Webshell篇&魔改冰蝎&打乱特征指纹&新增加密协议&过后门查杀&过流量识别

最新推荐文章于 2025-08-03 22:59:32 发布
最新推荐文章于 2025-08-03 22:59:32 发布
阅读量337 收藏 1
点赞数 4
CC 4.0 BY-SA版权
文章标签: linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/2302_80396242/article/details/148674011

实战场景:

某X60全家桶下的Web环境,Webshell植入后的渗透测试对抗情况。

准备:

1环境准备-单机系统&杀毒产品&流量产品

2反编译打包环境-IDEA安装&反编译工具

引出问题:

1、webshell工具里面的后门代码不被杀毒检测到-混淆

2webshell工具里面的功能操作不被杀毒拦截到-魔改

3webshell工具里面的操作连接不被平台捕获到-魔改

通过对冰蝎的数据包分析:

1请求数据包头的两个强特征

2已知数据的提交内容加密算法

流量平台设备可以分析数据包的两个强特征

提交数据进行默认算法解密去分析是否为冰蝎攻击连接

解决1:绕过识别(魔改打乱特征,新增加密算法)

解决2:绕过查杀(魔改打乱特征,新增加密算法)

#魔改冰蝎-JAR反编译打包构建

1、反编译Jar

https://www.decompiler.com/

IDEA反编译:

java -cp IDEA_HOME/plugins/java-decompiler/lib/java-decompiler.jar  org.jetbrains.java.decompiler.main.decompiler.ConsoleDecompiler -dgs=true <src.jar> <dest dir>

2、新建lib,添加源码

lib存放工具项目,添加反编译源码

3、新建项目,配置构建

设置项目SDK,添加依赖,添加工件主类

#魔改冰蝎-防识别-打乱特征指纹

1标题版权修改:

Constants.java

2指纹特征修改:

ShellService.java

accpet字段

User-agent字段

Content-type字段

#魔改冰蝎-防查杀-新增加密协议

1后门本地传输协议

如何写加解密:chatgpt

例子:https://xz.aliyun.com/t/12453

新建-填入-保存-分享-导入项目-构建编译

2后门远程传输协议

其他语言如何写加解密:chatgpt

红队攻防渗透技术实战流程:红队目标上线之免杀对抗-Webshell&冰蝎&打乱特征指纹&新增加密协议&后门查杀&流量识别
HACKONE的博客
05-27 338
1、webshell工具里面的后门代码不被杀毒检测到-混淆。2、webshell工具里面的功能操作不被杀毒拦截到-。3、webshell工具里面的操作连接不被平台捕获到-。1、环境部署-JAR反编译&打包构建-项目即成功。2、冰蝎-防识别-打乱特征指纹-使用即变异。3、冰蝎-防查杀-新增加密协议-生成即免杀。解决1:绕过识别打乱特征新增加密算法)2、反编译打包环境-IDEA安装&反编译工具。新建-填入-保存-分享-导入项目-构建编译。冰蝎-防识别-打乱特征指纹
红队攻防渗透技术实战流程:红队目标上线之免杀对抗-Webshell&静态查杀&行为拦截&流量监控&代码混淆&内存加载&工具
HACKONE的博客
05-27 600
上面的实验代表了webshell查杀的几个特征:表面代码只能解决代码表面的查杀操作行为哥斯拉执行命令无提示antsword执行命分有提示哥斯拉执行命令无提示但是执行net user 有提示antsword执行命分有提示工具指纹源码(指纹打乱,调用逻辑(行为绕过))对抗:流量产品 和 杀毒产品换冷内工具(自己写的工具)让产品没来得及集成这个工具的检测导致绕过(特征库)
快速应急响应
qq_59350385的博客
01-06 1295
5、冰蝎3.0的AES密钥为连接密码32位md5值的前16位,应急时先获取到webshell的文件,通过提取文件中的key(也就是该密钥为连接密码32位md5值的前16位)作为我们AES的解密密钥,解密后能直接看到执行的命令。这段代码基本是所有WebShell客户端链接PHP类WebShell都有的一种代码,但是有的客户端会将这段编码或者加密,而蚁剑是明文,所以较好发现,同时蚁剑也有eval这种明显的特征。3、冰蝎中,任何请求,最终都会调用Utils.getData函数,对请求的参数加密。
Webshell冰蝎】(入门)
夜风的博客
02-20 636
关注公众号夜风Sec,回复CTF获取资源,不定时分享各种视频和资料。 解决1:绕过识别( 打乱特征, 新增加密算法 ) 解决2:绕过查杀( 打乱特征, 新增加密算法 )① 在线网址: https://www.decompiler.com/② 等反编译分析工具③ IDEA自带的插件: 创建工程 添加模块依赖 添加工件 修代码,打包包 新增加密协议 参考的加密算法:https://xz.aliyun.com/t/12453 生成全新的冰蝎目录 -> 方便打开 server目录来源
流量加密怎么办?主流webshell管理工具流量解密分析【附解密脚本】
C20220511的博客
07-19 2402
本文基于冰蝎Behinder_v3.0.11和哥斯拉v4.00-godzilla,对它们的加解密方式进行识别和分析【附简易解密脚本】,希望能在行动中助大家一臂之力。
冰歇webshell初探
qq_69775412的博客
04-22 5684
木马样本: &lt;?php class C{ public function __invoke($p) { eval($p.""); } }; session_start(); isset($_GET['pass'])?print $_SESSION['k']=substr(md5(uniqid(rand())),16):($b=explode('|',openssl_decrypt(file_get_contents("php://input"), "AES128", $_SESSIO
weevely的webshell分析以及冰蝎/蚁剑免杀-PHP版
yggcwhat
05-02 2472
weevely的webshell分析以及冰蝎/蚁剑免杀-PHP版
0x145 Webshell&冰蝎&打乱特征指纹&新增加密协议&后门查杀&流量识别
m0_74048540的博客
02-25 1105
本文探讨了恶意工具冰蝎和哥斯拉流量特征过程。首先,通过抓包分析流量特征,修请求头和请求体以打乱特征,增加加密算法以规避检测。冰蝎涉及反编译数据包,分析流量特征及添加新加解密协议。相似地,哥斯拉的过程同样包括反编译和修代码,以绕过hash校验并抓取流量特征。最终,针对生成的shell进行加密处理以增强隐蔽性,探讨了更为复杂的混淆技巧,为网络安全领域的技术研究提供了借鉴。
Webshell&哥斯拉&打乱特征指纹&新增后门混淆&过云查杀&流量识别
2302_80396242的博客
06-16 417
某X60全家桶下的Web环境,Webshell植入后的渗透测试对抗情况。、webshell工具里面的后门代码不被杀毒检测到-混淆。、webshell工具里面的功能操作不被杀毒拦截到-。、webshell工具里面的操作连接不被平台捕获到-。解决1:绕过识别打乱特征新增加密算法)解决2:绕过查杀(打乱特征新增加密算法)设置项目SDK,添加依赖,添加工件主类。哥斯拉-JAR反编译打包构建。哥斯拉-防识别-打乱特征指纹哥斯拉-防查杀-新增后门插件。、已知数据的提交内容加密算法。
0x144:Webshell&静态查杀&行为拦截&流量监控&代码混淆&内存加载&工具
m0_74048540的博客
02-21 701
文章主要介绍了 WebShell 免杀相关内容。WebShell 存在表面代码查杀、敏感操作行为监测及工具指纹识别等问题,可通过、换冷门工具等对抗流量和杀毒产品。静态查杀通过文件实时监控、沙箱模拟运行及匹配软件特征实现;行为拦截即动态行为查杀,监控文件运行时敏感函数调用等;流量监控则分析异常 HTTP 头、心跳包特征等。文章是对免杀的初步认识,后续会更新详细内容。
实战shell免杀&C2远控&工具(免杀日记 - 上
guanjian_ci的博客
06-05 7954
1、上面实验内容并不多,但是工具的使用、环境的安装、代码的排错够新手玩上几天了。2、绕过杀毒软件的本质就是防止被杀毒库匹配,代码、工具指纹等等!3、一个好的免杀,一定具备了多方面的性能:防杀软、绕过流量平台、防沙箱、防逆向调试后依然能够正常运行上线!4、此文章分上 、 中 、下,未完待续... ...
Petalinux 23.2 构建过程中常见下载错误及解决方法总结
最新发布
qq_45956475的博客
08-03 423
Petalinux 23.2 构建过程中常见下载错误及解决方法总结
Linux 设备驱动程序(3)- 字符驱动(1)
qq_49477505的博客
08-02 1087
本文介绍了Linux字符设备驱动的开发流程,重点讲解了设备编号管理、核心数据结构及注册方法。字符设备驱动用于管理以字节流方式读写的设备,如串口、键盘等。开发时需处理主次设备号分配、file_operations结构定义、file/inode结构使用等关键环节。文章详细说明了静态/动态分配设备号的方法,以及通过cdev结构注册驱动的步骤(初始化、添加、创建节点等)。最后强调驱动卸载时要反向释放资源,包括删除设备文件、注销cdev结构等。整个流程体现了字符设备驱动如何在内核中建立设备编号与操作方法的关联机制。
Linux中查看文件夹的大小
easydvlp的博客
07-30 323
Linux中查看文件夹的大小
linux2.6 和 unix-v6 源码实验
is0815的博客
08-03 518
你可以通过实现 Linux 2.6.x 的源码级图形调试,能看到源码、变量、寄存器,非常适合研究内核启动过程。同理,可以编译 unix-v6 (https://github.com/mit-pdos/xv6-public.git)以下是使用xv6‑public(xv6 的 x86 版本)在 Ubuntu/Linux 上安装、编译、运行、调试的详细中文指南。如果你想使用 RISC‑V 版本(xv6‑riscv),后续内容里也有说明。面向 Intel x86 架构,使用 ELF 格式。
Linux9 root密码修
xy021111的博客
08-01 246
linux行即quiet后面输入rd.break ctrl+x进入内核。
记录Linux下ping外网失败的问题
qing22222222的博客
07-30 687
在我的系统中配置了两个网络接口,一个网口(eth3)接的网线,能访问外部网络;可以看到确实存在两个默认路由(有两个default),而192.168.1.1走的是内网(连接了ipc摄像头),所以可能就是因为在ping外网时使用了内网网关导致ping失败。(路由的作用就是用来实现不同子网之间的通信,192.168.1.1所在路由只是连接了ipc摄像头所以不能访问其他网络,可以删除)(因为该路由只是用于连接ipc摄像机,不需要用来访问外网,所以可以删除),删除后再尝试ping外网,这次能ping通了。
linux如何将两份hdmi edid合并
wang93IT的博客
07-31 779
本文介绍了三种合并HDMI EDID文件的方法,重点采用&quot;保留EDID1基本信息+合并EDID1和EDID2时序&quot;的策略。方法1使用Python实现EDID合并,包括读取文件、提取基本信息、合并去重时序、计算校验和等步骤。方法2通过Shell脚本实现,利用dd、xxd等命令行工具进行二进制操作。方法3提供C语言实现方案,适合嵌入式等高性能场景。文章详细分析了合并逻辑,指出EDID2相同时序会覆盖EDID1,并提供了验证合并结果的方法。三种方案各具特点,用户可根据需求选择合适的方法。
冰蝎4.1使用教程
03-10
&lt;think&gt;好的,我现在要处理用户关于查找冰蝎4.1使用教程的请求。首先,我需要确认用户提到的&ldquo;冰蝎4.1&rdquo;具体指的是什么。冰蝎通常指的是一款网络安全工具,主要用于渗透测试,作为Webshell管理工具。用户可能想要了解如何安装、配置和使用这个工具,尤其是在版本4.1中的新功能或进部分。 接下来,我需要检查内部是否有相关的文档或教程。根据系统记录,可能存在关于冰蝎的基本使用方法和配置步骤的参考资料,比如设置服务端、生成客户端连接脚本等。但需要注意的是,这类工具通常用于安全测试,用户可能是在合法授权下使用,但必须提醒遵守法律法规,避免用于非法入侵。 然后,考虑用户可能的深层需求。用户可能希望了解冰蝎4.1的具体操作步骤,比如如何生成payload、如何连接被控主机、有哪些新特性等。此外,用户可能遇到常见问题,如连接失败、功能异常等,需要提供解决方案。 在回答时,需要遵循系统级指令,使用正确的中文和LaTeX格式。例如,当提到数学表达式或技术参数时,使用$...$包裹。同时,生成相关问题需要考虑用户可能进一步询问的优化方法、安全配置或与其他工具的比较。 最后,确保回答结构清晰,分步骤说明,并添加引用标识。需要强调合法使用,并在必要时建议参考官方文档或社区资源,避免提供可能被滥用的详细信息。&lt;/think&gt;关于冰蝎4.1(Ice Scorpion 4.1)的使用方法,目前公开的技术文档显示该工具主要用于渗透测试的Webshell连接管理[^1]。以下为基本使用步骤框架: 1. **环境配置** - 需Java运行环境:$$ JRE \geq 1.8.0 $$ - 客户端与服务端采用动态密钥协商机制,建议在隔离测试环境中部署 2. **核心功能调用** ```python # 示例连接配置代码片段(伪代码) conn = WebshellClient( protocol=&quot;$AES-256-GCM$&quot;, dynamic_key=True, payload_type=&quot;jsp&quot; ) ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值