓取的冰蝎通信流量

最新推荐文章于 2024-06-01 16:21:45 发布
最新推荐文章于 2024-06-01 16:21:45 发布
阅读量1.6k 收藏 4
点赞数 2
文章标签: wireshark 网络安全 web安全 ddos 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_74131821/article/details/130287153
版权

一、关于冰蝎

1.1 简单介绍

冰蝎是一款基于Java开发的动态加密通信流量的新型Webshell客户端。老牌 Webshell 管理神器——中国菜刀的攻击流量特征明显,容易被各类安全设备检测,实际场景中越来越少使用,加密 Webshell 正变得日趋流行。

由于通信流量被加密,传统的 WAF、IDS 设备难以检测,给威胁狩猎带来较大挑战。冰蝎其最大特点就是对交互流量进行对称加密,且加密秘钥是由随机数函数动态生成,因此该客户端的流量几乎无法检测。  

1.2 关于冰蝎通信

冰蝎通信大致分为两个阶段

第一阶段:

Attacker通过GET方法或者POST方法形如下图这样请求服务器密钥

服务器使用随机数MD5的高16位作为密钥,存储到会话的SESSIONID中,并返回密钥给attacker。密钥可通过wireshark抓包看到,见下图。

第二阶段:

1.客户端把待执行命令作为输入,利用AES算法或XOR运算进行加密,并发送至服务端;

2.服

最低0.47元/天 解锁文章
网络安全大本营
关注
  • 2
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
冰蝎4.0流量解密
热爱学习,喜欢折腾!
08-16 2684
在2022.7.25 v4.0 更新Behinder_v4.0,增加了诸多功能。本文以PHP为例4.0提供了三种方式异或、异或Base64、AES三种方式。总体来说4.0的流量解密和3.0的流量解密差不多。
冰蝎流量分析
飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘
04-13 454
每次Content-Length 较大,还都编码。每次Content-Length 较大,还都编码。
常见webshell工具流量特征分析(哥斯拉、冰蝎、蚁剑、菜刀)
weixin_45971758的博客
06-23 3363
message 是一段超极长的字符串,分析冰蝎请求中的 PHP 代码,发现他就是 content 经过 base64 -> aes 加密后生成的,作用和请求中的 content 一致都是绕过 $Content-Length。冰蝎webshell建立连接的同时,javaw也与目的主机建立tcp连接,每次连接使用本地端口在49700左右,每连接一次,每建立一次新的连接,端口就依次增加。content:“浏览器版本”。流量解密过程: 解AES密钥为(连接密码的MD5的前16位) --> 解base64两次。
冰蝎默认加密的流量解密
weixin_50985113的博客
10-19 800
冰蝎流量解密
H&NCTF 2024 ez_pecp 冰蝎+CS流量分析
最新发布
qq_39947980的博客
06-01 404
4.x 版本 cs 的动态信标的进程转储文件是提取不出通信所需要的 key。AES加密的密钥为连接密码MD5的前16位,默认连接密码是。一个事实是 :冰蝎 shell 当中的恶意 php 脚本,考点:冰蝎webshell流量分析+CS4.x流量解密。可以导出http对象拿到 Secret.zip。等地址发起请求,而且下发指令的时候会请求。可以判断第一个流量包是CS流量。可以判断第二个才是正确的密码。现在拿到了 dmp.dmp了。两个数据base64解码后。有报错 直接问下GPT。可以成功解密流量内容。
Misc_冰蝎流量分析
He0an39n的博客
06-29 3183
Misc_冰蝎流量分析
护网面试总结
zhihuijiazeng的博客
06-08 4462
从大佬的经验摘过来的
第七十八天 WAF攻防-荚刀&冰蝎&哥斯拉&流量通讯&特征绕过&检测反制&感知
qq_46343633的博客
03-08 1313
1、菜刀-流量&通讯&检测8绕过2、冰竭-流量&通计8检测&绕过3、哥斯拉-流量&通讯&检测&绕过代码块&传参数据&工具指纹等表面&行为)1、代码表面层免杀-ASP&PHP&JSP&ASPX等2、工具行为层免杀菜刀&蚁剑&冰蝎&哥斯拉等。
Webshell工具的流量特征分析(菜刀,蚁剑,冰蝎,哥斯拉)
热门推荐
告白的博客
05-31 2万+
0x00 前言 使用各种的shell工具获取到目标权限,即可进行数据操作,今天来简要分析一下目前常使用的各类shell管理工具的流量特诊,帮助蓝队同学在风险识别上快速初值 0x01 中国菜刀流量分析 0x02 ......
Wireshark 解密TLS
02-08
Wireshark 解密TLS Wireshark 是一个功能强大且广泛使用的网络协议分析工具,它可以捕获和分析各种网络协议的数据包,包括 TLS 协议。TLS(Transport Layer Security)是一种安全协议,用于保护网络通信安全性。...
非常好用的一款流量抓取工具
08-11
Wireshark是一款全球广泛使用的网络封包分析软件,被誉为“网络侦探”的利器。它能够捕获网络上的数据包,深入解析各种网络协议,帮助IT专业人员进行网络故障排除、安全审计以及性能分析。这款工具的强大之处在于其...
charles流量抓取工具,主要用于应用的流量分析
12-05
**Charles流量抓取工具详解** Charles是一款强大的网络代理软件,主要功能是对HTTP、HTTPS协议的流量进行抓取、查看和分析。它广泛应用于移动应用开发、网页调试、API测试等领域,帮助开发者理解网络请求的过程,...
Wireshark使用例程
12-18
5. 分析SSL/TLS加密通信Wireshark能够解密HTTPS流量,但需要先获取私钥。 五、高级功能 1. 颜色编码:Wireshark根据数据包的重要性或异常性用不同颜色标,便于快速识别。 2. 定义显示首选项:用户可以根据需要...
Wireshark 工具
02-28
此外,Wireshark提供了一些高级功能,例如,可以进行数据包的解码、重组TCP流、解密加密的通信(如WPA/WPA2)等。 在网络安全方面,Wireshark可用于检测潜在的攻击和漏洞。通过分析网络流量,可以发现非法入侵、DoS...
蚁剑、哥斯拉、菜刀、冰蝎(3.0/4.0)流量特征
qq_22792465的博客
07-25 2591
环境搭建:采用php一句话进行测试,可以用bp设置代理进行抓包查看,或使用wireshark进行过滤抓包逐步解析。
冰蝎3 冰蝎2 behinder流量分析 流量解密
ShenZ的博客
08-30 3235
好多没找全,明天再找吧 冰蝎3 AES密钥为连接密码32位md5值的前16位,默认连接密码rebeyond。 webshell: php <?php @error_reporting(0); session_start(); $key="e45e329feb5d925b"; //该密钥为连接密码32位md5值的前16位,默认连接密码rebeyond $_SESSION['k']=$key; $post=file_get_contents("php://input"); if(!exten
CTF-MISC 杂项出题思路与解题思路
Jang2023的博客
06-30 2221
ctf 夺旗赛解题思路 misc杂项
攻防演练的Webshell利器——冰蝎V4分析
Karka_的博客
08-02 771
最近攻防演练期间,Webshell工具界再次祭出大杀器“
Wireshark教程:解密HTTPS流量
程序员阿飘 的博客
03-18 1412
本教程面向进行流量分析的安全专业人员。本教程假定你已经熟悉Wireshark的基本使用,并使用Wireshark 3.x版。在审查可疑的网络活动时,我们经常会遇到加密的流量。因为大多数网站使用安全超文本传输​协议(HTTPS)协议。和网站一样,各种类型的恶意软件也使用HTTPS。在检查恶意软件活动中的PCAP时,了解感染后流量中包含的内容非常重要。该Wireshark教程讲解如何使用https日志文件从Wireshark中的pcap解密HTTPS流量。该日志包含https加密密钥数据。
冰蝎3.0和4.0流量特征
07-25
冰蝎3.0和4.0的流量特征有一些显著的不同。首先,在加密方式方面,冰蝎4.0引入了更多的加密方式,包括xor、xor_base64、aes、json和image等五种加密方式,并且每种加密方式都支持自定义加解密代码。而冰蝎3.0则没有这么多加密方式的选择。\[1\] 其次,在传输方式方面,冰蝎4.0引入了okhttp3客户端,因此与3.0版相比,HTTP协议交互和TLS协议交互都有显著的不同。这意味着在TLS未解密(TLS协议流量)和TLS解密(HTTP协议流量)两种场景下,冰蝎4.0的流量特征也会有所不同。\[1\]\[2\] 此外,冰蝎4.0版本提供了传输协议自定义功能,让用户可以对流量的加密和解密进行自定义,实现流量解密协议的去中心化。这意味着冰蝎4.0的流量特征可以根据用户的自定义传输协议而变化,不再有固定的连接密码的概念。\[3\] 综上所述,冰蝎3.0和4.0的流量特征在加密方式和传输方式方面有明显的差异,并且冰蝎4.0版本提供了更多的自定义功能,使得流量特征更加灵活和多样化。 #### 引用[.reference_title] - *1* *2* [攻防演练 | 观成瞰云有效检出冰蝎4.0加密流量](https://blog.csdn.net/GCKJ_0824/article/details/125987480)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insert_down28v1,239^v3^insert_chatgpt"}} ] [.reference_item] - *3* [冰蝎Behinder_v4.0](https://blog.csdn.net/m0_55793759/article/details/127250968)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insert_down28v1,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值