冰蝎WebShell免杀生成

最新推荐文章于 2025-05-16 08:30:00 发布
最新推荐文章于 2025-05-16 08:30:00 发布
阅读量784 收藏 2
点赞数 8
CC 4.0 BY-SA版权
分类专栏: 【信息安全】 文章标签: 免杀木马 webshell 渗透测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Fly_hps/article/details/139388749

项目介绍

ByPassBehinder / 冰蝎WebShell免杀生成
文件:ByPassBehinder.exe
MD5 HASH:04caea5648786157fb65dd51d2bc061e

工具使用

使用者无需关心免杀实现,只需要在Windows x64位系统运行即可,命令行输入:ByPassBehinder.exe

目前支持格式为常见WebShell全版本格式:ASP,ASP.NET,PHP,JSP,JSPX,输入对应的编号即可生成,默认密码为Tas9er

免杀测试

腾讯电脑管家:

【扫描信息】扫描用时:00:00:06扫描类型:指定位置杀毒扫描引擎:管家云查杀引擎 管家系统反病毒引擎 管家系统修复引擎 Bitdefender本地查杀引擎 扫描状态:扫描完成
【扫描结果】扫描文件数:5发现风险数:0已处理风险数:0

360杀毒软件:

360杀毒扫描日志扫描用时:00:00:01扫描类型:右键扫描扫描文件总数:5项目总数:0清除项目数:0
扫描选项扫描所有文件:否
扫描压缩包:否发现病毒处理方式:由用户选择处理扫描磁盘引导区:是扫描 Rootkit:否使用云查杀引擎:是使用QVM人工智能引擎:是扫描建议修复项:是常规引擎设置:扫描内容C:\Users\Administrator\Desktop\Demo
白名单设置扫描结果
未发现威胁文件

360安全卫士:

360木马查杀扫描日志扫描类型: 自定义扫描扫描引擎:
360云查杀引擎(本地木马库)  
360启发式引擎  
QEX脚本查杀引擎 QVM Ⅱ人工智能引擎 鲲鹏引擎  扫描文件数: 5系统关键位置文件: 0系统内存运行模块: 0压缩包文件: 0安全的文件数: 5发现安全威胁: 0已处理安全威胁: 0​
扫描选项扫描后自动关机: 否扫描模式: 速度最快管理员:是
扫描内容C:\Users\Administrator\Desktop\Demo\
扫描结果未发现安全威胁

Virustotal

ASP:

ASPX:

PHP:

JSP:

JSPX:

后门可用性

ASP:

ASPX:

PHP:

JSP:

JSPX:

免责声明

本开源工具是由作者按照开源许可证发布的,仅供个人学习和研究使用。作者不对您使用该工具所产生的任何后果负任何法律责任

下载地址

点击下方名片进入公众号

回复关键字【240603】获取下载链接

冰蝎Java WebShell生成 -- ByPassBehinder4J​
lza20001103的博客
09-04 1341
冰蝎Java WebShell生成 – ByPassBehinder4J​ 文章目录冰蝎Java WebShell生成 -- ByPassBehinder4J​0x01 工具介绍0x02 安装与使用 项目地址:https://github.com/Tas9er/ByPassBehinder4J 0x01 工具介绍 冰蝎Java WebShell自动化生成。 0x02 安装与使用 某天,接到一个任务,要求对某医院的信息系统做一次安全检测,看能否发现问题。 1、使用者无需关心实现,只需要本地安装
冰蝎加密 WebShell
悦分享
08-03 2637
演练中,第一代webshell管理工具“菜刀”的攻击流量特征明显,容易被安全设备检测到,攻击方越来越少使用,加密webshell 正变得越来越流行,由于流量加密,传统的WAF、WebIDS设备难以检测,给威胁监控带来较大挑战。这其中最出名就是“冰蝎”,“冰蝎”是一款动态二进制加密网站管理客户端,演练中给防守方造成很大困扰,本文将对“冰蝎”的加密原理、流量特征、检测方案进行探讨。"冰蝎"客户端基于JAVA,所以可以跨平台使用,最新版本为v3.0 bate,兼容性较之前的版本有较大提升。...
精简&明文冰蝎php一句话.php
10-30
php一句话绕过安全狗、D盾等WAF防护软件 可以轻松绕过 waf 的检测
冰蝎webshell(技巧)
hackzkaq的博客
05-06 2442
零基础学黑客,搜索公众号:白帽子左一 前段时间退出了内网的学习,现在开始复习web方面的漏洞了,于是乎,开始了挖洞之旅,当我像往常一样上传冰蝎的webhsell时,发现冰蝎的马子居然被了…于是便有了该文章… 先说一下目前的情况: D盾,河马等都零警报, vt全绿, 阿里云webshell安全, 百度webshell安全, 其他等等… 目前仅测试了这些…其他的自行测试。 文章开始: 首先看一下冰蝎的原版马子: <?php @error_reporting(0); session_star
WebShell,通过 Sharp4AppdShell.aspx 绕过服务端 WAF 的监测和拦截
最新发布
ahhacker86的专栏
05-16 264
在现代网络攻防对抗中,WebShell 依旧是渗透测试过程中常用的持久化控制手段之一。而面对日益严苛的软检测机制和流量分析系统,传统的 WebShell 已越来越容易被检测拦截。从服务端的任务管理器进程里可以看到winver.exe已经成功启动,对于传统规则基软,比如基于关键字、行为特征,该 WebShell 难以被检测。部署后,用户只需通过浏览器或 HTTP 客户端请求带参数的 URL 即可远程执行系统命令。,结构简洁、易于部署,同时具备一定的能力。,并将标准输出返回到浏览器页面。
冰蝎php马静态
qq_61807674的博客
04-02 1541
其实还有小马哥的腾讯哈勃,但是那个不支持上传webshell,上传压缩包虽然行,但是如果压缩一遍了连冰蝎原马都查不出来,就当图一乐了,就不放出来了.....大部分云沙箱和在线查我都基本试过了,基本除了安恒云沙箱都能稳过(ah一生之敌),因为我的测试环境是php7.3往上了,没法用assert拼接执行,估计是检测到了eval执行字符串代码,所以静态检测没过,太丢脸就不放截图啦,师傅们可以按着自己的想法改改试试()但是也正常,只是做了基础的静态而已,其实处理还是不够到位的,心态要端正,很不错了!
.NET 一款支持冰蝎WebShell
ahhacker86的专栏
10-02 364
Sharp4BypassBehinder是一款冰蝎服务端WebShell,具有很强的隐蔽性,可以绕过常见的安全检测和拦截机制。设计上采用HTML和JavaScript的组合,模仿正常的.NET文件结构,利用代码中的注释、Unicode编码以及一些不可见字符来实现绕过。
PHP webshell 方法
qq_60256199的博客
07-15 3407
本文介绍php类webshell简单的方法,总结不一定全面,仅供读者参考。webshell通常可分为一句话木马,小马,大马,内存马。一句话木马是最简单也是最常见的webshell形式,这种木马体积小,隐蔽较强,相对容易;小马是功能较为简单的Webshell,但比一句话木马稍复杂,可能会包含一个简单的文件管理界面或命令执行功能;
红队攻防渗透技术实战流程:红队目标上线之对抗-Webshell篇&魔改冰蝎&打乱特征指纹&新增加密协议&过后门查&过流量识别
HACKONE的博客
05-27 326
1、webshell工具里面的后门代码不被毒检测到-混淆。2、webshell工具里面的功能操作不被毒拦截到-魔改。3、webshell工具里面的操作连接不被平台捕获到-魔改。1、环境部署-JAR反编译&打包构建-项目即成功。2、魔改冰蝎-防识别-打乱特征指纹-使用即变异。3、魔改冰蝎-防查-新增加密协议-生成。解决1:绕过识别(魔改打乱特征,新增加密算法)2、反编译打包环境-IDEA安装&反编译工具。新建-填入-保存-分享-导入项目-构建编译。魔改冰蝎-防识别-打乱特征指纹。
PHP WebShell
悦分享
08-01 7279
一般的,利用能够执行系统命令、加载代码的函数,或者组合一些普通函数,完成一些高级间谍功能的网站后门的脚本,叫做Webshell。而php做为一门动态语言,其灵活性很高,因此一直以来Webshell的绕过与检测之间不断的产生着化学反应。Webshell绕过的本质其实是针对不同的检测给予不同的绕过方式,因此首先要了解Webshell是如何检测的。...
冰蝎shell_红蓝对抗——加密Webshell冰蝎”攻防
weixin_39631649的博客
12-21 1032
演练中,第一代webshell管理工具“菜刀”的攻击流量特征明显,容易被安全设备检测到,攻击方越来越少使用,加密webshell正变得越来越流行,由于流量加密,传统的WAF、WebIDS设备难以检测,给威胁监控带来较大挑战。这其中最出名就是“冰蝎”,“冰蝎”是一款动态二进制加密网站管理客户端,演练中给防守方造成很大困扰,本文将对“冰蝎”的加密原理、流量特征、检测方案进行探讨。0x01 “冰蝎”介绍...
webshell生成
12-30
本工具,可以直接生成WEBSHELL和提权用的文件。
甲壳虫webshell
04-25
甲壳虫webshell,性能好。稳定性强
华夏webshell
08-13
webshell webshell webshell webshell
webshell:webshell生成工具
04-13
webshell v2.0 仅供学习 请勿用作非法用途 更新了部分规则,现在可以绕过包括但不仅限于D盾、webdir+、河马、安全狗等查工具 项目适配了asp、aspx、php语言 webshell生成工具 知识点:使用注释分隔eval函数内关键字,使用类和构造函数替代引用函数 blog: command:python php_webshell.py 知识点:使用分隔关键字等绕过 blog: 知识点:使用自定义加密绕过软拼接关键字 blog: 知识点:利用函数分隔关键字 更新日志 2021/2/12 由于D盾增加规则 将 if(md5($_GET["pass"])=="df24bfd1325f82ba5fd3d3be2450096e") 作为匹配规则 所以更新专用于D盾的webshell生成器 php_D_webshell.py 只用注释依然可以过D盾 其他生成器不受影响
最新webshell
07-21
webshell 过世界软。带防删功能。提权加强版。
冰蝎利用webshell链接,反弹shell(附webshell和工具)
qq_41132792的博客
09-06 2490
我们这里需要的是java环境,版本的话最好就是安装Java最新的了,Windows也是可以使用的,我这里主要介绍的是Linux上使用,我是基于kali中使用的。我们因为是实验的关系,本地搭建一个网站就好了,Windows的选择phpstudy就好,Linux的百度一下安装下apache即可。然后会弹出我们的图形界面,这里我们就先停一下,将我们的木马传到/var/www/html这个文件夹中,这里我们可以自定义请求头,然后保存即可,保存完我们双击进去。首先我们启动冰蝎,这里我将它放到了我的工具包中,
】-魔改冰蝎(入门)
qq_55349490的博客
06-04 3587
Ps:本人一名网安小菜鸡,初学技术。如果有什么不对的地方,希望各位大佬们能友好指正,也欢迎进行友好交流。不可能每次都取idea里面打开冰蝎,所以我们需要将构建后的jar保存出来方便后续使用。当我们修改好自己想改的后,便可以打包成jar包了。新建-填入-保存-分享-导入项目-构建编译。如果可以利用冰蝎的传输协议解密,那就实锤。冰蝎4的Accept有两个强特征,固定为。是原版冰蝎的根目录。:绕过识别(魔改打乱指纹信息)为此,我们需要解决这两个问题。:绕过查(新增加密算法)是魔改冰蝎项目的根目录,
冰蝎-Webshell管理工具
热门推荐
weixin_66717977的博客
06-30 1万+
冰蝎超详解,新手食用
如何删掉冰蝎的内存马
04-03
<think>好的,我现在需要帮助用户解决如何检测和清除冰蝎WebShell内存马的问题。首先,我需要回顾一下用户提供的引用内容,看看有没有相关的信息可以借鉴。引用[2]提到内存型WebShell的兴起,因为传统的检测方法对文件型WebShell更有效,而内存马则更难检测。引用[4]提到了冰蝎的流量特征,比如特定的请求头,这可能在检测中有用。用户还提到冰蝎的加密和生成,引用[3]显示某些扫描工具可能无法检测到它,所以可能需要其他方法。 接下来,我需要整理检测内存马的常见方法。内存马通常驻留在内存中,不会写入磁盘,所以传统的文件扫描可能无效。根据已有的知识,检测方法可能包括: 1. **进程分析**:检查异常进程,特别是与Web服务器相关的,比如Java的Tomcat或PHP-FPM进程是否有可疑的类或函数。 2. **内存dump分析**:使用工具如gcore或jmap来dump内存,然后搜索恶意代码的特征。 3. **流量监控**:冰蝎有特定的HTTP头,比如Cache-Control: max-age=0,结合Referer字段,可以监控这类流量模式。 4. **日志审计**:分析Web访问日志,寻找异常请求路径或参数,可能发现注入内存马的请求。 5. **行为监控**:检测Web应用是否加载了未授权的类或执行了异常命令。 关于清除方法,可能需要: 1. **重启服务**:最简单的办法是重启Web服务器,因为内存马驻留在内存中,重启会释放内存。但用户可能需要不重启的解决方案。 2. **卸载恶意组件**:找到注入的Servlet或Filter,通过管理接口或程序卸载。 3. **代码修复**:修补漏洞,防止再次注入,比如文件上传漏洞或反序列化漏洞。 4. **使用RASP**:运行时应用自我保护,可以拦截恶意行为。 还需要考虑用户的实际环境,比如是Java还是PHP,不同语言的处理方式不同。引用中提到冰蝎有PHP版本,所以可能需要针对PHP-FPM进行检查,或者检查Java的Web应用。另外,引用[1]提到审计日志的配置问题,比如系统性能影响,所以在检测时要合理配置auditd或其他日志工具,避影响系统性能。 可能用户需要具体的步骤,比如如何检查Java内存马,可以使用jsp工具列出所有Servlet,或者使用arthas工具动态排查。对于流量检测,可以配置WAF规则匹配特定的HTTP头特征。 最后,生成相关问题时要涵盖检测、清除、预防等方面,帮助用户全面了解。</think>### 检测与清除冰蝎WebShell内存马的方法教程 #### 一、检测方法 1. **流量特征分析** 冰蝎内存马通信具有特定流量特征: - 固定请求头:`Cache-Control: max-age=0` 关联 `Referer` 字段[^4] - 加密载荷:HTTP请求体/响应体使用AES加密,表现为高熵随机字节流 - 心跳包特征:周期性请求固定路径(如`/index.jsp`)但无业务参数 2. **内存行为分析** - **Java内存马**:检查Web容器(Tomcat/Jetty)加载的`Filter`、`Servlet`、`Listener`,使用工具如`jmap -histo`或Arthas排查可疑类名(如`BehinderFilter`)[^2] - **PHP内存马**:通过`php-fpm`进程分析内存中是否存在通过`eval()`动态注入的代码段 3. **日志关联检测** - 匹配Web访问日志中的异常路径请求与系统审计日志(auditd)中的`execve`系统调用记录,定位恶意进程PID[^1] - 检查短时间内高频访问同一URL但返回码异常(如200 OK伴随空响应体) 4. **动态沙箱检测** 部署RASP(Runtime Application Self-Protection)监控以下行为: ```java // 检测危险操作 if (method.getName().contains("getRuntime") && stackTrace.contains("BehinderPayload")) { blockRequest(); } ``` #### 二、清除步骤 1. **Java内存马清除** - **强制卸载组件**: ```bash # 使用Tomcat Manager API卸载Filter curl -X POST http://localhost:8080/manager/text/remove?path=/&filter=恶意Filter名 ``` - **内存清理**: 通过`Instrumentation API`重定义恶意类为空实现(需JDK Attach权限) 2. **PHP内存马清除** - 终止`php-fpm`进程并重启: ```bash systemctl kill -9 php-fpm && systemctl restart php-fpm ``` - 清理共享内存段: ```bash ipcs -m | grep www-data | awk '{print $2}' | xargs ipcrm -m ``` 3. **系统级修复** - 修补漏洞:关闭JNDI注入、文件上传等攻击入口[^3] - 添加WAF规则拦截特征流量: ```nginx location / { if ($http_cache_control ~* "max-age=0") { set $block 1; } if ($http_referer !~* "合法域名") { set $block "${block}1"; } if ($block = "11") { return 403; } } ``` #### 三、防御建议 1. 启用Linux auditd监控关键操作: ```bash # 监控execve系统调用 -a always,exit -F arch=b64 -S execve -k webshell_audit ``` 2. 部署EDR/XDR解决方案,实现进程行为与网络流量的关联分析[^2]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

FLy_鹏程万里

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值