webshell工具-冰蝎流量特征和加密方式

最新推荐文章于 2024-06-16 17:45:00 发布
最新推荐文章于 2024-06-16 17:45:00 发布
阅读量921 收藏 9
点赞数 6
文章标签: web安全 运维 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40898302/article/details/139195714
版权

一、冰蝎原理

1.1 简介

冰蝎是一款基于Java开发的动态加密通信流量的新型Webshell客户端,由于通信流量被加密,传统的WAF、IDS 设备难以检测,给威胁狩猎带来较大挑战。冰蝎其最大特点就是对交互流量进行对称加密,且加密密钥是由随机数函数动态生成,因此该客户端的流量几乎无法检测。而老牌的如中国菜刀因为其流量特征太过明显,从而使用的场景越来越少。

1.2 冰蝎的加密原理

以PHP版本为例,"冰蝎"在服务端支持open_ssl时,使用AES加密算法,密钥长度16位,也可称为AES-16。此在软件及硬件(英特尔处理器的AES指令集包含六条指令)上都能快速地加解密,内存需求低,非常适合流量加密。

流程

1、首先客户端以Get形式发起带密码的请求。(根据实际情况也有POST的请求方式)

2、服务端产生随机密钥,将密钥写入Session并将密钥返回客户端。

3、客户端获取密钥后,将payload用AES算法加密,用POST形式发送请求。

4、服务端收到请求,用Session中的密钥解密请求的Body部分,之后执行Payload,将直接结果返回到客户端。

5、客户端获取返回结果,显示到UI界面上。

1.3 冰蝎流量特征

1、Accept字段

Accept-Language: zh-CN,zh;q=0.9,en-US;q=0.8,en;q=0.7

这个基本是固定的

2、Content-Type

Content-type: Application/x-www-form-urlencoded

这个基本也是固定的

3、冰蝎生成的服务端webshell中存在固定代码

以php为例:

(file_get_contents(“php://input”));

4、固定的请求头和响应头

请求: 3Mn1yNMtoZViV5wotQHPJtwwj (每个连接请求头和响应头都不一样的,但是本次连接以后的请求头和响应头都是固定的) 响应: mAUYLzmqn5QPDkyI5lvSp0fjiBu1e7047Yj

5、连接密码

默认时,所有冰蝎4.0 webshell都有“e45e329feb5d925b” 一串密钥。该密钥为连接密码32位md5值的 前16位,默认连接密码rebeyond(自己使用是可以更改密码的)

白冷
关注
  • 6
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
HW防守_基于冰蝎特征检测1
08-03
前言临近HW,作为萌新的我在网上找了许多大佬们关于“冰蝎流量特征的文章,以此作为分享,在我们正式HW时,可能会有所帮助,当监控设备发现这些流量,作为防守方也能
skyscorpion:天蝎权限管理工具采用Java平台的JavaFX技术开发的桌面客户端,支持跨平台运行,目前基于JDK1.8开发,运行必须安装JDK或JRE 1.8,注意不能是open jdk,只能是oracle的jdk。权限管理工具基于冰蝎加密流量进行WebShell通信管理的原理,目前实现了jsp,aspx,php,asp端的常用操作功能,在原基础上,优化了大文件上传下载,套接字代理的问题,修改了部分API接口代码
04-01
天蝎 ...权限管理工具基于冰蝎加密流量进行WebShell通信管理的原理,目前实现了jsp,aspx,php,asp端的常用操作功能,在原基础上,优化了大文件上传下载,套接字代理的问题,修改了部分API接口代码。
四大webshell流量特征(蚁剑冰蝎菜刀哥斯拉)
2301_76690905的博客
03-20 741
一样的密钥交换方式,哥斯拉建立连接时会发起三次请求,第一次请求数据超级长,建立。和当前会话绑定,不同的客户端的密钥也是不同的。少了动态密钥的获取的请求,不再使用随机生成。一次请求为判断是否可以建立连接,少了俩次。编码,其流量中也存在和蚁剑一样的代码。,连接时会请求两次,其请求体只是经过。获取冰蝎动态密钥的行为,第二次发送。第二次请求,会把主机目录列出来。等代码执行,获取网站的信息。,接下来去获取主机的信息。第一次请求,关闭报错和。,第二三次请求确认连接。特征就是传输参数名为。第二次请求是为了获取。
入门级webshell各类流量分析
最新发布
2401_84466359的博客
06-16 1081
如果选择了不同的传输协议,就需要用冰蝎自己的加密方式生成的马,不然没法连接。首先需要我们自己生成木马,选择【传输协议】,选择【协议名称】,点击【生成服务器】,会自动弹出资源管理木马生成以后的位置接下来添加shell,我们上一步生成的马是aes加密的,这里的传输协议也要使用aes进行加密。选择其他协议是连接不成功的当我们添加好shell,进行连接后,会发出俩个请求,如下图所示,可以看到请求包和响应包都是用aes进行加密的结果执行whoami命令后再查看新增的流量
渗透测试-菜刀冰蝎蚁剑哥斯拉等webshell工具特征分析
wangluoanquan111的博客
03-17 1028
在测试过程中,我们经常会运到各种webshell管理工具,这里我介绍几种常见的webshell工具给大家。webshell就是以asp、php、jsp或者cgi等网页文件形式存在的一种代码执行环境,主要用于网站管理、服务器管理、权限管理等操作。使用方法简单,只需上传一个代码文件,通过网址访问,便可进行很多日常操作,极大地方便了使用者对网站和服务器的管理。?
渗透测试——漏洞扫描工具
wuli1024的博客
11-20 392
然后还要将all这个压缩包里的plugin_feed_info.inc提取出来,命令行是 tar -zxvf all-2.0.tar.gz plugin_feed_info.inc,然鹅,我提取不出来。将下载好的插件移动到Nessus目录下,然后输入sudo /opt/nessus/sbin/nessuscli update all-2.0.tar.gz。用户名和密码随便写写就好,随后将会更新补丁,OK,这样Nessus可以使用了。将会获得一串数字,然后去激活码的这个网站,输入自己的邮箱获取激活码。
webshell管理工具-冰蝎(Behinder)的安装和基础使用(msf联动,流量特征)
qq_53058639的博客
04-17 1178
冰蝎是一款基于Java开发的动态加密通信流量的新型Webshell客户端,由于通信流量加密,传统的WAF、IDS 设备难以检测,给威胁狩猎带来较大挑战。冰蝎其最大特点就是对交互流量进行对称加密,且加密密钥是由随机数函数动态生成,因此该客户端的流量几乎无法检测。在流量层,冰蝎的aes特征一直是厂商查杀的重点,在主机层,aes相关的API也是一个强特征。既然是特征,那就一定存在一个一成不变的常量,那我们就把这个特征泛化一下,让他成为变量。为了一劳永逸解决这个问题,
Webshell工具流量特征分析(菜刀,蚁剑,冰蝎,哥斯拉)
热门推荐
告白的博客
05-31 2万+
0x00 前言 使用各种的shell工具获取到目标权限,即可进行数据操作,今天来简要分析一下目前常使用的各类shell管理工具流量特诊,帮助蓝队同学在风险识别上快速初值 0x01 中国菜刀流量分析 0x02 ......
护网面试总结
zhihuijiazeng的博客
06-08 4528
从大佬的经验摘过来的
菜刀、冰蝎、蚁剑、哥斯拉的流量特征
eternitymd的博客
04-29 1万+
菜刀流量特征(最开始是明文传输,后来采用base64加密):PHP类WebShell链接流量 如下图: 第一:“eval”,eval函数用于执行传递的攻击payload,这是必不可少的; 第二:(base64_decode($_POST[z0])),(base64_decode($_POST[z0]))将攻击payload进行Base64解码,因为菜刀默认是使用Base64编码,以避免被检测; 第三:&z0=QGluaV9zZXQ...,该部分是传递攻击payload,此参数z0对应$_
冰蝎Behinder_v4.0
一醉一休的博客
10-13 1万+
冰蝎是一款基于Java开发的动态加密通信流量的新型Webshell客户端,由于通信流量加密,传统的WAF、IDS 设备难以检测,给威胁狩猎带来较大挑战。冰蝎其最大特点就是对交互流量进行对称加密,且加密密钥是由随机数函数动态生成,因此该客户端的流量几乎无法检测
菜刀,蚁剑,冰蝎,哥斯拉的流量特征
qq_51550750的博客
07-04 4756
菜刀,蚁剑,冰蝎,哥斯拉的流量特征
049-冰蝎,从入门到魔改.pdf
09-20
基于流量加密webshell 变得越来越多,"冰蝎" 在此应运而生。 "冰蝎" 客户端基于 JAVA,所以可以跨平台使用,最新版本为 v2.0.1,兼容性较之前的版本有较大提升。主要功能为:基本信息、命令执行、虚拟终端、文件...
冰蝎,从入门到魔改1
08-04
基于流量加密webshell变的越来越多,“冰蝎”在此应运而生。 冰蝎客户端基于JAVA,因此可以跨平台使用,最新版本为v2.0.1,兼容性较之前的版本有较大提升。主要功能包括:基本信息、命令执行、虚拟终端、文件...
Behinder-v3.0-Beta-9.zip
08-04
冰蝎(Behinder)是一款在网络安全领域中广为人知的Webshell管理工具,它以其独特的动态二进制加密技术,为管理员提供了一种安全、隐蔽的方式来远程管理服务器和网站。在 Behinder v3.0 Beta 9 版本中,我们看到了该...
冰蝎-Webshell管理工具
weixin_66717977的博客
06-30 7164
冰蝎超详解,新手食用
冰蝎、菜刀、蚁剑、哥斯拉流量特征
败在我手中之敌,从来不会被我视为对手,我给你时间追赶,直至你遥望不见。
07-18 2752
菜刀,蚁剑,冰蝎,哥斯拉
冰歇webshell初探
qq_69775412的博客
04-22 5515
木马样本: <?php class C{ public function __invoke($p) { eval($p.""); } }; session_start(); isset($_GET['pass'])?print $_SESSION['k']=substr(md5(uniqid(rand())),16):($b=explode('|',openssl_decrypt(file_get_contents("php://input"), "AES128", $_SESSIO
冰蝎、蚁剑、哥斯拉的流量特征
qq_53218512的博客
06-11 4218
webshell管理工具,蚁剑、冰蝎哥斯拉的流量特征
webshell管理工具冰蝎应该怎么安装
05-14
冰蝎是一款常用的WebShell管理工具,它可以帮助管理员进行WebShell的检测、管理和清除等操作。以下是安装冰蝎的步骤: 1. 下载冰蝎的安装包,可以在官网(https://github.com/rebeyond/Behinder/releases)下载最新版的安装包。 2. 解压安装包,将所有文件放在Web服务器的任意位置,比如放在Web根目录下的“behinder”文件夹。 3. 修改“behinder”文件夹下的“index.jsp”文件,将其中的密码改为自己指定的密码。 4. 在Web浏览器中输入Web服务器地址和“behinder”文件夹的路径,比如“http://example.com/behinder/index.jsp”。 5. 在登录页面输入自己设置的密码,登录成功后就可以使用冰蝎进行WebShell管理了。 需要注意的是,在使用冰蝎进行WebShell管理时,一定要注意安全性,避免被黑客利用。比如,可以通过设置访问密码、限制IP地址等方式来增强安全性。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值