0 1、 冰蝎4.0介绍
冰蝎是一款基于Java开发的动态加密通信流量的新型Webshell客户端。老牌Webshell管理神器——中国菜刀的攻击流量特征明显,容易被各类安全设备检测,实际场景中越来越少使用,加密
Webshell 正变得日趋流行。
由于通信流量被加密,传统的 WAF、IDS
设备难以检测,给威胁狩猎带来较大挑战。冰蝎其最大特点就是对交互流量进行对称加密,且加密密钥是由随机数函数动态生成,因此该客户端的流量几乎无法检测。
1、新版本
修复问题:
1.修复了在zimbra环境下的兼容性问题;2.修复了在exchange环境下的兼容性问题;3.修复了Linux环境下打开文件失败的问题;4.修复了命令执行中输入反斜杠导致后续无法输入新命令的问题;5.修复了列目录时目录跳动的问题;6.修复JDK18+执行命令乱码的问题;7.修复内网穿透模块的几个影响隧道稳定性的几个问题;8.修复了代码编辑框的复制粘贴问题;9.其他一些优化。
新增功能:
1.新增支持多线程超大文件上传、下载;2.新增文件打包压缩;3.新增数据库连接配置可保存;4.取消硬编码通信协议,传输协议完全自定义,并支持即时在线校验测试。5.新增平行世界模块,可对目标内网资产进行管理;6.新增主机扫描、端口扫描、服务识别模块;7.新增支持Java9~java15+版本Agent内存马一键注入;8.新增支持Java
Agent无文件落地注入内存马;9.新增多层网络子Shell穿透模块,实现多层”蝎中蝎”;10.新增离线模式,自动缓存数据,如shell丢失,可离线查看已缓存内容;11.开放插件开发模块,可开发自定义插件,内置多款插件;12.支持二进制服务端,服务端不再依赖web。
2、工具通信原理
冰蝎的通信过程可以分为两个阶段:密钥协商和加密传输
第一阶段-密钥协商
1.攻击者通过 GET 或者 POST 方法,形如 http://127.0.0.1/shell.aspx?pass=645的请求服务器密钥;
2.服务器使用随机数 MD5 的高16位作为密钥,存储到会话的 $_SESSION 变量中,并返回密钥给攻击者。
第二阶段-加密传输
1)客户端把待执行命令作为输入,利用 AES 算法或 XOR 运算进行加密,并发送至服务端;
2)服务端接受密文后进行 AES 或 XOR 运算解密,执行相应的命令;
3)执行结果通过AES加密后返回给攻击者。
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
