加密aspx webshell_冰蝎动态二进制加密WebShell基于流量侧检测方案

最新推荐文章于 2024-08-20 16:19:30 发布
最新推荐文章于 2024-08-20 16:19:30 发布
阅读量1.2k 收藏
点赞数 1
文章标签: 加密aspx webshell 加密数据转可见字符 字符用_连接的是什么加密
本文详细分析了冰蝎动态二进制加密WebShell的通讯原理和多个版本的特点,包括其加密方式、V1.0到V2.0.1版本的连接区别、特殊数据包类型以及静态特征。提出基于流量侧的检测思路,涵盖冰蝎上线的弱特征和强特征,并总结了Snort规则检测策略,旨在帮助提升对冰蝎WebShell的检测能力。
摘要由CSDN通过智能技术生成

概述

冰蝎是一款新型动态二进制加密网站工具。目前已经有6个版本。对于webshell的网络流量侧检测,主要有三个思路。一:webshell上传过程中文件还原进行样本分析,检测静态文件是否报毒。二:webshell上线或建立连接过程的数据通信流量。三:webshell已连接后执行远程控制命令过程的数据通信流量。本文通过分析多个历史冰蝎版本及五种脚本(asp|aspx|jsp|jspx|php),结合第二点检测冰蝎上线的静态特征,并总结部分snort规则。

冰蝎通讯原理

冰蝎采用AES加密,很多文章已有介绍,并有对应解密脚本,这里不再赘述。

冰蝎上线数据包(点击底部阅读原文查看)

V1.0版本冰蝎连接

抓取到的通信流量如下:

484694c6fb2c38d9a6ceafd491321696.png

Content-Type: application/octet-stream表示以二进制流传输数据。GET请求体返回16位大小写字母或数字。

V1.1版本冰蝎连接

92964fa4b3861dab3c56e9318d52a99a.png

冰蝎工具从V1.1开始(包含V1.1)新增随机UserAgent支持,每次会话会从17种常见UserAgent中随机选取。这个版本的pass 与其他版本不同,pass(密码) 后跟10位数字。

V2.0.1版本冰蝎连接

php shell上线数据包

8d973abb76c345c8d0886b41a0812618.png

asp shell 上线数据包

df27f2fab23dc1648bb79ca9f6301bd8.png

特殊的数据包

特殊包类型一

仅在php shell 上线时发现。测试版本 V2.0和V2.0.1

php shell上线时会产生两个POST请求和响应。第一个POST 响应无响应体,第二个POST响应有响应体。这里需要额外写snort判断。用flowbits 设置多包联合检测。

第一个POST响应

acd02b764afa21b17eaafc66c223fe79.png

第二个POST响应

b61e3983d1927eec716f8035c4401c1b.png

特殊包类型二

有两条很久以前抓的冰蝎包,写的snort一直匹配不上,忘了是哪个版本。仔细一看,居然没有Content-Length字段。php shell 上线,GET响应居然无强特征 “Content-Length: 16,查资料说如果是 chunked 加密的,可能就不显示这个content-length字段了。这个特殊类型我选择性忽视。

6f2806ce0780b9ebe6dfd83147e02c8b.png下面也是php GET响应 无强特征 “Content-Length: 16”,看上去多了几个字符,是显示的问题,其实并没有多。

最低0.47元/天 解锁文章
weixin_39785150
关注
冰蝎工具开发实现动态二进制加密WebShell
悦分享
08-04 937
9.备忘录渗透的时候总有很多零碎的信息需要记录,所以针对每个Shell提供了一个备忘录的功能,目前只支持纯文本,粘贴进去自动保存:GitHub - rebeyond/Behinder: “冰蝎动态二进制加密网站管理客户端。...
冰蝎加密 WebShell 过杀软
悦分享
08-03 2423
演练中,第一代webshell管理工具“菜刀”的攻击流量特征明显,容易被安全设备检测到,攻击方越来越少使用,加密webshell 正变得越来越流行,由于流量加密,传统的WAF、WebIDS设备难以检测,给威胁监控带来较大挑战。这其中最出名就是“冰蝎”,“冰蝎”是一款动态二进制加密网站管理客户端,演练中给防守方造成很大困扰,本文将对“冰蝎”的加密原理、流量特征、检测方案进行探讨。"冰蝎"客户端基于JAVA,所以可以跨平台使用,最新版本为v3.0 bate,兼容性较之前的版本有较大提升。...
aspx webshell
10-11
aspx webshell 绿色,环保
ASP.NET下Webshell编译产物免杀
最新发布
2401_83799022的博客
08-20 394
但编译产物会被杀导致无法连接webshell,以冰蝎aspx的webshell为例。Webshell的文件免杀可参考以下链接,通过unicode编码就可以实现。通过dnspy反编译和不断测试,以下方法的变换对于编译产物而言没有任何影响。但当有卡巴斯基等杀软时,虽然aspx、ashx、asmx文件没有被杀。7、字符串常量的拼接,如"Load"替换为"Lo"+"ad"为了保证aspx的免杀,仍使用unicode编码。通过变异的base64来编码字符串常量,如。1、unicode编码。
aspx 版webshell
01-16
此文件是一个是一个别人写的webshll,开发环境c#
加密aspx webshell_你所不知道的Webshell基础篇
weixin_39845220的博客
11-24 1066
Webshell利用的起因企业对外提供服务的应用通常以Web形式呈现,因此Web站点经常成为攻击者的攻击目标。攻击者找到Web站点可利用的漏洞后,为了扩大战果或维持对目标站点的控制权限,通常会在Web站点植入Webshell程序。Webshell是以网页文件形式存在的一种命令执行环境,也可以将其称为网页后门。根据Web服务器环境的不同,Webshell分为asp、php、jsp、cgi等...
aspx webshell C#2.0
01-27
我用ASP.NET with C#2.0写的一个站点管理页面,界面简单,可以当做WebShell使用。
冰蝎v2.1动态二进制加密网站管理客户端
06-12
冰蝎动态二进制加密网站管理客户端 客户端:jre6~jre8 运行命令:java -jar Behinder.jar macOs:java -XstartOnFirstThread -jar Behinder.jar
蚁剑加密 WebShell 过杀软
悦分享
08-03 2210
中国蚁剑是一款开源的跨平台网站管理工具,它主要面向于合法授权的渗透测试安全人员以及进行常规操作的网站管理员。中国蚁剑推崇模块化的开发思想,遵循开源,就要开得漂亮的原则, 致力于为不同层次的人群提供最简单易懂、方便直接的代码展示及 其修改说明,努力让大家可以一起为这个项目贡献出力所能及的点滴,让这款工具真正能让大家用得顺心、舒适,让它能为大家施展出最人性化最适合你的能力!通俗的讲:中国蚁剑与中国菜刀相比,界面更加美观、功能更加齐全,并且自定义的程度更高且开放源代码。...
[网络安全自学篇] 八十二.WHUCTF之隐写和逆向类解题思路WP(文字解密、图片解密、佛语解码、冰蝎流量分析、逆向分析)
热门推荐
杨秀璋的专栏
06-04 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了Easy_unserialize解题思路,详细分享文件上传漏洞、冰蝎蚁剑用法、反序列化phar等。这篇文章将详细讲解WHUCTF隐写和逆向题目,包括文字解密、图片解密、佛语解码、冰蝎流量分析、逆向分析。第一次参加CTF,还是学到了很多东西。人生路上,要珍惜好每一天与家人陪伴的日子。感谢武汉大学,感谢这些大佬和师傅们(尤其出题和解题的老师们)~
)Xsl 的Webshellaspx)版本
weixin_30514745的博客
06-01 178
关于使用xsl的webshell以前已经有人发过了,比如aspx的一个webshell如下: <%@ Page Language="C#" Debug="true" %> <%@ import Namespace="System.IO"%> <%@ import Namespace="System.Xml"%> <%@ import Names...
WebShellWebAdmin.aspx
07-06
aspx的WEBSHELL,有用的人拿去。
aspxwebshell免杀过杀软亲自制作
10-29
亲自制作绝对过任何杀软360,node32等aspxwebshell,已生成图片格式,你看到的是一个图片jpg文件,把后缀名改为aspx格式传上去的就是一个aspxwebshell,实现进程管理,数据库管理,文件管理,端口映射,命令行等功能,附源码生成命令copy f.jpg/b +x.aspx/a hez.jpg
精品整理 asp,aspx后门(webshell)10个
12-15
精品收集整理各种websheel,没有后门,没有重复,是站长管理网站,清除木马的好助手
2016最新aspx免杀webshell过安全狗
03-05
上传压缩文件夹里的aspx文件不会有任何报毒,过最新版安全狗。2016已测试
ASPX - WEBSHELL
07-31
从一个站点上下载下来的,用起来不错。免杀
WebShell
u010640023的专栏
05-02 1205
ASP系统,服务器肯定是windows,因此我们可以上传一个ASPX木马或者将ASP木马后缀改成A
shell 免杀aspx_免杀webshell?无限生成工具蚁剑
weixin_36378347的博客
01-07 958
as_webshel??l_venomwebshel??l-venom蚁剑版(thx @SardineFish&@Medicean)原项目地址:https://github.com/yzddmr6/webshel??l-venom3.2更新日志鸽了这么久,我来更新啦更新免杀修复已知问题:宝塔在遇到header404时会解析到他的404模版上,而不是shell上,导致无法连接,故去除头部的...
html aspx asp php加密保护,php – 解密.ASPXAUTH Cookie WITH保护=验证
weixin_33007509的博客
06-19 568
有一段时间,我一直在尝试破译ASP .ASPXAUTH cookie并使用PHP进行解密.我的理由很大,我需要这样做,别无选择.在PHP到目前为止,我已经成功地设法读取了这个cookie的数据,但是加密时似乎并没有这样做.无论如何,在这里…首先您需要更改您的服务器Web.config文件(保护需要设置为验证):然后在同一个域的PHP脚本中,您可以执行以下操作来读取数据,这是一个非常基本的例子,但是...
Webshell检测策略:特征分析与加密识别
本文主要探讨了Webshell的基本概念、特征以及检测方法。Webshell是一种特殊的恶意软件,它允许攻击者通过网络以Web页面的形式远程控制网站服务器,获取管理员级别的权限。这种工具通常用于执行非法操作,如修改网页...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值