冰蝎各版本工具分析与魔改思路

这篇具有很好参考价值的文章主要介绍了冰蝎各版本工具分析与魔改思路。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

0x00 V2版本

1. 项目

github项目:https://github.com/rebeyond/Behinder/releases/
V2 源码:https://github.com/hktalent/afterLoader

2. 流量分析

执行流程图:
ctf 冰蝎,Web安全,网络安全,黑客技术,网络,网络安全,安全

  1. 首次连接一句话服务端时,客户端首先向服务器端发起GET请求,只有一个参数,格式为?pass=123形式,服务器端随机产生一个128位的密钥,把密钥回显给客户端,同时把密钥写进服务器侧的Session中
    ctf 冰蝎,Web安全,网络安全,黑客技术,网络,网络安全,安全

  2. 客户端获取密钥后,后面的请求都为POST请求,对本地的二进制payload先进行AES加密然后base64编码,再通过POST请求发送至服务器端。正常的网站接口或者页面中,一般是响应的html代码或者json,冰蝎2响应的数据则为经过AES加密的二进制数据,所以Content-Type均为 : application/octet-stream
    ctf 冰蝎,Web安全,网络安全,黑客技术,网络,网络安全,安全

3. 特点

  1. 服务器端动态解析二进制class文件
  2. 客户端已编译类的参数化:使用ASM框架来动态修改class文件中的属性值,动态生成经过参数化的payload class

4. 流量特征

  1. GET请求的 HTTP 响应包中Content-Length字段的值是固定的16,同时URI只有一个参数,key-value型参数
  2. 默认的 Accept 字段较为特殊 text/html, image/gif, image/jpeg, ; q=.2, /*; q=.2
  3. UserAgent字段内置了十余种比较老的User Agent,每次连接shell会随机选择一个进行使用
  4. JSP类型的webshell,POST请求体数据均为base64编码,Content-Type为application/octet-stream,响应体数据均为二进制文件
  5. 执行JSP webshell,一般较短的命令Content-Length都是9068

0x01 V3版本

1. 项目

github项目:https://github.com/rebeyond/Behinder/releases/
V3 源码:https://github.com/MountCloud/BehinderClientSource

2. 流量分析

冰蝎3和2相比,最重要的变化就是去除动态密钥协商机制,采用预共享密钥,全程无明文交互,密钥格式为md5(“admin”)[0:16],其余的都差不多
这里还要提到一点,当客户端第一次调用ShellService�#doConnect�方法连接webshell失败,会调用Utils#getKeyAndCookie�方法发送Get请求连接协商秘钥,猜测作者可能是为了兼容2版本的webshell,也算是一个特征点
ctf 冰蝎,Web安全,网络安全,黑客技术,网络,网络安全,安全

ctf 冰蝎,Web安全,网络安全,黑客技术,网络,网络安全,安全

3. 特点

  1. 去除动态密钥协商机制

4. 流量特征

  1. 流量特征其实也V2版本类似,同样内置了十余种比较老的User Agent,POST请求体数据均为base64编码
  2. 存在GET请求,同时URI只有一个key-value类型参数

0x02 V4版本

1. 项目

github项目:https://github.com/rebeyond/Behinder/releases/
V4 源码:https://github.com/MountCloud/BehinderClientSource

2. 流量分析

ctf 冰蝎,Web安全,网络安全,黑客技术,网络,网络安全,安全

  1. 本地选择加密算法,生成服务端Webshell,加密算法对Payload进行加密,然后数据通过POST请求发送给远程服务端
    ctf 冰蝎,Web安全,网络安全,黑客技术,网络,网络安全,安全
    ctf 冰蝎,Web安全,网络安全,黑客技术,网络,网络安全,安全

  2. 服务端收到Payload密文后,利用解密算法进行解密

  3. 服务端执行解密后的Payload,并获取执行结果

  4. 服务端对Payload执行结果进行加密,然后返回给本地客户端

  5. 客户端收到响应密文后,利用解密算法解密,得到响应内容明文

3. 特点

  1. 允许自定义加密解密协议

4. 流量特征

  1. 采用默认aes加密协议情况下流量特征与V2、V3类似

0x03 安全设备检测原理图

某盟UTS:
ctf 冰蝎,Web安全,网络安全,黑客技术,网络,网络安全,安全

0x04 魔改思路

针对不同安全产商设备的检测原理,整理了以下几种魔改思路:

  1. 加密解密算法,除了默认的AES,可以使用DES、3DES、TDEA、Blowfish、Twofish、RC2、RC4、RC5、IDEA、SKIPJACK等对称加密算法
  2. 去除base64编码特征,请求体和响应体数据随机产生不定长度的额外字节数组
  3. 去除请求头User-Agent、Accept、Referer、Content-type等特征
  4. 请求包以json格式参数,响应体数据返回json格式或者html格式,数据可以拆散隐藏在html标签中
  5. 修改请求协议,使用HEAD协议,长度较小的paylaod放到header执行,Shell返回404,响应数据通过ceye类似接口进行中转/服务器可访问的目录图片中转
  6. 客户端不定时发送不定长度的垃圾数据
  7. 基于sessionID生成密钥、payload参数名、分隔符等
  8. 使用Java底层函数绕OpenRASP
  9. webshell免杀

网络安全学习路线&学习资源

【----帮助网安学习,以下所有学习资料免费领!】

① 网安学习成长路径思维导图
② 60+网安经典常用工具包
③ 100+SRC漏洞分析报告
④ 150+网安攻防实战技术电子书
⑤ 最权威CISSP 认证考试指南+题库
⑥ 超1800页CTF实战技巧手册
⑦ 最新网安大厂面试题合集(含答案)
⑧ APP客户端安全检测指南(安卓+IOS)
ctf 冰蝎,Web安全,网络安全,黑客技术,网络,网络安全,安全

下面给大家总结了一套适用于网安零基础的学习路线,应届生和转行人员都适用,学完保底6k!就算你底子差,如果能趁着网安良好的发展势头不断学习,日后跳槽大厂、拿到百万年薪也不是不可能!

【点击这里,先领资料再阅读哦~】

初级网工

1、网络安全理论知识(2天)

①了解行业相关背景,前景,确定发展方向。
②学习网络安全相关法律法规。
③网络安全运营的概念。
④等保简介、等保规定、流程和规范。(非常重要)

2、渗透测试基础(一周)

①渗透测试的流程、分类、标准
②信息收集技术:主动/被动信息搜集、Nmap工具、Google Hacking
③漏洞扫描、漏洞利用、原理,利用方法、工具(MSF)、绕过IDS和反病毒侦察
④主机攻防演练:MS17-010、MS08-067、MS10-046、MS12-20等

3、操作系统基础(一周)

①Windows系统常见功能和命令
②Kali Linux系统常见功能和命令
③操作系统安全(系统入侵排查/系统加固基础)

4、计算机网络基础(一周)

①计算机网络基础、协议和架构
②网络通信原理、OSI模型、数据转发流程
③常见协议解析(HTTP、TCP/IP、ARP等)
④网络攻击技术与网络安全防御技术
⑤Web漏洞原理与防御:主动/被动攻击、DDOS攻击、CVE漏洞复现

5、数据库基础操作(2天)

①数据库基础
②SQL语言基础
③数据库安全加固

6、Web渗透(1周)

①HTML、CSS和JavaScript简介
②OWASP Top10
③Web漏洞扫描工具
④Web渗透工具:Nmap、BurpSuite、SQLMap、其他(菜刀、漏扫等)

ctf 冰蝎,Web安全,网络安全,黑客技术,网络,网络安全,安全

恭喜你,如果学到这里,你基本可以从事一份网络安全相关的工作,比如渗透测试、Web 渗透、安全服务、安全分析等岗位;如果等保模块学的好,还可以从事等保工程师。薪资区间6k-15k

到此为止,大概1个月的时间。你已经成为了一名“脚本小子”。那么你还想往下探索吗?

【“脚本小子”成长进阶资源领取】

7、脚本编程(初级/中级/高级)

在网络安全领域。是否具备编程能力是“脚本小子”和真正黑客的本质区别。在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。在分秒必争的CTF竞赛中,想要高效地使用自制的脚本工具来实现各种目的,更是需要拥有编程能力.

零基础入门,建议选择脚本语言Python/PHP/Go/Java中的一种,对常用库进行编程学习; 搭建开发环境和选择IDE,PHP环境推荐Wamp和XAMPP, IDE强烈推荐Sublime; ·Python编程学习,学习内容包含:语法、正则、文件、 网络、多线程等常用库,推荐《Python核心编程》,不要看完; ·用Python编写漏洞的exp,然后写一个简单的网络爬虫; ·PHP基本语法学习并书写一个简单的博客系统; 熟悉MVC架构,并试着学习一个PHP框架或者Python框架 (可选); ·了解Bootstrap的布局或者CSS。

8、超级网工

这部分内容对零基础的同学来说还比较遥远,就不展开细说了,贴一个大概的路线。感兴趣的童鞋可以研究一下,不懂得地方可以【点这里】加我耗油,跟我学习交流一下。

ctf 冰蝎,Web安全,网络安全,黑客技术,网络,网络安全,安全

网络安全学习路线&学习资源

ctf 冰蝎,Web安全,网络安全,黑客技术,网络,网络安全,安全

扫描下方卡片可获取最新的网络安全资料合集(包括200本电子书、标准题库、CTF赛前资料、常用工具、知识脑图等)助力大家提升进阶!

ctf 冰蝎,Web安全,网络安全,黑客技术,网络,网络安全,安全

结语

网络安全产业就像一个江湖,各色人等聚集。相对于欧美国家基础扎实(懂加密、会防护、能挖洞、擅工程)的众多名门正派,我国的人才更多的属于旁门左道(很多白帽子可能会不服气),因此在未来的人才培养和建设上,需要调整结构,鼓励更多的人去做“正向”的、结合“业务”与“数据”、“自动化”的“体系、建设”,才能解人才之渴,真正的为社会全面互联网化提供安全保障。

特别声明:

此教程为纯技术分享!本书的目的决不是为那些怀有不良动机的人提供及技术支持!也不承担因为技术被滥用所产生的连带责任!本书的目的在于最大限度地唤醒大家对网络安全的重视,并采取相应的安全措施,从而减少由网络安全而带来的经济损失!!!文章来源地址https://www.toymoban.com/news/detail-759381.html

到了这里,关于冰蝎各版本工具分析与魔改思路的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • Shell管理工具流量分析-上(菜刀、蚁剑、冰蝎2.0流量分析)&入侵检测、应急响应资料整理

    本文将会从攻防的角度分析常用 webshell 管理工具(菜刀、蚁剑、冰蝎2.0,冰蝎3.0、哥斯拉将在下篇介绍)的流量特点,后半部分会整理一些有关 webshell 入侵检测和应急响应的文章 先从最简单的开始吧,菜刀也算是比较早的 webshell 管理工具了,加密方式比较简单,这里分析

    2024年02月02日
    浏览(40)
  • 网络安全ctf比赛/学习资源整理,解题工具、比赛时间、解题思路、实战靶场、学习路线,推荐收藏!...

       对于想学习或者参加CTF比赛的朋友来说,CTF工具、练习靶场必不可少,今天给大家分享自己收藏的CTF资源,希望能对各位有所帮助。 CTF在线工具 首先给大家推荐我自己常用的3个CTF在线工具网站,内容齐全,收藏备用。 1、CTF在线工具箱:http://ctf.ssleye.com/    包含CTF比赛

    2023年04月24日
    浏览(87)
  • 网络梯度为None、参数不更新解决思路(又名“魔改代码的报应”)

    RuntimeError: Expected to have finished reduction in the prior iteration before starting a new one. This error indicates that your module has parameters that were not used in producing loss. You can enable unused parameter detection by (1) passing the keyword argument find_unused_parameters=True to torch.nn.parallel.DistributedDataParallel; (2) making sure a

    2024年02月11日
    浏览(69)
  • [JAVA安全webshell]冰蝎jsp木马分析

    只是分享一下对冰蝎webshell分析的一个学习过程,冰蝎webshell使用了加载字节码的方式执行恶意代码。 首先打开webshell 这么一行实在不好看,先把他分行吧。 分完行之后,就很清晰明了了。 导入了三个依赖,一个是标准库,两个估计用于加密。 然后定义了一个类U,继承自

    2024年02月09日
    浏览(40)
  • Web安全-Behinder(冰蝎)Webshell管理工具使用

    点击页面右侧\\\"releases\\\",进入工具的版本下载页面。 在个人终端安装JDK1.8环境的情况下,下载zip压缩包后打开Behinder.jar即可 类别 运行环境要求 客户端 jre8+ 服务端 .net 2.0+;php 5.3-7.4;java 6+ 冰蝎(behinder)是一款动态二进制加密网站管理客户端。也叫做webshell管理工具,第一代w

    2024年02月13日
    浏览(44)
  • 网络安全工具冰蝎(behinder)3.0使用教程

    目录 下载工具 上传文件 连接 rebeyond/Behinder: “冰蝎”动态二进制加密网站管理客户端 (github.com) 将server中的文件上传    我的是java所以选择shell.jsp 输入我们上传的地址,之后密码填写rebeyond

    2024年02月13日
    浏览(43)
  • 菜刀、蚁剑以及冰蝎三款Webshell管理工具简介

    今天继续给大家介绍渗透测试相关知识,本文主要内容是菜刀、蚁剑以及冰蝎三款Webshell管理工具简介。 免责声明: 本文所介绍的内容仅做学习交流使用,严禁利用文中技术进行非法行为,否则造成一切严重后果自负! 再次强调:严禁对未授权设备进行渗透测试! 当前,在

    2024年02月06日
    浏览(49)
  • webshell管理工具-冰蝎(Behinder)的安装和基础使用(msf联动,流量特征)

    冰蝎是一款基于Java开发的动态加密通信流量的新型Webshell客户端,由于通信流量被加密,传统的WAF、IDS 设备 难以 检测,给威胁狩猎带来较大挑战。冰蝎其最大特点就是对交互流量进行对称加密,且加密密钥是由随机数函数动态生成,因此该客户端的流量几乎无法检测。 gi

    2024年02月02日
    浏览(50)
  • CTF-[Web] MD5解题思路

    写在前面:最近练习了一些CTF中关于md5绕过的题目,总结了几种思路,本质没有太大变化,就是各种组合绕过,也是比较考察基础的,前段时间太摆烂了,好久没有更新了,革命尚未成功,同志仍需努力!!!   md5是一种信息摘要算法(目标是用于证明原文的 完整性 ),其

    2024年02月13日
    浏览(44)
  • CTFShow web1-7——CTF秀WEB模块解题思路

    CTFShow WEB模块详细通关教程, 受篇幅所限, 通关教程分为上下两部分, 第一部分为1-7关, 第二部分为8-14关, 本篇博客为1-7关的通关教程, 从解题思路和原理剖析两个方面进行讲解 这一关的重点在于注释, 由于开发人员的疏忽, 忘记删除注释中的敏感数据, 右键检查网页源码即可拿到

    2024年02月09日
    浏览(37)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包