webshell工具-冰蝎流量特征和加密方式

最新推荐文章于 2025-03-17 12:13:58 发布
最新推荐文章于 2025-03-17 12:13:58 发布
阅读量2k 收藏 12
点赞数 7
文章标签: web安全 运维 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40898302/article/details/139195714
版权

一、冰蝎原理

1.1 简介

冰蝎是一款基于Java开发的动态加密通信流量的新型Webshell客户端,由于通信流量被加密,传统的WAF、IDS 设备难以检测,给威胁狩猎带来较大挑战。冰蝎其最大特点就是对交互流量进行对称加密,且加密密钥是由随机数函数动态生成,因此该客户端的流量几乎无法检测。而老牌的如中国菜刀因为其流量特征太过明显,从而使用的场景越来越少。

1.2 冰蝎的加密原理

以PHP版本为例,"冰蝎"在服务端支持open_ssl时,使用AES加密算法,密钥长度16位,也可称为AES-16。此在软件及硬件(英特尔处理器的AES指令集包含六条指令)上都能快速地加解密,内存需求低,非常适合流量加密。

流程

1、首先客户端以Get形式发起带密码的请求。(根据实际情况也有POST的请求方式)

2、服务端产生随机密钥,将密钥写入Session并将密钥返回客户端。

3、客户端获取密钥后,将payload用AES算法加密,用POST形式发送请求。

4、服务端收到请求,用Session中的密钥解密请求的Body部分,之后执行Payload,将直接结果返回到客户端。

5、客户端获取返回结果,显示到UI界面上。

1.3 冰蝎流量特征

1、Accept字段

Accept-Language: zh-CN,zh;q=0.9,en-US;q=0.8,en;q=0.7

这个基本是固定的

2、Content-Type

Content-type: Application/x-www-form-urlencoded

这个基本也是固定的

3、冰蝎生成的服务端webshell中存在固定代码

以php为例:

(file_get_contents(“php://input”));

4、固定的请求头和响应头

请求: 3Mn1yNMtoZViV5wotQHPJtwwj (每个连接请求头和响应头都不一样的,但是本次连接以后的请求头和响应头都是固定的) 响应: mAUYLzmqn5QPDkyI5lvSp0fjiBu1e7047Yj

5、连接密码

默认时,所有冰蝎4.0 webshell都有“e45e329feb5d925b” 一串密钥。该密钥为连接密码32位md5值的 前16位,默认连接密码rebeyond(自己使用是可以更改密码的)

白冷
关注
红队攻防渗透技术实战流程:红队目标上线之免杀对抗-Webshell篇&魔改冰蝎&打乱特征指纹&新增加密协议&过后门查杀&过流量识别
HACKONE的博客
05-27 287
1、webshell工具里面的后门代码不被杀毒检测到-混淆。2、webshell工具里面的功能操作不被杀毒拦截到-魔改。3、webshell工具里面的操作连接不被平台捕获到-魔改。1、环境部署-JAR反编译&打包构建-项目即成功。2、魔改冰蝎-防识别-打乱特征指纹-使用即变异。3、魔改冰蝎-防查杀-新增加密协议-生成即免杀。解决1:绕过识别(魔改打乱特征,新增加密算法)2、反编译打包环境-IDEA安装&反编译工具。新建-填入-保存-分享-导入项目-构建编译。魔改冰蝎-防识别-打乱特征指纹。
冰蝎加密 WebShell 过杀软
悦分享
08-03 2608
演练中,第一代webshell管理工具“菜刀”的攻击流量特征明显,容易被安全设备检测到,攻击方越来越少使用,加密webshell 正变得越来越流行,由于流量加密,传统的WAF、WebIDS设备难以检测,给威胁监控带来较大挑战。这其中最出名就是“冰蝎”,“冰蝎”是一款动态二进制加密网站管理客户端,演练中给防守方造成很大困扰,本文将对“冰蝎”的加密原理、流量特征、检测方案进行探讨。"冰蝎"客户端基于JAVA,所以可以跨平台使用,最新版本为v3.0 bate,兼容性较之前的版本有较大提升。...
Webshell冰蝎魔改】(入门)
夜风的博客
02-20 540
关注公众号夜风Sec,回复CTF获取资源,不定时分享各种视频资料。 解决1:绕过识别( 魔改打乱特征, 新增加密算法 ) 解决2:绕过查杀( 魔改打乱特征, 新增加密算法 )① 在线网址: https://www.decompiler.com/② 等反编译分析工具③ IDEA自带的插件: 创建工程 添加模块依赖 添加工件 修改代码,打包包 新增加密协议 参考的加密算法:https://xz.aliyun.com/t/12453 生成全新的冰蝎目录 -> 方便打开 server目录来源
渗透测试-菜刀冰蝎蚁剑哥斯拉等webshell工具特征分析
wangluoanquan111的博客
03-17 1251
在测试过程中,我们经常会运到各种webshell管理工具,这里我介绍几种常见的webshell工具给大家。webshell就是以asp、php、jsp或者cgi等网页文件形式存在的一种代码执行环境,主要用于网站管理、服务器管理、权限管理等操作。使用方法简单,只需上传一个代码文件,通过网址访问,便可进行很多日常操作,极大地方便了使用者对网站服务器的管理。?
Godzilla 冰蝎流量特征对比
最新发布
sinat_29173481的博客
03-17 832
数据,避免明文传输特征数据。Godzilla 主要使用。,其流量更加难以直接检测。如果你想更深入了解如何。冰蝎的核心特点是使用。
菜刀、冰蝎、蚁剑、哥斯拉的流量特征
热门推荐
eternitymd的博客
04-29 2万+
菜刀流量特征(最开始是明文传输,后来采用base64加密):PHP类WebShell链接流量 如下图: 第一:“eval”,eval函数用于执行传递的攻击payload,这是必不可少的; 第二:(base64_decode($_POST[z0])),(base64_decode($_POST[z0]))将攻击payload进行Base64解码,因为菜刀默认是使用Base64编码,以避免被检测; 第三:&z0=QGluaV9zZXQ...,该部分是传递攻击payload,此参数z0对应$_
哥斯拉、冰蝎与蚁剑的流量特征
congsec的博客
07-14 1809
网络安全攻防中,不同的攻击工具各有其独特的流量特征。本文将深入浅出地介绍哥斯拉、冰蝎蚁剑的流量特征,并详细分析菜刀的流量特征,帮助基础小白更好地理解这些工具在网络流量中的表现。
冰蝎、蚁剑、哥斯拉的流量特征
qq_53218512的博客
06-11 5240
webshell管理工具,蚁剑、冰蝎哥斯拉的流量特征
菜刀,蚁剑,冰蝎,哥斯拉的流量特征
qq_51550750的博客
07-04 4973
菜刀,蚁剑,冰蝎,哥斯拉的流量特征
菜刀,蚁剑,冰蝎,哥斯拉流量特征
2301_76786857的博客
12-24 2974
菜刀,蚁剑,冰蝎,哥斯拉四大webshell工具流量特征
webshell连接工具冰蝎检测特征提取
TKMoma
09-09 9315
1⃣️、概述         冰蝎作为新款的webshell连接工具,使用效果非常好。本文主要从冰蝎使用过程产生的流量里提取检测特征。部分提取思路从基于流量侧检测冰蝎webshell交互通讯获得了启发。后经过测试发现了关于冰蝎工具的通用检测特征(针对目前已公开的版本)。下面详细介绍本文内容。 2⃣️、各版本对比 &nb...
常见的webshell工具流量特征
m0_66458291的博客
01-19 3878
常见的webshell工具流量的简单分析(菜刀、蚁剑、冰蝎、哥斯拉)
049-冰蝎,从入门到魔改.pdf
09-20
基于流量加密的 webshell 变得越来越多,"冰蝎" 在此应运而生。 "冰蝎" 客户端基于 JAVA,所以可以跨平台使用,最新版本为 v2.0.1,兼容性较之前的版本有较大提升。主要功能为:基本信息、命令执行、虚拟终端、文件...
分析冰蝎流量特征以及请求包
weixin_46299490的博客
09-17 2118
冰蝎流量特征
蚁剑、哥斯拉、菜刀、冰蝎(3.0/4.0)流量特征
qq_22792465的博客
07-25 4030
环境搭建:采用php一句话进行测试,可以用bp设置代理进行抓包查看,或使用wireshark进行过滤抓包逐步解析。
流量特征分析——蚁剑、菜刀、冰蝎、哥斯拉
Sgirll的博客
07-22 1万+
通过对这三种常见的网络攻击工具流量特征的分析,我们可以更好地了解它们在网络流量中的表现。同时,持续的学习了解新兴攻击工具流量特征也是保持网络安全的重要一环。哥斯拉的数据包中包含了特定的标记,如"XORHEAD""XORBODY",用于标识该数据包是哥斯拉的控制命令。此外,哥斯拉还使用了一种自定义的二进制协议,在通信中传输各种类型的数据。本文将重点研究菜刀、蚁剑冰蝎这三种常见的网络攻击工具,分析它们在流量中留下的痕迹特征,以便网络管理员安全专家能够更好地识别对抗这些工具所带来的潜在威胁。
WebShell流量特征检测_冰蝎
徐徐徐的博客
09-06 1431
冰蝎为了实现可以在webshell内添加任意内容 (比如gif89a子类的文件头或者其它标示字符) 冰蝎在初始化密钥时会对webshell进行两次访问,然后比较两次页面返回的差异,把两次请求都相同的字符记录一个位置,后续加密会用到这两个位置(beginIndex,endIndex)冰蝎通讯默认使用长连接,避免了频繁的握手造成的资源开销。冰蝎默认 Accept 字段的值很特殊,这个特征存在于冰蝎的任何一个通讯阶段。②密钥使用的是连接密码的MD5值的前16位,并存储于Session中。
webshell管理工具-冰蝎(Behinder)的安装基础使用(msf联动,流量特征)
wangluoanquan111的博客
02-26 2102
冰蝎是一款基于Java开发的动态加密通信流量的新型Webshell客户端,由于通信流量被加密,传统的WAF、IDS 设备检测,给威胁狩猎带来较大挑战。冰蝎其最大特点就是对交互流量进行对称加密,且加密密钥是由随机数函数动态生成,因此该客户端的流量几乎无法检测。在流量层,冰蝎的aes特征一直是厂商查杀的重点,在主机层,aes相关的API也是一个强特征。既然是特征,那就一定存在一个一成不变的常量,那我们就把这个特征泛化一下,让他成为变量。为了一劳永逸解决这个问题,
冰蝎、菜刀、蚁剑、哥斯拉流量特征
故事讲予风听
07-18 3406
菜刀,蚁剑,冰蝎,哥斯拉
蚁剑冰蝎哥斯拉的流量特征
01-07
### 蚁剑、冰蝎哥斯拉 WebShell 工具的网络通信流量特征 #### 蚁剑 (AntSword) 蚁剑采用静态加密方式处理其WebShell通信,这使得其流量具有一定的可识别性。然而,随着版本更新,蚁剑引入了更复杂的加密机制来规避安全软件的检测[^2]。 对于蚁剑而言,主要通过HTTP(S)协议进行通信,并且会利用多种技术手段隐藏恶意行为: - **请求头**:通常包含特定User-Agent字符串以及自定义Cookie字段。 - **POST参数**:使用Base64编码或其他形式的数据混淆方法传递命令或脚本代码。 - **响应内容**:返回的结果同样经过编码处理,增加了直接解析难度。 ```python import base64 def encode_payload(data): """模拟蚁剑对有效负载进行简单编码""" encoded_data = base64.b64encode(data.encode()).decode() return f"{encoded_data}" ``` #### 冰蝎 (BingChen) 冰蝎3代相比前一代进行了改进,取消了动态密钥获取功能,转而采取其他措施增强隐蔽性抗分析能力[^3]。具体表现在以下几个方面: - **传输层协议**:依旧依赖于HTTPS/TLS通道确保数据安全性的同时减少被拦截风险。 - **应用层伪装**:模仿正常网页浏览活动模式发送请求并接收回复;例如设置合理的`Accept-Language`, `Referer`等头部信息。 - **内部逻辑优化**:简化了一些不必要的交互流程,降低了异常行为暴露的可能性。 ```bash curl -X POST \ https://example.com/shell.php \ -H 'Content-Type: application/x-www-form-urlencoded' \ -d 'cmd=id' ``` #### 哥斯拉 (Godzilla) 哥斯拉以其高度定制化的特性著称,在实际运用过程中展现出极强的适应能力灵活性[^4]。以下是该工具的一些典型特点: - **特殊标志符**:所有发出的数据包均以关键字"godzilla"作为起始标记,便于后续操作确认身份合法性。 - **ICMP隧道构建**:不同于传统基于TCP/UDP的应用程序,哥斯拉能够创建基于ICMP Echo Request & Reply的消息交换路径完成远程控制指令下发。 - **固定长度载荷**:每次传输的有效载荷大小保持一致(如92字节),有助于进一步掩盖真实意图。 ```csharp using System.Net.NetworkInformation; public static void SendPing(string targetIp, string payload) { Ping pingSender = new Ping(); byte[] buffer = Encoding.ASCII.GetBytes($"godzilla{payload}"); // Ensure the length of data is fixed to 92 bytes. Array.Resize(ref buffer, 92); var reply = pingSender.Send(targetIp, 120, buffer); } ```
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值