easyshell流量分析(冰蝎马+明文攻击)

原创 已于 2025-06-10 11:25:34 修改 · 363 阅读 · 6 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络

于 2025-06-10 11:22:55 首次发布

文件下载:
通过网盘分享的文件:easyshell.pcap
链接: https://pan.baidu.com/s/1zsGS-Pp148DoKonzx_z2fQ?pwd=csdn 提取码: csdn
追踪shell.php的http流
image-20250610094238899

image-20250610094549645

符合冰蝎码马的流量特征:

Accept: application/json, text/javascript, */*; q=0.01
Content-type: Application/x-www-form-urlencoded
Connection: Keep-Alive
...

冰蝎马使用AES加密,默认秘钥为e45e329feb5d925b,即md5(‘rebeyond’)的前16位。

image-20250610100339608

先base64,再AES解密,AES的CBC模式iv不能空缺,此处不需要偏移,因此全填0即可。

从后往前解密:

image-20250610100654668

image-20250610100838410

找到有效信息:

image-20250610101124381

上文分析:

image-20250610104329053

路径解码:

image-20250610104352070

响应包分析:

image-20250610105123239

找到zip文件,包含secret1.txt和secret2.txt:

image-20250610105210664

另存为zip到本地:

image-20250610105258183

已知secret2.txt内容:

Hello, but what you're looking for isn't me.

image-20250610105424782

采用相同压缩方法将secret2.txt压缩:

image-20250610110458181

使用已知明文攻击:

image-20250610110521140

攻击成功:

image-20250610111511130

口令:A8s123/+*:

image-20250610111555806

参考:http://www.amanctf.com/writeup/detail/id/1339.html

Stack0verf1ow
关注
冰蝎4.0流量解密
热爱学习,喜欢折腾!
08-16 3342
在2022.7.25 v4.0 更新Behinder_v4.0,增加了诸多功能。本文以PHP为例4.0提供了三种方式异或、异或Base64、AES三种方式。总体来说4.0的流量解密和3.0的流量解密差不多。
冰蝎流量分析
飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘
04-13 787
每次Content-Length 较大,还都编码。每次Content-Length 较大,还都编码。
使用cyberchef解密冰蝎流量
weixin_54381197的博客
04-12 2124
双击operations就是添加,再双击recipe中的模块就是删除。所以用cyberchef肯定是先base64再aes解密。现在到wireshark中把冰蝎的流量复制下。默认密钥:e45e329feb5d925b。默认IV:0123456789abcdef。冰蝎流量是先aes128再base64的。打开cyberchef在线网站。搜索From Base64。粘贴上去,自动解密了。
记一次解密wireshark抓取的冰蝎通信流量
m0_74131821的博客
04-21 2168
由于通信流量被加密,传统的WAF、IDS 设备难以检测,给威胁狩猎带来较大挑战
网站控制工具:冰蝎3.0使用体验
jklbnm12的博客
04-25 3785
这篇文章比较基础,主要面向新手,技术含量较低主要为操作流程。 0x01. 冰蝎是什么 利用动态二进制加密实现新型一句话木的客户端 , 相对于菜刀和蚁剑他的数据是加密传输的 1.1 下载 github地址: https://github.com/rebeyond/Behinder/releases 下载后的文件 server文件中放的是各种语言的webshell,如下图: Behinder_v3.0_Beta6_win.jar是客户端 , 双击就能打开 , 但是要有java环境 , 下图是我的ja
Misc_冰蝎流量分析
He0an39n的博客
06-29 3885
Misc_冰蝎流量分析
冰蝎流量特征分析
weixin_54381197的博客
04-22 429
这里给它解密下玩玩吧(怎么解密你就读你的木文件就可以了)测试的冰蝎版本,天狐渗透工具箱社区版1.2——冰蝎4.1。如果单从http包的角度,我们发现ua头好像是没变的。第二这referer我也不知道什么鬼情况。强特征:请求体和响应体为纯base64状。现在打开wireshark开抓包。现在给它执行个命令,我们抓另类的包。现在生成个php木,选个AES。再看请求体,纯base64体。先在再看当前流的第二个包。也是全base64体的。现在尝试连接,选自定义。再试着抓文件管理的包。
最新冰蝎,哥斯拉,蚁剑,菜刀流量特征分析与检测指南
ai0070411的博客
03-17 2595
近年来,冰蝎(Behinder)、哥斯拉(Godzilla)、蚁剑(AntSword)、菜刀(ChinaChopper)等工具仍是攻防对抗中的高频武器。本文基于最新样本(截至2024年8月),深度剖析其流量特征,并提供实战检测方法。:攻防对抗持续升级,建议结合流量特征与主机日志进行联动分析。:检测规则库与样本下载。
精简&明文免杀冰蝎php一句话.php
10-30
php一句话免杀绕过安全狗、D盾等WAF防护软件 可以轻松绕过 waf 的检测
webshell管理工具的流量特征分析(菜刀、蚁剑、冰蝎、哥斯拉)
Bossfrank的博客
05-05 3847
本文介绍了菜刀、蚁剑、冰蝎、哥斯拉四种常见的webshell管理工具的流量特征。从攻防演练和安全岗位面试的角度阐述了这些远控工具的检测方法。
冰蝎shell_红蓝对抗——加密Webshell“冰蝎”攻防
weixin_39631649的博客
12-21 1134
演练中,第一代webshell管理工具“菜刀”的攻击流量特征明显,容易被安全设备检测到,攻击方越来越少使用,加密webshell正变得越来越流行,由于流量加密,传统的WAF、WebIDS设备难以检测,给威胁监控带来较大挑战。这其中最出名就是“冰蝎”,“冰蝎”是一款动态二进制加密网站管理客户端,演练中给防守方造成很大困扰,本文将对“冰蝎”的加密原理、流量特征、检测方案进行探讨。0x01 “冰蝎”介绍...
网络安全 | Misc】明文攻击 ACTF2020
等风来
01-04 4541
该题考察明文攻击。._none.zip不可解压,而在none.zip中存在一个压缩包与一张图片:故该题考察图片隐写,使用010打开图片看到末尾flag.txt说明该图片被修改,其源文件为zip,zip文件头为:50 4B 03 04
冰蝎3.0流量包简单分析
道阻且长 行则将至
03-08 2345
思路 工具编写思路 配合系统tshark将冰蝎的POST流量进行导出, 对shell文件进行url解码和base解码,得到aes的key密钥 再使用key对数据进行解密,值得关注的是数据转换的格式很有趣,转为utf-8则乱码 现阶段困难点 由于无法过滤出原始的数据流导致无法最终服务器回显的数据 本来是想写成自动化的,有时间的话后期应该会完善
冰蝎4.0 webshell 流量分析
2401_84578953的博客
09-27 2120
冰蝎是一款基于 Java 开发的动态加密通信流量的新型 Webshell 客户端。老牌 Webshell 管理神器 —— 中国菜刀的攻击流量特征明显,容易被各类安全设备检测,实际场景中越来越少使用,加密 Webshell 正变得日趋流行。由于通信流量被加密,传统的 WAF、IDS 设备难以检测,给威胁狩猎带来较大挑战。冰蝎其最大特点就是对交互流量进行对称加密,且加密密钥是由随机数函数动态生成,因此该客户端的流量几乎无法检测。
冰蝎流量分析
weixin_48776804的博客
05-27 2904
冰蝎流量分析
冰蝎4.0特征分析及流量检测思路
A_991128a的博客
08-07 1414
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
流量分析-冰蝎
mrx56的博客
08-09 1146
01冰蝎全版本UA和默认的Accept字段q=.2, */*;q=.2;content-type为application/octet-stream;keep-live长连接;同一种加解密算法post请求包与返回包开头都会有一部分相同字符(由其请求与返回的内容决定的,如请求的原始数据开头都是error_reporting(0);导致同一种加密方式请求开头都是一样的)冰蝎2get请求返回包内容是随机数的MD5值前16位(密钥)冰蝎4每次与webshell连接时都是大端口,并且端口数字会递增;
记一次对“冰蝎”一句话木流量的分析
蚁景网安学院
11-18 2172
预备知识“冰蝎”php一句话木分析“冰蝎”是什么?它是一款动态二进制加密网站管理客户端,它可以在HTTP明文协议中建立加密隧道,可以用于躲避传统的WAF、IDS等设备的检测。项目地址:...
冰蝎3 冰蝎2 behinder流量分析 流量解密
ShenZ的博客
08-30 3758
好多没找全,明天再找吧 冰蝎3 AES密钥为连接密码32位md5值的前16位,默认连接密码rebeyond。 webshell: php <?php @error_reporting(0); session_start(); $key="e45e329feb5d925b"; //该密钥为连接密码32位md5值的前16位,默认连接密码rebeyond $_SESSION['k']=$key; $post=file_get_contents("php://input"); if(!exten
冰蝎内存流量特征
最新发布
04-28
### 冰蝎内存网络流量特征及其检测与防御 #### 1. 加密通信机制 冰蝎内存的核心特点是采用AES对称加密技术进行数据传输,且加密密钥由随机数函数动态生成[^1]。这意味着每次会话使用的密钥都不同,从而增加了...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值