目录
冰蝎特征
冰蝎有两个特征,
其中有两个强特征分别是
1. 两个固定Accept
2. 数据包一大堆加密
如果可以利用冰蝎的传输协议解密,那就实锤
为此,我们需要解决这两个问题
解决1:绕过识别(魔改打乱指纹信息)
解决2:绕过查杀(新增加密算法)
魔改冰蝎4-JAR反编译打包构建
1、反编译Jar
在线反编译 jar,
- 将这个上传上去(国外平台,需要挂加速)
- 反编译后下载
如果没有加速的化,可以用jd-gui工具反编译 - 下载地址:Java Decompiler
- 将jar包托进去然后保存就行了
IDEA反编译:
java -cp IDEA_HOME/plugins/java-decompiler/lib/java-decompiler.jar org.jetbrains.java.decompiler.main.decompiler.ConsoleDecompiler -dgs=true <src.jar> <dest dir>
2、新建lib,添加源码
- ide新建一个项目,选择1.8jdk
- 将反编译后的压缩包解压放到项目根目录里面
- 新建一个lib文件夹,将原版冰蝎的压缩包解压后的文件放进去
3、新建项目,配置构建
- 项目结构-》模块-》依赖 添加原版jar包并应用
- 工件添加主类main
打包jar包
当我们修改好自己想改的后,便可以打包成jar包了
修改时要移动到源根
- 先构建项目
- 然后构建工件
- 打包成功后就可以运行了
魔改冰蝎-防识别-打乱特征指纹
1、标题版权修改:
- 在Constants.java文件中。可以找到标题信息,我们可以自己修改成自己想要的
- 将该文件的目录移动到src文件夹下面
这个文件在net目录下。我们将net目录移动到src目录
- 测试
修改成功
2、指纹特征修改:
冰蝎4的Accept有两个强特征,固定为
Accept: application/json, text/javascript, */*; q=0.01
Accept-Language: zh-CN,zh;q=0.9,en-US;q=0.8,en;q=0.7
我们可以尝试修改它
全局搜索 application/json, text/javascript, */*; q=0.01
与 zh-CN,zh;q=0.9,en-US;q=0.8,en;q=0.7
修改后的样子
效果展示
剩下的其他字段,如
- accpet字段
- User-agent字段
- Content-type字段
都可以自行魔改
魔改冰蝎-防查杀-新增加密协议
1、编写jsp后门魔改传输协议算法
参考加密算法: xz.aliyun.com/t/12453
新建-填入-保存-分享-导入项目-构建编译
- 在传送协议出找到关键的代码
- 全局搜索
- 也可以通过这个代码位置,找到存储加解密协议的配置位置
- 添加一个加解密协议
新建一个协议
这里面写入加解密协议,他会自己检测是否正确。(正确才能保存成功) - 利用写加解密算法
这里利用Gpt进行加解密算法编写。可以选择就在原本加解密算法的基础上进行魔改,
列子:
保存成功,证明通过了
生成服务端,尝试免杀效果
将生成后的shell放入虚拟机
成功免杀
魔改其他传输协议
- 选择远程
- 以asp为例
直接叫ai帮我们用php实现
- 导入算法并保存
尝试连接
选择php的传输协议
流量分析可以发现除了指纹更改外,数据包也发生了改变
原来的数据包
保存jar包方便后续使用
不可能每次都取idea里面打开冰蝎,所以我们需要将构建后的jar保存出来方便后续使用。
behinder是魔改冰蝎项目的根目录,Behinder_v4.1.t00ls是原版冰蝎的根目录。我这里已经替换完了
- 将项目根目录的data.db替换原版冰蝎根目录里面的data.db
- 将
out\artifacts\behinder_jar\
目录下文件拖到冰蝎原版根目录进行替换
成功保存成功
我遇到的问题
- 构建报错
先确定项目结构正确。如果报错尝试更换版本(我当时用ide专业版构建报错,换成社区版解决了) - 启动jar包时,数据文件丢失
将Lib文件夹里面的data.db文件复制到项目根目录 - 启动jar包显示helloword后没有反应
先删除main文件,然后重新工件添加主类
Ps:本人一名网安小菜鸡,初学免杀技术。如果有什么不对的地方,希望各位大佬们能友好指正,也欢迎进行友好交流。