冰蝎的流量分析

最新推荐文章于 2024-07-14 00:00:00 发布
最新推荐文章于 2024-07-14 00:00:00 发布
阅读量2.6k 收藏 4
点赞数 3
分类专栏: webshell管理工具
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_48776804/article/details/117329120
版权

冰蝎流量分析

  • payload先base64加密,再经过AES对称加密全部代码,最后传输,经过实际测试,真的开始执行命令了,流量是相当隐蔽
  • 因此解密流量先拿到密钥,接着是AES解密,再接着是base64解密
  • 存在的问题:
    user-agent老、accept强特征、content-length有规律,也没啥大问题,如果抓不到密钥,都是一堆误报

1 配置如下

基于php马,代码如下
在这里插入图片描述
burp配置
在这里插入图片描述

冰蝎代理配置
在这里插入图片描述

2 流量分析

(1)accept明显
在这里插入图片描述

(2)握手,旧版本交换AES密钥,新版本直接写死,第一个包就是加密数据,新版本已经无法抓获
在这里插入图片描述

(3)内置的17个ua请求头,不自定义的话太老

(4)流量加密过程
payload先base64加密,再经过AES对称加密全部代码,最后传输,经过过实际测试,真的开始执行命令了,流量是相当隐蔽

  • aes密钥
    在这里插入图片描述

在这里插入图片描述

  • aes解密数据,base64解密,有点问题,暂时解不出来,寻找原因
    可能需要特殊的解密脚本
    https://github.com/melody27/behinder_decrypt

在这里插入图片描述

wx_7782175678
关注
专栏目录
冰蝎流量分析
飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘
04-13 512
每次Content-Length 较大,还都编码。每次Content-Length 较大,还都编码。
[网络安全自学篇] 八十二.WHUCTF之隐写和逆向类解题思路WP(文字解密、图片解密、佛语解码、冰蝎流量分析、逆向分析)
热门推荐
杨秀璋的专栏
06-04 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了Easy_unserialize解题思路,详细分享文件上传漏洞、冰蝎蚁剑用法、反序列化phar等。这篇文章将详细讲解WHUCTF隐写和逆向题目,包括文字解密、图片解密、佛语解码、冰蝎流量分析、逆向分析。第一次参加CTF,还是学到了很多东西。人生路上,要珍惜好每一天与家人陪伴的日子。感谢武汉大学,感谢这些大佬和师傅们(尤其出题和解题的老师们)~
冰蝎4.0流量分析及魔改
2301_77157449的博客
05-11 1174
冰蝎v4.0开放了传输协议的自定义功能,使得流量魔改更为简单方便,本文以jsp脚本类型为例,提供一些冰蝎4流量魔改的方式冰蝎4内置了如下几种传输协议,传输协议可以理解为流量的加密方式 以default_xor传输协议为例,这种传输协议是对原始数据进行了异或加密 效果如下: 我们来去掉加密解密函数的相关代码 如果不用任何加解密函数,request body其实传输的是java 字节码 响应体其实也是明文的固定格式的json类型 {"msg":"执行结果base64编码","status":"c3Vj
冰蝎v2.0.1流量分析
A_991128a的博客
08-08 736
冰蝎经过一系列的迭代,流量特征各有不同,我们以版本顺序探究冰蝎流量的进化史1、冰蝎自带webshell,我们以php的webshell为例(已加注释):[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-YcUNPc4x-1691284675827)(https://image.3001.net/images/20220901/1662002545_631025711eac09769c395.png!small)]
深度解析攻击工具:哥斯拉、冰蝎与蚁剑的流量特征全揭秘
最新发布
2301_80064376的博客
07-14 1249
网络安全攻防中,不同的攻击工具各有其独特的流量特征。本文将深入浅出地介绍哥斯拉、冰蝎和蚁剑的流量特征,并详细分析菜刀的流量特征,帮助基础小白更好地理解这些工具在网络流量中的表现。
冰蝎V4.0流量分析到攻防检测
蚁景网安学院
01-16 4863
最近在改写 yso,觉得自己基础太差了,想先阅读一下 sqlmap、冰蝎以及一些其他工具的开发思路。文章可能写的不够严谨,有不对的地方还请师傅们多多指出。
冰蝎3.0流量包简单分析
道路且长 行则将至
03-08 1085
思路 工具编写思路 配合系统tshark将冰蝎的POST流量进行导出, 对shell文件进行url解码和base解码,得到aes的key密钥 再使用key对数据进行解密,值得关注的是数据转换的格式很有趣,转为utf-8则乱码 现阶段困难点 由于无法过滤出原始的数据流导致无法最终服务器回显的数据 本来是想写成自动化的,有时间的话后期应该会完善
冰蝎4.0特征分析及流量检测思路
lza20001103的博客
10-10 4103
冰蝎4.0特征分析及流量检测思路 文章目录冰蝎4.0特征分析及流量检测思路冰蝎4.0介绍1、新版本2、工具通信原理特征检测Accept字段Content-TypeUser-agent 字段4、端口5、PHP webshell 中存在固定代码6、长连接7、固定的请求头和响应头8、连接密码9、webshell特征10、请求和响应 冰蝎4.0介绍 冰蝎是一款基于Java开发的动态加密通信流量的新型Webshell客户端。老牌Webshell管理神器——中国菜刀的攻击流量特征明显,容易被各类安全设备检测,实际场景中
一道冰蝎文件流量分析的例题
09-01
在网络安全领域,尤其是CTF(Capture The Flag)竞赛中,冰蝎经常被用于流量分析、数据包嗅探和网络取证。本题目的核心是利用冰蝎进行文件流量分析。 首先,我们要理解什么是文件流量分析。文件流量分析是网络安全...
82.WHUCTF之隐写和逆向类解题思路WP(文字解密、图片解密、佛语解码、冰蝎流量分析、逆向分析)_杨秀璋的专栏-CSDN博客
08-03
声明:本人坚决反对利用教学方法进行犯罪的行为,一切犯罪行为必将受到严惩,绿色网络需要我们共同维护,更推荐大家了解它们背后的原理,更好地进行防护。前文学习:[网络
冰蝎3 冰蝎2 behinder流量分析 流量解密
ShenZ的博客
08-30 3339
好多没找全,明天再找吧 冰蝎3 AES密钥为连接密码32位md5值的前16位,默认连接密码rebeyond。 webshell: php <?php @error_reporting(0); session_start(); $key="e45e329feb5d925b"; //该密钥为连接密码32位md5值的前16位,默认连接密码rebeyond $_SESSION['k']=$key; $post=file_get_contents("php://input"); if(!exten
Misc_冰蝎流量分析
He0an39n的博客
06-29 3275
Misc_冰蝎流量分析
冰蝎源码分析
糖小喵
06-23 3322
冰蝎的原理为上传一个class字节码,通过调用classloader的defineClass方法,将class字节码,转换为Class。实例化上传的这个类,通过equal方法传递PageContext。 反编译Behinder.jar包,其核心代码在net.rebeyond.behinder包内 core包 冰蝎的主要逻辑代码。 Crypt.java和Decrypt.java 涉及到server端语言的加密解密 Params.java 调用不同语言的payload,返回其字节序列 如果攻击者
记一次流量分析&代码分析-冰蝎
pingan233的博客
02-22 4071
冰蝎流程图如下:冰蝎是先请求服务端,服务端判断请求之后生成一个128位的随机数,并将这个128位的随机数写入到session里面,并将这个128位的随机数返回给客户端,但是客户端并不会使用这个key作为之后的通讯的key,而是会继续重复上面过程,不断获取key,直到满足特定条件之后,才会确定是最终的key。客户端会保存这个key和响应报文里面的set-cookie的值。这个key就是之后客户端和服务端进行通讯的密匙。检测请求方式:Request.method= GET。
哥斯拉、冰蝎、中国蚁剑在护网中流量特征分析,收藏起来当资料吧,24年护网用得上
小司机的奥拓
06-04 1293
包含了应急响应工具、入侵排查、日志分析、权限维持、Windows应急实战、Linux应急实战、Web应急实战。护网中最担心的是木马已经到了服务器,我们的监控软件却没告警,之所以没有告警主要原因就是我们使用的木马进行了各种加密和变种,导致了监控软件根本无法解密识别,今天我们就对市面上最常见的三款shell管理工具哥斯拉、冰蝎、中国蚁剑的流量进行分析,以确保我们在护网时遇到看不懂。
流量分析--------webshell工具冰蝎原理
qq_36448110的博客
05-12 3287
冰蝎,菜刀,哥斯拉是webshell管理工具,比较出名,也被经常使用。之前只知道冰蝎经过加密,具体原理不是很清楚。 我想如果我是蓝方的成员,如果能懂这里面·的传输原理,是不是就能在流量分析,在底层的时候就给与阻挡,杜绝危机。 所以今天就来仔细研究以下: 1.首先宿主机10.77是攻击者,虚拟机是受害者10.222,事先上传号木马文件 2.打开冰蝎和抓包软件(科来进行抓包) 3.双击连接,进行抓包 原理分析: 1.按理来说上传shell之后,第一次应该有个客户端和服务器之间交换aes密钥的环节,但是没
分析冰蝎三流量特征以及请求包
weixin_46299490的博客
09-17 1792
冰蝎流量特征
记一次解密wireshark抓取的冰蝎通信流量
m0_74131821的博客
04-21 1753
由于通信流量被加密,传统的WAF、IDS 设备难以检测,给威胁狩猎带来较大挑战
基于流量侧检测冰蝎webshell交互通讯
12306小哥
08-21 9910
概述 作为新型加密webshell管理客户端,冰蝎算是作为中国菜刀、C刀的替代者。根据网传使用效果,基本得到的反馈是相当的NICE!那么我们能否像检测中国菜刀、C刀那样对冰蝎客户端的流量进行检测,帮助网站管理员判断自己的网站是否存在后门。本文后续一一介绍。 一、冰蝎主要功能 1.基本信息 客户端和服务端握手之后,会获取服务器的基本信息,Java、.NET版本包括环境变量、系统属性等,PHP版本会显...
蚁剑冰蝎哥斯拉流量的区别
06-28
蚂蚁剑(Ants Sword)和冰蝎(Ice Scorpion)通常指的是网络嗅探或漏洞扫描工具中的不同变种,而哥斯拉(Godzilla)在网络安全领域并不常见,可能不是指特定工具。这里我假设您想了解的是网络工具中的两个术语: 1....
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值