冰蝎总结:

已于 2024-04-16 16:18:45 修改
阅读量229 收藏
点赞数 2
分类专栏: 工具 文章标签: 安全
于 2024-04-15 20:13:21 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_62688091/article/details/137793743
版权
冰蝎的通信过程可以分为两个阶段:
密钥协商
加密传输
1. 第一阶段 - 密钥协商
1 )攻击者通过 GET 或者 POST 方法,形如 http://xxxxx/shell.php?pass=645 的请求服务
器密钥;
2 )服务器使用随机数 MD5 的高 16 位作为密钥,存储到会话的 $_SESSION 变量中,并返回密钥给
攻击者。
2. 第二阶段 - 加密传输
1 )客户端把待执行命令作为输入,利用 AES 算法或 XOR 运算进行加密,并发送至服务端;
2 )服务端接受密文后进行 AES XOR 运算解密,执行相应的命令;
3 )执行结果通过 AES 加密后返回给攻击者。
冰蝎重要的一点是流量特征(如果是做网络安全会问到):
Accept 字段
Content-Type
User-agent
端口
PHP webshell 中存在固定代码
长连接
固定的请求头和响应头
连接密码
感思
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
冰蝎,从入门到魔改(续)1
08-03
总结冰蝎Webshell的魔改涉及多个层面,包括但不限于密钥交换、HTTP头信息、请求模式以及Java代码的逻辑调整。为了提高免杀能力,攻击者需要不断适应和改变这些特征,以避开安全检测系统的监控。同时,随着防御...
冰蝎4.0特征分析及流量检测思路
A_991128a的博客
08-07 916
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
攻防演练的Webshell利器——冰蝎V4分析
Karka_的博客
08-02 776
最近攻防演练期间,Webshell工具界再次祭出大杀器“
流量加密怎么办?主流webshell管理工具流量解密分析【附解密脚本】
C20220511的博客
07-19 2118
本文基于冰蝎Behinder_v3.0.11和哥斯拉v4.00-godzilla,对它们的加解密方式进行识别和分析【附简易解密脚本】,希望能在行动中助大家一臂之力。
WAF攻防-菜刀&冰蝎&哥斯拉&流量通讯&特征绕过&检测反制&感知
今天是几号的博客
04-12 1427
使用Proxifier进行流量转发至Burp抓包分析(使用Wireshake也可以)# ==冰蝎3-流量&绕过&特征&检测== **面试必问的,别问我怎么知道的** 冰蝎利用了服务器端的脚本语言加密功能,通讯的过程中, 消息体内容采用 AES 加密,基于特征值检测的安全产品无法查出 ## 特征 密钥使用连接密码的md5结果的前16位 如果对方使用的默认密码rebeyond,那么密钥就是e45e329feb5d925b,那么这也算是一个特征
记一次流量分析&代码分析-冰蝎
pingan233的博客
02-22 3664
冰蝎流程图如下:冰蝎是先请求服务端,服务端判断请求之后生成一个128位的随机数,并将这个128位的随机数写入到session里面,并将这个128位的随机数返回给客户端,但是客户端并不会使用这个key作为之后的通讯的key,而是会继续重复上面过程,不断获取key,直到满足特定条件之后,才会确定是最终的key。客户端会保存这个key和响应报文里面的set-cookie的值。这个key就是之后客户端和服务端进行通讯的密匙。检测请求方式:Request.method= GET。
049-冰蝎,从入门到魔改.pdf
09-20
经过对网上多篇对 "冰蝎" 特征的资料参考,总结出几条特征并将其特征给予修改擦除。以 PHP 版本为例,其他语言版本异曲同工。首当其冲的就是密钥交换时的参数,用 GET 请求方式,默认 webshell 的密码为 pass,并且...
护网面试题总结+安全工程师笔试问题
01-06
18. 工具比较:蚁剑、菜刀、C刀和冰蝎都是Web Shell管理工具,冰蝎具有流量动态加密功能。 19. 正向Shell与反向Shell:正向Shell由攻击者发起连接,反向Shell则由被攻击者连接攻击者。 20. Windows提权:纵向提权...
护网面试题总结+DD安全工程师笔试问题
10-14
以下是对每个问题的详细解释和知识点总结: 1. JNI 函数在 Java 中函数名为 com.didi.security.main,C 中的函数名是什么样的? 知识点:JNI(Java Native Interface)是一种允许Java代码和native代码之间的交互的...
python与机械结合_python - 将RASA与Python和Flask结合使用的聊天机器人 - 堆栈内存溢出...
weixin_39737947的博客
11-26 186
我正在尝试使用RASA学习和创建聊天机器人,该聊天机器人必须将cmdline的输入传递给显示为Flask API的Python数据帧,并获取响应。所有零碎的部分都可以正常工作,但是当我缝合在一起时,无法将输入参数从RASA cmdline传递给Pandas。这是到目前为止我所做的总体摘要:创建了一个熊猫数据框,并将其公开为Flask API。能够手动点击它并在浏览器中查看输出。将Flask API...
冰蝎加密通信特征
buffedon的博客
01-06 2301
冰蝎加密通信特征密钥交换阶段通信阶段通用特征实例 有填充字段 分为密钥交换阶段和加密通信阶段 密钥交换阶段: 返回16位的密钥,是从md5中截取的(md5不区分大小写,解密后内容相同) 加密通信阶段: base64加密,然后再AES 或 XOR 加密 特征 密钥交换阶段 弱特征:url url: \.(php|jsp|asp|jspx|asa)\?(\w){1,10}=\d{2,3}HTTP/1.1 弱特征:responseBody responseBody: 16位的密钥
冰蝎简单使用
00勇士王子的博客
04-29 1万+
冰蝎介绍   Webshell管理工具,动态二进制加密网站客户端。流量动态加密,攻击特征安全设备(WAF、WebIDS)难以检测。   冰蝎通信过程中使用AES(高级加密算法,对称加密,微信小程序使用此种方法)进行加密,Java和.NET默认支持AES,php中需要开启openssl扩展,在V2.0版本后,php环境方式根据服务端支持情况动态选择,使得冰蝎更强大。 常规使用   因为是自己练习,所以直接用phpstudy在本地上传一个shell。   冰蝎安装目录下有官方自带的几个shell 我将shell
冰蝎
世间繁华梦一出
03-04 3380
冰蝎什么是冰蝎冰蝎的特点加密原理通信过程 什么是冰蝎? “冰蝎”是一个动态二进制加密网站管理客户端。在实战中,第一代webshell管理工具"菜刀"的流量特征非常明显,很容易就被安全设备检测到。基于流量加密的webshell变得越来越多,"冰蝎"在此应运而生。 "冰蝎"客户端基于JAVA,所以可以跨平台使用,最新版本为v2.0.1,兼容性较之前的版本有较大提升。主要功能为:基本信息、命令执行、虚拟终端、文件管理、Socks代理、反弹shell、数据库管理、自定义代码等,功能非常强大 冰蝎的特点 流量加密
冰蝎学习
热门推荐
公众号shadow sock7
03-08 1万+
https://xz.aliyun.com/t/2744 原理:将字节码进行编码/加密,在网络上传输,很难有规则可检测出来。 在服务端解密之后,使用java.lang.ClassLoader的defineClass方法还原。 jar包下载:http://www.java2s.com/Code/JarDownload/sun/sun.misc.base64decoder.jar.zip packa...
微软蓝屏事件引发对构建更加稳固和安全的网络环境的思考
最新发布
lupai的博客
07-24 327
综上所述,构建更加稳固和安全的网络环境需要政府、企业和用户共同努力,从政策、技术、用户行为等多个方面入手,形成全方位、多层次的网络安全防护体系。构建更加稳固和安全的网络环境是一个系统工程,需要从多个方面入手,包括政策、技术、用户行为等多个层面。建立完善的应急响应机制,制定应急预案和演练计划,提高应对网络攻击和突发事件的能力。鼓励和支持网络安全技术的研发和创新,推动新技术在网络安全领域的应用和推广。加强对用户的网络安全教育,提高用户的网络安全意识和防范能力。
网络战时代的国家安全:策略、技术和国际合作
2301_79955948的博客
07-24 960
网络战时代的国家安全涉及到策略、技术和国际合作等多个方面。
ForCloud全栈安全体验,一站式云安全托管试用 开启全能高效攻防
亚信安全官方账号的博客
07-19 586
一站式云安全托管限时试用 开启全能高效攻防
防火墙--内容安全
banliyaoguai的博客
07-20 1220
内容安全是指对互联网上的内容进行监测、筛选和管理,以确保用户在浏览、使用互联网内容时的安全和合法性。各个厂商在进行内容安全的检测、分析和处理的过程被称为引擎。下面以华为IAE引擎来对内容安全进行学习ID:区分不同的签名对象:服务器,客户端。一般我们将发起连接的设备角色认定为客户端,响应连接并提供服务的角色认定为服务器。严重性:该行为一旦爆发之后,对我们网络系统的影响程度的评级协议/应用程序:这种攻击所承载的协议或者应用。
冰蝎深度解析:从入门到高级修改
"本文介绍了冰蝎,一个动态二进制加密网站管理客户端,强调了它的功能、加密原理以及通信过程。" 冰蝎是一个专为网络安全专业人士设计的动态二进制加密工具,尤其适用于网站管理。它作为一款跨平台的JAVA客户端应用...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值