冰蝎 4.0 加密的代码

最新推荐文章于 2025-04-12 22:34:54 发布
最新推荐文章于 2025-04-12 22:34:54 发布
阅读量2.1k 收藏 2
点赞数 2
CC 4.0 BY-SA版权
分类专栏: 网络安全 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/I_like_ctrl/article/details/126823768

前几天写完了蚁剑,今天就研究下冰蝎吧,

冰蝎最主要的是可以流量加密,由于其密钥是可随机变化而无法深度了解特征

在最新的冰蝎 4.0 中,有多种加密方式,比如 异或 ,基于 Base64 的异或,在要么就是经典的 AES 加密等等共有 6 种加密方式,不同的加密方式其服务端的文件也是不一样的的

从冰蝎 3.0 开始,开始了密钥预共享制度,也就是在 WebShell 发过去的时候,密钥就提前发了过去,避免了在传输密钥的时候检测到了流量特征

这六种加密方式在 WireShark 种都是加密状态,在这里就选一种来说明吧

就用 aes_with_magic 来说明吧

我们可以先看看服务端的文件

<?php
@error_reporting(0);
	    function Decrypt($data)
    {
   
        $key="e45e329feb5d925b"; //该密钥为连接密码32位md5值的�?16位,默认连接密码rebeyond
        $magicNum=hexdec(substr($key,0,2))%16; //取magic tail长度
        $data=substr($data,0,strlen($data)-$magicNum); //截掉magic tail
        return openssl_decrypt(base64_decode($data), "AES-128-ECB", $key,OPENSSL_PKCS1_PADDING);
    }
	$post=Decrypt(file_get_contents("php://input"));
    eval($post);
?>

开发者在注释上说的很明白了,所以我就不再描述了

我们看看客户端都发送了什么

让我们利用 WireShark 抓包

难道我们就没有办法看源代码了吗?

不要着急,冰蝎提供了加解密模块,就让我们利用这个加解密模块

然后我们经过代码格式化,就得到了一下代码内容

<?php 
@error_reporting(0);
function getSafeStr($str) {
   
    $s1 = iconv('utf-8', 'gbk//IGNORE', $str);
    $s0 = iconv('gbk', 'utf-8//IGNORE', $s1);
    if ($s0 == $str) {
   
        return $s0;
    } else {
   
        return iconv('gbk','u tf-8//IGNORE', $str);
    }
}
function main</
最低0.47元/天 解锁文章
冰蝎4.0流量解密
热爱学习,喜欢折腾!
08-16 3125
在2022.7.25 v4.0 更新Behinder_v4.0,增加了诸多功能。本文以PHP为例4.0提供了三种方式异或、异或Base64、AES三种方式。总体来说4.0的流量解密和3.0的流量解密差不多。
冰蝎逆向初探
悦分享
08-04 1177
其实理解冰蝎整个编写思路并不难,里面的功能(获取服务器基本信息,执行系统命令,文件管理,数据库管理,反弹meterpreter,执行自定义代码等)大致的过程都比较类似。
Behinder-Source:Shell经理Behinder的源代码冰蝎源码,反编译,当前版本3.0 Beta6,支持内存马注入
03-23
关于 感谢原作者的技术分享和实践 ,当前反编译版本为Beta6 声明 本项目预测学习,请勿用于非法用途! 测试环境 Win10 + JDK1.8 + IDEA java内存马:tomcat7-9,websphere 12.2.1.3.0,wildfly17、21,websphere 20.0.0.12 Liberty 更新 解决连接weblogic时,返回包开头有两个换行,导致一系列问题 添加多种java环境下(tomcat,weblogic,wildfly,websphere),多种内存马(冰蝎,reGeorg)的支持 添加shell生成菜单 网站文件zip压缩功能(jsp,php,aspx) 启用修改文件可行性功能(jsp,php,aspx) 添加.Net环境下aspx内存马的支持 添加壳引入导出功能 php下绕过open_basedir,代码直接用哥斯拉的 感谢
32_behinder(冰蝎)
qq_45301512的博客
02-04 2929
有时候这个jd-gui工具无法打开文件,我们可以放一些其它的文件,例如我随便找的一个ArcTest.class文件,只要打开这个,agent.class也可以查看。防检测功能未生效,这里可能是软件功能没制作好,或者可能是只能防止部分软件检测,而恰好findshell不能防。或者停止服务器,再使用jps命令,对比发现少了哪个PID,快速判断目标JVM的PID。点击注入内存马之后,注入类型选择agent,路径点击默认的,然后修改文件名。保存之后,点击上方的生成服务端,会自动弹出shell.jsp存放的文件夹。
一文详解动态加密通信流量的新型Webshell客户端—冰蝎Behinder的使用教程!
资深程序员,曾自学JAVA,C#,如今从业于网安行业
04-09 743
无论用哪种语言,同一个名称的传输协议,本地和远程的加解密逻辑应该是一致的,这样才能实现本地加密后,远程可以成功解密,远程加密后,本地同样也可以解密(因此如果修改默认的aes协议的key,则需要同时修改本地和远程的加密函数和加密函数中的key)冰蝎与webshell建立连接的同时,javaw也与目的主机建立tcp连接,每次连接使用本地端口在49700左右(就是比较大的端口),每连接一次,每建立一次新的连接,端口就依次增加。功能,让用户对流量的加密和解密进行自定义,实现流量加解密协议的去中心化。
记一次流量分析&代码分析-冰蝎
pingan233的博客
02-22 6130
冰蝎流程图如下:冰蝎是先请求服务端,服务端判断请求之后生成一个128位的随机数,并将这个128位的随机数写入到session里面,并将这个128位的随机数返回给客户端,但是客户端并不会使用这个key作为之后的通讯的key,而是会继续重复上面过程,不断获取key,直到满足特定条件之后,才会确定是最终的key。客户端会保存这个key和响应报文里面的set-cookie的值。这个key就是之后客户端和服务端进行通讯的密匙。检测请求方式:Request.method= GET。
冰蝎源码分析
糖小喵
06-23 3514
冰蝎的原理为上传一个class字节码,通过调用classloader的defineClass方法,将class字节码,转换为Class。实例化上传的这个类,通过equal方法传递PageContext。 反编译Behinder.jar包,其核心代码在net.rebeyond.behinder包内 core包 冰蝎的主要逻辑代码。 Crypt.java和Decrypt.java 涉及到server端语言的加密解密 Params.java 调用不同语言的payload,返回其字节序列 如果攻击者
冰蝎4.0流量分析及魔改
2301_77157449的博客
05-11 1349
冰蝎v4.0开放了传输协议的自定义功能,使得流量魔改更为简单方便,本文以jsp脚本类型为例,提供一些冰蝎4流量魔改的方式冰蝎4内置了如下几种传输协议,传输协议可以理解为流量的加密方式 以default_xor传输协议为例,这种传输协议是对原始数据进行了异或加密 效果如下: 我们来去掉加密解密函数的相关代码 如果不用任何加解密函数,request body其实传输的是java 字节码 响应体其实也是明文的固定格式的json类型 {"msg":"执行结果base64编码","status":"c3Vj
冰蝎4.0特征分析及流量检测思路
顶峰
02-18 2621
冰蝎是一款基于Java开发的动态加密通信流量的新型Webshell客户端。老牌Webshell管理神器——中国菜刀的攻击流量特征明显,容易被各类安全设备检测,实际场景中越来越少使用,加密Webshell 正变得日趋流行。由于通信流量被加密,传统的 WAF、IDS设备难以检测,给威胁狩猎带来较大挑战。冰蝎其最大特点就是对交互流量进行对称加密,且加密密钥是由随机数函数动态生成,因此该客户端的流量几乎无法检测。
冰蝎4.0流量特征强特征
最新发布
05-22
#### 一、冰蝎4.0的主要传输协议及其加密方式 冰蝎4.0支持多种传输协议,这些协议定义了其通信过程中使用的加密方法。主要的传输协议包括 `default_xor`(默认异或加密)、`xor_base64`(异或后再进行Base64编码)...
冰蝎Bhinder下载安装包
09-26
冰蝎(Bhinder)动态二进制加密网站管理客户端。基于JAVA,需要安装jre,可以跨平台使用。主要功能为:基本信息、命令执行、虚拟终端、文件管理、Socks代理、反弹shell、数据库管理、自定义代码等。
冰蝎PHP码流量还原
hibari_18的博客
12-03 1497
0x01前言 之前打3ctf的时候看见了一道冰蝎流量还原的misc,之后觉得还挺有意思的,毕竟之前网站被种过马 ,弄出来之后搞个工具结合全流量设备或者wireshark的包来还原攻击者到底做了哪些动作,故有了此文。 0x02环境准备 phpstudy(注意在php环境中要开一下php_openssl,默认好像是没开的) 冰蝎v2.0 0x03过程 首先贴一下一般用的冰蝎的PHP码: <?ph...
精简&明文免杀冰蝎php一句话.php
10-30
php一句话免杀绕过安全狗、D盾等WAF防护软件 可以轻松绕过 waf 的检测
python与机械结合_python - 将RASA与Python和Flask结合使用的聊天机器人 - 堆栈内存溢出...
weixin_39737947的博客
11-26 232
我正在尝试使用RASA学习和创建聊天机器人,该聊天机器人必须将cmdline的输入传递给显示为Flask API的Python数据帧,并获取响应。所有零碎的部分都可以正常工作,但是当我缝合在一起时,无法将输入参数从RASA cmdline传递给Pandas。这是到目前为止我所做的总体摘要:创建了一个熊猫数据框,并将其公开为Flask API。能够手动点击它并在浏览器中查看输出。将Flask API...
过d盾 jsp webshell+冰蝎免杀马探讨
goddemon
07-19 3060
jsp免杀马的思路其实一般最常用的就是反射和类加载问题+反转问题就能bypasswebshell的查杀了当然现在的有些厂商直接强标识这种就要el去绕咯。
使用cyberchef解密冰蝎流量
weixin_54381197的博客
04-12 729
双击operations就是添加,再双击recipe中的模块就是删除。所以用cyberchef肯定是先base64再aes解密。现在到wireshark中把冰蝎的流量复制下。默认密钥:e45e329feb5d925b。默认IV:0123456789abcdef。冰蝎流量是先aes128再base64的。打开cyberchef在线网站。搜索From Base64。粘贴上去,自动解密了。
冰蝎默认加密的流量解密
weixin_50985113的博客
10-19 1508
冰蝎流量解密
记一次解密wireshark抓取的冰蝎通信流量
m0_74131821的博客
04-21 1980
由于通信流量被加密,传统的WAF、IDS 设备难以检测,给威胁狩猎带来较大挑战
红队大杀器 Behinder_v4.0(冰蝎4.0)
热门推荐
zip471642048的博客
07-25 1万+
httpshttpshttpshttpshttpshttpshttpshttpshttpshttpshttpshttpshttpshttpshttps。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值