1. Toy模板网首页
  2. > Toy博客

webshell管理工具-冰蝎(Behinder)的安装和基础使用(msf联动,流量特征)

9月前 作者:黄乔国PHP|JAVA|安全 分类:Toy博客 阅读(50) 违法举报

这篇具有很好参考价值的文章主要介绍了webshell管理工具-冰蝎(Behinder)的安装和基础使用(msf联动,流量特征)。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

简介

冰蝎是一款基于Java开发的动态加密通信流量的新型Webshell客户端,由于通信流量被加密,传统的WAF、IDS 设备难以检测,给威胁狩猎带来较大挑战。冰蝎其最大特点就是对交互流量进行对称加密,且加密密钥是由随机数函数动态生成,因此该客户端的流量几乎无法检测。
github地址:https://github.com/rebeyond/Behinder/releases
在流量层,冰蝎的aes特征一直是厂商查杀的重点,在主机层,aes相关的API也是一个强特征。既然是特征,那就一定存在一个一成不变的常量,那我们就把这个特征泛化一下,让他成为变量。为了一劳永逸解决这个问题,v4.0版本提供了传输协议自定义功能,让用户对流量的加密和解密进行自定义,实现流量加解密协议的去中心化。v4.0版本不再有连接密码的概念,你的自定义传输协议的算法就是连接密码

安装

先要下载文件:
image.png
然后:
image.png
回车启动:
image.png

使用

生成木马

image.png
然后就会生成:
image.png
将shell.php上传至web目录,然后进行添加:
image.png
image.png
保存后双击即可进入:
image.png

平行空间

image.png
image.png
image.png
image.png

反弹shell

可以和MSF和CS联动
image.png
按照提示,在msf中做好监听:
image.png
image.png
image.png

通信过程

冰蝎的通信过程可以分为两个阶段:

  • 密钥协商
  • 加密传输
  1. 第一阶段-密钥协商
    1)攻击者通过 GET 或者 POST 方法,形如 http://192.168.3.60/shell.php?pass=645 的请求服务器密钥;
    2)服务器使用随机数 MD5 的高16位作为密钥,存储到会话的 $_SESSION 变量中,并返回密钥给攻击者。
  2. 第二阶段-加密传输
    1)客户端把待执行命令作为输入,利用 AES 算法或 XOR 运算进行加密,并发送至服务端;
    2)服务端接受密文后进行 AES 或 XOR 运算解密,执行相应的命令;
    3)执行结果通过AES加密后返回给攻击者。
    image.png
    image.png

加密原理

image.png

1、本地对Payload进行加密,然后通过POST请求发送给远程服务端;
2、服务端收到Payload密文后,利用解密算法进行解密;
3、服务端执行解密后的Payload,并获取执行结果;
4、服务端对Payload执行结果进行加密,然后返回给本地客户端;
5、客户端收到响应密文后,利用解密算法解密,得到响应内容明文。

一个完整的传输协议由两部分组成,本地协议和远程协议。由于客户端使用Java开发,因此本地协议的加解密算法需要用Java实现。远程协议根据服务端语言类型,可能为Java、PHP、C#、ASP。无论用哪种语言,同一个名称的传输协议,本地和远程的加解密逻辑应该是一致的,这样才能实现本地加密后,远程可以成功解密,远程加密后,本地同样也可以解密(因此如果修改默认的aes协议的key,则需要同时修改本地和远程的加密函数和加密函数中的key)
一个传输协议必须包含一对本地加解密函数,至少包含一对远程加解密函数(Java、PHP、C#、ASP中的一个或者多个)如下是传输协议中的本地加解密函数与远程加解密函数:
image.png
image.png
这样就能对应上述的流程!!

流量特征

Accept字段

Accept: application/json, text/javascript, */*; q=0.01

image.png
检测方式:
浏览器可接受任何文件,但最倾向application/json和 text/javascript

Content-Type

Content-type: Application/x-www-form-urlencoded

image.png
检测方式:
可以把这个字段作为一个弱特征,辅助其他特征来检测

User-agent

冰蝎设置了10种User-Agent,每次连接shell时会随机选择一个进行使用。
这个主要是将冰蝎中的10种UA都记录下来然后进行匹配:
image.png

端口

冰蝎与webshell建立连接的同时,javaw也与目的主机建立tcp连接,每次连接使用本地端口在49700左右,每连接一次,每建立一次新的连接,端口就依次增加。
可以对符合该范围内的端口告警。

PHP webshell 中存在固定代码

$post=Decrypt(file_get_contents(“php://input”));
eval($post);

content字段中,将eval($post)作为流量特征纳入。

长连接

冰蝎通讯默认使用长连接,避免了频繁的握手造成的资源开销。默认情况下,请求头和响应头里会带有 Connection。
Connection: Keep-Alive
可以作为辅助的流量特征。

固定的请求头和响应头

请求:
dFAXQV1LORcHRQtLRlwMAhwFTAg/M
image.png
响应:
TxcWR1NNExZAD0ZaAWMIPAZjH1BFBFtHThcJSlUXWEd
image.png

连接密码

默认时,所有冰蝎4.0 webshell都有“e45e329feb5d925b” 一串密钥。该密钥为连接密码32位md5值的前16位,默认连接密码rebeyond
image.png文章来源地址https://www.toymoban.com/news/detail-431800.html

到了这里,关于webshell管理工具-冰蝎(Behinder)的安装和基础使用(msf联动,流量特征)的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

分享到:
领支付宝红包 赞助服务器费用

相关文章

  • webshell管理工具-antSword(蚁剑)的安装和管理

    webshell管理工具-antSword(蚁剑)的安装和管理

    中国蚁剑是一款流行的网络安全工具,它由中国安全研究人员研发,主要用于测试和评估网络的安全性。 蚁剑具有强大的功能,可以用于远程控制和管理服务器,包括文件管理、进程管理、端口扫描、SQL注入、WebShell等功能。它还可以在未授权的情况下访问和操纵目标系统,

    2024年02月16日
    浏览(46)
  • 网络安全工具冰蝎(behinder)3.0使用教程

    网络安全工具冰蝎(behinder)3.0使用教程

    目录 下载工具 上传文件 连接 rebeyond/Behinder: “冰蝎”动态二进制加密网站管理客户端 (github.com) 将server中的文件上传    我的是java所以选择shell.jsp 输入我们上传的地址,之后密码填写rebeyond

    2024年02月13日
    浏览(44)
  • Webshell管理工具

    Webshell管理工具

    Webshell是以ASP、PHP、JSP或者CGl等网页文件形式存在的一种代码执行环境,主要用于网站管理、服务器管理、权限管理等操作。 Webshell使用方法简单,只需上传一个代码文件,通过网址访问,便可进行很多日常操作,极大地方便了使用者对网站和服务器的管理。 正因如此,也有

    2024年02月13日
    浏览(53)
  • 冰蝎(Behinder)下载与安装以及连接测试

    冰蝎(Behinder)下载与安装以及连接测试

    GitHub:GitHub - rebeyond/Behinder: “冰蝎”动态二进制加密网站管理客户端 下载压缩包,解压后双击,点开这个(必须要有java环境否则双击点开不了) 打开解压的冰蝎的安装包,找到后缀名为php的木马包 密码为rebeyond,我将她改名为behinedr.php(不改也可以,我还做有其他实验,为

    2024年02月16日
    浏览(39)
  • 网络安全——Webshell管理工具

    网络安全——Webshell管理工具

    一、什么是Webshell    二、中国菜刀的使用 从靶机(IP:192.168.30.35)的DVWA网站上传文件, 1、菜刀的界面 2、新建一个“一句话木马文件”,名字为phpma.php 3、登录靶机的DVWA网站,调成Low级别,并到File Upload关卡,上传刚刚创建好的phpma.php文件, 注:要把路径记住     3、在菜

    2024年02月02日
    浏览(45)
  • Shell管理工具流量分析-上(菜刀、蚁剑、冰蝎2.0流量分析)&入侵检测、应急响应资料整理

    Shell管理工具流量分析-上(菜刀、蚁剑、冰蝎2.0流量分析)&入侵检测、应急响应资料整理

    本文将会从攻防的角度分析常用 webshell 管理工具(菜刀、蚁剑、冰蝎2.0,冰蝎3.0、哥斯拉将在下篇介绍)的流量特点,后半部分会整理一些有关 webshell 入侵检测和应急响应的文章 先从最简单的开始吧,菜刀也算是比较早的 webshell 管理工具了,加密方式比较简单,这里分析

    2024年02月02日
    浏览(43)
  • Web安全-Godzilla(哥斯拉)Webshell管理工具使用

    Web安全-Godzilla(哥斯拉)Webshell管理工具使用

    点击页面右侧\\\"releases\\\",进入工具的版本下载页面。 在个人终端安装JDK1.8环境的情况下,下载jar包后打开即可 Payload类型 运行环境要求 JavaDynamicPayload java1.0及以上 CShapDynamicPayload .net2.0及以上 PhpDynamicPayload 4.3.0及以上 AspDynamicPayload 全版本 哥斯拉由Java语言开发,内置了3种Paylo

    2024年02月13日
    浏览(37)
  • Web安全-AntSword(中国蚁剑)Webshell管理工具使用

    Web安全-AntSword(中国蚁剑)Webshell管理工具使用

    蚂剑工具的下载分为两个部分,一个是项目核心源码antSword,另一个是加载器AntSword-Loader。我们依次进行下载,并且进行说明 先点击进入antSword,点击页面右侧\\\"releases\\\",进入工具的源码下载页面进行源码下载。 而后点击进入AntSword-Loader,点击页面右侧\\\"releases\\\",进入加载器下

    2024年02月12日
    浏览(40)
  • Webshell工具的流量特征分析(菜刀,蚁剑,冰蝎,哥斯拉)

    Webshell工具的流量特征分析(菜刀,蚁剑,冰蝎,哥斯拉)

    使用各种的shell工具获取到目标权限,即可进行数据操作,今天来简要分析一下目前常使用的各类shell管理工具的流量特诊,帮助蓝队同学在风险识别上快速初值 payload特征: PHP: ?php @eval($_POST[\\\'caidao\\\']);? ASP: %eval request(“caidao”)% ASP.NET: %@ Page Language=“Jscript”%%eval(Request.Item[“

    2023年04月24日
    浏览(43)
  • 渗透测试-菜刀冰蝎蚁剑哥斯拉等webshell工具及特征分析

    渗透测试-菜刀冰蝎蚁剑哥斯拉等webshell工具及特征分析

    在测试过程中,我们经常会运到各种webshell管理工具,这里我介绍几种常见的webshell工具给大家。 webshell就是以asp、php、jsp或者cgi等网页文件形式存在的一种代码执行环境,主要用于网站管理、服务器管理、权限管理等操作。使用方法简单,只需上传一个代码文件,通过网址访

    2024年02月16日
    浏览(34)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包