冰蝎3.0流量包简单分析

已于 2024-03-08 00:26:32 修改
阅读量879 收藏 3
点赞数 7
分类专栏: CTF 文章标签: python 安全
于 2024-03-08 00:25:41 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45631678/article/details/136549530
版权
本文介绍了如何通过编写Python脚本,利用tshark工具捕获和分析冰蝎流量,通过URL解码、Base64解码获取AES密钥,进而对传输数据进行多次解码,最终恢复出一些命令执行的内容。
摘要由CSDN通过智能技术生成

About

碍于流量比较多所以编写一个脚本来提取数据包中的冰蝎流量进行解密

思路

工具编写思路
配合系统tshark将冰蝎的POST流量进行导出,
对shell文件进行url解码和base解码,得到aes的key密钥

赛题下载

链接:https://pan.baidu.com/s/1xSNiDSb5zlAAxSQnWDqOyA?pwd=q1hw
提取码:q1hw

实践

tshark -r behinder.pcap -Y "http.request.method==POST" -T fields -e http.file_data -E quote=d > output.txt

导出冰蝎传输数据,使用tshark配合,对POST传输进行过滤 ,再导出file_data的数据
在这里插入图片描述

得到最原始的传输数据,需要进行多次解码
使用正则的方式进行筛选加密数据

def kkey():
    file = open('output.txt', 'r', encoding='utf-8')
    F = file.read()
    try:
        for i in range(0,1):
            x = r'"(.*?)"'
            flag = re.findall(x, F)[i]
            nt = urllib.parse.unquote(flag)
            l = r'e\("(.*?)"\)'
            flag2 = re.findall(l,nt)[0]
            b64 = base64.b64decode(flag2)
            m = r'key="(.*?)";'
            global flag3
            flag3 = re.findall(m,str(b64))[0]
    except IndexError:
        print("exit")

进行多次正则筛选出key的值

def ddencode():
    AES_key = flag3.encode('utf-8')
    file = open('output.txt','r',encoding='utf-8')
    F = file.read()
    try:
        for i in range(1,300000000000000):
            x = r'"(.*?)"'
            flag = re.findall(x,F)[i]
            encrypted_bytes = base64.b64decode(flag)
            aes = AES.new(AES_key, AES.MODE_CBC)
            decrypted_bytes = aes.decrypt(encrypted_bytes)
            decrypted_text = decrypted_bytes.rstrip(b'\0').decode('latin-1')
            l = r"e\('(.*?)'\)"
            flag2 = re.findall(l, decrypted_text)[0]
            b64 = base64.b64decode(flag2)
            out = open('flag.txt','a')
            out.write('\n'+str(b64)+'\n')
    except IndexError:
        print("exit")

再使用key对数据进行解密,值得关注的是数据转换的格式很有趣,转为utf-8则乱码

def bcmd():
    file = open('flag.txt', 'r', encoding='utf-8')
    F = file.read()
    try:
        for i in range(0,10000000000):
            lm = r'cmd="(.*?)";'
            op = re.findall(lm,F)[i]
            ab = base64.b64decode(op)
            print(ab)
            out = open('cmdflag.txt', 'a')
            out.write('\n' + str(ab) + '\n')
    except IndexError:
        print("exit")

在这里插入图片描述
得到原始的数据,可以看到一些命令的执行,
贴一份完整代码

攻击端数据恢复
# -*- coding: utf-8 -*-
import re
import urllib
import base64
from Crypto.Cipher import AES

def ddencode():
    AES_key = flag3.encode('utf-8')
    file = open('output.txt','r',encoding='utf-8')
    F = file.read()
    try:
        for i in range(1,300000000000000):
            x = r'"(.*?)"'
            flag = re.findall(x,F)[i]
            encrypted_bytes = base64.b64decode(flag)
            aes = AES.new(AES_key, AES.MODE_CBC)
            decrypted_bytes = aes.decrypt(encrypted_bytes)
            decrypted_text = decrypted_bytes.rstrip(b'\0').decode('latin-1')
            l = r"e\('(.*?)'\)"
            flag2 = re.findall(l, decrypted_text)[0]
            b64 = base64.b64decode(flag2)
            out = open('flag.txt','a')
            out.write('\n'+str(b64)+'\n')
    except IndexError:
        print("exit")

def kkey():
    file = open('output.txt', 'r', encoding='utf-8')
    F = file.read()
    try:
        for i in range(0,1):
            x = r'"(.*?)"'
            flag = re.findall(x, F)[i]
            nt = urllib.parse.unquote(flag)
            l = r'e\("(.*?)"\)'
            flag2 = re.findall(l,nt)[0]
            b64 = base64.b64decode(flag2)
            m = r'key="(.*?)";'
            global flag3
            flag3 = re.findall(m,str(b64))[0]
    except IndexError:
        print("exit")
def bcmd():
    file = open('flag.txt', 'r', encoding='utf-8')
    F = file.read()
    try:
        for i in range(0,10000000000):
            lm = r'cmd="(.*?)";'
            op = re.findall(lm,F)[i]
            ab = base64.b64decode(op)
            print(ab)
            out = open('cmdflag.txt', 'a')
            out.write('\n' + str(ab) + '\n')
    except IndexError:
        print("exit")


if __name__ == '__main__':
    kkey()
    print("key is "+flag3)
    ddencode()
    bcmd()

现阶段困难点

由于无法过滤出原始的数据流导致无法最终服务器回显的数据
本来是想写成自动化的,有时间的话后期应该会完善

结语

写的代码比较烂如果有不懂的请私信我,博主正在努力中…
在这里插入图片描述

D@nZ0N
关注
  • 7
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
冰蝎流量分析
飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘
04-13 446
每次Content-Length 较大,还都编码。每次Content-Length 较大,还都编码。
冰蝎4.0流量解密
热爱学习,喜欢折腾!
08-16 2667
在2022.7.25 v4.0 更新Behinder_v4.0,增加了诸多功能。本文以PHP为例4.0提供了三种方式异或、异或Base64、AES三种方式。总体来说4.0的流量解密3.0流量解密差不多。
CTF哥斯拉冰蝎解码工具
02-23
承影_哥斯拉冰蝎解码工具1.1版本,助力CTF比赛
蚁剑、哥斯拉、菜刀、冰蝎3.0/4.0)流量特征
qq_22792465的博客
07-25 2527
环境搭建:采用php一句话进行测试,可以用bp设置代理进行抓查看,或使用wireshark进行过滤抓逐步解析。
H&NCTF 2024 ez_pecp 冰蝎+CS流量分析
最新发布
qq_39947980的博客
06-01 385
4.x 版本 cs 的动态信标的进程转储文件是提取不出通信所需要的 key。AES加密的密钥为连接密码MD5的前16位,默认连接密码是。一个事实是 :冰蝎 shell 当中的恶意 php 脚本,考点:冰蝎webshell流量分析+CS4.x流量解密。可以导出http对象拿到 Secret.zip。等地址发起请求,而且下发指令的时候会请求。可以判断第一个流量是CS流量。可以判断第二个才是正确的密码。现在拿到了 dmp.dmp了。两个数据base64解码后。有报错 直接问下GPT。可以成功解密流量内容。
流量加密怎么办?主流webshell管理工具流量解密分析【附解密脚本】
C20220511的博客
07-19 2105
本文基于冰蝎Behinder_v3.0.11和哥斯拉v4.00-godzilla,对它们的加解密方式进行识别和分析【附简易解密脚本】,希望能在行动中助大家一臂之力。
冰蝎3 冰蝎2 behinder流量分析 流量解密
ShenZ的博客
08-30 3223
好多没找全,明天再找吧 冰蝎3 AES密钥为连接密码32位md5值的前16位,默认连接密码rebeyond。 webshell: php <?php @error_reporting(0); session_start(); $key="e45e329feb5d925b"; //该密钥为连接密码32位md5值的前16位,默认连接密码rebeyond $_SESSION['k']=$key; $post=file_get_contents("php://input"); if(!exten
Misc_冰蝎流量分析
He0an39n的博客
06-29 3172
Misc_冰蝎流量分析
冰蝎流量分析
weixin_48776804的博客
05-27 2579
冰蝎流量分析
分析冰蝎流量特征以及请求
weixin_46299490的博客
09-17 1678
冰蝎流量特征
冰蝎v3.0-beta7
08-31
冰蝎3.0
IC客栈-IC卡分析助手V3.0
02-26
《IC卡分析助手V3.0:探索智能卡技术与应用》 在信息化时代,IC卡作为数据存储和传输的媒介,广泛应用于我们的日常生活,如交通卡、银行卡、门禁卡等。"IC客栈-IC卡分析助手V3.0"是一款专业针对IC卡进行分析的软件...
串流工具3.0更新 串流工具3.0更新
04-19
串流工具3.0更新串流工具3.0更新串流工具3.0更新串流工具3.0更新串流工具3.0更新串流工具3.0更新串流工具3.0更新串流工具3.0更新串流工具3.0更新串流工具3.0更新串流工具3.0更新串流工具3.0...
海康威视web3.0开发 Win32 Win64
07-11
海康威视作为全球领先的安防产品及解决方案提供商,其Web3.0开发为开发者提供了在Web端进行视频监控及安防系统集成的强大工具。这款"海康威视web3.0开发 Win32 Win64"适用于Windows 32位和64位操作系统,旨在...
spring3.0jar
12-31
Spring 3.0 是一个里程碑式的版本,在Java企业级应用开发领域中占据着核心地位。这个版本的发布引入了许多新特性、改进和优化,旨在提升开发者的工作效率和应用程序的可维护性。Spring 框架以其强大的依赖注入...
base64还原_冰蝎3.0流量分析与还原
weixin_39567046的博客
11-27 3918
希望这篇文章可以真正帮助那些被打穿的单位识别与溯源。phpshell与冰蝎2.0在建立连接时随机生成AES密钥同时明文交换不同是,冰蝎3.0的AES密钥为连接密码32位md5值的前16位,默认连接密码rebeyond。该方法保证了全密文传输,但是依然具有一定的特点。特征:连接content-length =5464or 5484(占比较多)基于AES加密和base64编码,解密时通过对s...
记一次对“冰蝎”一句话木马流量分析
蚁景网安学院
11-18 1790
预备知识“冰蝎”php一句话木马分析冰蝎”是什么?它是一款动态二进制加密网站管理客户端,它可以在HTTP明文协议中建立加密隧道,可以用于躲避传统的WAF、IDS等设备的检测。项目地址:...
冰蝎默认加密的流量解密
weixin_50985113的博客
10-19 779
冰蝎流量解密
冰蝎3.0和4.0流量特征
07-25
冰蝎3.0和4.0的流量特征有一些显著的不同。首先,在加密方式方面,冰蝎4.0引入了更多的加密方式,括xor、xor_base64、aes、json和image等五种加密方式,并且每种加密方式都支持自定义加解密代码。而冰蝎3.0则没有这么多加密方式的选择。\[1\] 其次,在传输方式方面,冰蝎4.0引入了okhttp3客户端,因此与3.0版相比,HTTP协议交互和TLS协议交互都有显著的不同。这意味着在TLS未解密(TLS协议流量)和TLS解密(HTTP协议流量)两种场景下,冰蝎4.0的流量特征也会有所不同。\[1\]\[2\] 此外,冰蝎4.0版本提供了传输协议自定义功能,让用户可以对流量的加密和解密进行自定义,实现流量解密协议的去中心化。这意味着冰蝎4.0的流量特征可以根据用户的自定义传输协议而变化,不再有固定的连接密码的概念。\[3\] 综上所述,冰蝎3.0和4.0的流量特征在加密方式和传输方式方面有明显的差异,并且冰蝎4.0版本提供了更多的自定义功能,使得流量特征更加灵活和多样化。 #### 引用[.reference_title] - *1* *2* [攻防演练 | 观成瞰云有效检出冰蝎4.0加密流量](https://blog.csdn.net/GCKJ_0824/article/details/125987480)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insert_down28v1,239^v3^insert_chatgpt"}} ] [.reference_item] - *3* [冰蝎Behinder_v4.0](https://blog.csdn.net/m0_55793759/article/details/127250968)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insert_down28v1,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

D@nZ0N

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值