冰蝎shell_冰蝎2和3及哥斯拉Godzilla特征分析

最新推荐文章于 2025-03-17 12:13:58 发布
最新推荐文章于 2025-03-17 12:13:58 发布
阅读量1.8k 收藏 4
点赞数 1
文章标签: 冰蝎shell
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_39975122/article/details/112325016
版权

冰蝎2

冰蝎是一款基于Java开发的动态加密通信流量的新型Webshell客户端。

冰蝎工具通信原理

冰蝎的通信过程可以分为两个阶段:

密钥协商

加密传输

1)第一阶段-密钥协商

a.php

攻击者通过GET方式请求服务器密钥;

GET /hackable/uploads/shell.php?pass=300 HTTP/1.1

372a1bc54b4b4facd1a6c7a5f3e2ec82.png

当我们输入命令操作后,请求方式就会变成POST

POST /hackable/uploads/shell.php HTTP/1.1Content-Type: application/x-www-form-urlencodedCookie: PHPSESSID=lsgi7fb09enqcn3svmti4eqbo7; path=/User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/535.1 (KHTML, like Gecko) Chrome/14.0.835.163 Safari/535.1Cache-Control: no-cachePragma: no-cacheHost: 192.168.0.129:777Accept: text/html, image/gif, image/jpeg, *; q=.2, */*; q=.2Connection: keep-aliveContent-Length: 1112hxx/2GPvW+iHRI+j7FKIjpbHv6JcLQzyNs8uQ1IPDTB2xcS5+oKiaSKujjcZ/uYLEwn6oA8a1YehtGbT9arlXe3LaA0kig9BITcK3iZZKYhjpK0/ziTfTa5CnU3lfrnmCcadnmtgUKyTZDdb93DSqwyGn3cFb7BuIPkdCu6SpLov3+EExlHPbY/+6PiiDIpWGCxzkEIwli6zJiS8fa4fSxYcr/e0viSLVI3eXHAvhcohXLsVbWV5HmZMovp4EHYkcofLdR7fjx+NZbIfBOTZfzbOTOXBRBI2GBEUZG4uzi7s0xeHzUWeKf/n+CjrCs1OgYT893Q5KyRSr9+wn3Gi8JfDYPKCady

b.jsp

先通过GET方法,向服务器请求随机密钥

GET /s.jsp?pass=987 HTTP/1.1User-Agent: Mozilla/5.0 (Windows; U; Windows NT 6.1; ) AppleWebKit/534.12 (KHTML, like Gecko) Maxthon/3.0 Safari/534.12Host: 192.168.0.132:555Accept: text/html, image/gif, image/jpeg, *; q=.2, */*; q=.2Connection: keep-aliveHTTP/1.1 200 OKServer: Apache-Coyote/1.1Set-Cookie: JSESSIONID=D89B13E292E0D8D7CD9433522F293EDB; Path=/; HttpOnlyContent-Type: text/html;charset=ISO-8859-1Content-Length: 16   Date: Wed, 18 Nov 2020 12:32:58 GMT9e39ae1ad6ee9e32  //服务器返回的密钥

同样输入命令后,也和PHP一样,请求方式就变成了POST

POST /s.jsp HTTP/1.1Content-Type: application/octet-streamCookie: JSESSIONID=D89B13E292E0D8D7CD9433522F293EDB; Path=/; HttpOnlyUser-Agent: Mozilla/5.0 (Windows; U; Windows NT 6.1; ) AppleWebKit/534.12 (KHTML, like Gecko) Maxthon/3.0 Safari/534.12Cache-Control: no-cachePragma: no-cacheHost: 192.168.0.132:555Accept: text/html, image/gif, image/jpeg, *; q=.2, */*; q=.2Connection: keep-aliveContent-Length: 855675Zv64K/CymLAnv5UhDhKfJdj58rU1o/0yZ7D0XlJU7MgTbzaA4zrvImnNs1Y1cmNPGAdxaaEaYxvasJSp2sCHk5TPv+fWunDMvZWoBqjcnkHGMYyohZpH1v7OvWcdAZPg7CIL87y9HPc2lydWTiBVspavD0FkRVY7/
最低0.47元/天 解锁文章
哥斯拉Godzilla Shell管理工具使用,马分析,特征分析(4K屏不好用,Webshell
墨痕诉清风的博客
04-18 8143
目录 马分析 正文 总结一下木马的利用逻辑: 总结木马特征: 简单使用方法 一些特性 流量加密 插件模块 数据库管理 内存shell 屏幕截图 虚拟终端 JMeterpreter​ ServletManage​ JarLoader​ JZip​ ByPassOpenBasedir​ BypassDisableFunctions​ 笔记 ShellCodeLoader SafetyKatz lemon BadPotato​ SharpWeb​ Sweet...
观成科技:某修改版哥斯拉Webshell流量分析
GCKJ_0824的博客
06-26 909
这意味着,无论是通过增加请求参数数量来混淆请求,还是通过将响应体内容从HTML格式修改为JSON或JS等其他格式,都可以通过已知的加密特征对其进行识别分析。利用哥斯拉Webshell工具进行的通信,攻击者可以对通信方式进行修改、混淆从而规避传统明文流量设备的检测,但是基于人工智能、流行为特征检测的加密威胁智能检测系统能够检测此类加密通信行为。哥斯拉Webshell还可以通过各种魔改,绕过流量检测设备,近期,观成安全研究团队获取了哥斯拉的某个修改版本,并对其进行了分析研究。图3:响应体对比图,修改版右。
冰蝎、蚁剑、哥斯拉的流量特征
qq_53218512的博客
06-11 5360
webshell管理工具,蚁剑、冰蝎哥斯拉的流量特征
冰蝎、蚁剑哥斯拉
m0_62207482的博客
04-24 1068
它的原理是通过将一个类似于Webshell的脚本注入到Web服务器上,然后在客户端通过HTTP/HTTPS协议与注入的脚本进行通信,从而实现对被攻击端的远程控制。攻击者首先在受害者机器上植入后门,然后将后门与攻击者自己的服务器建立连接,从而可以通过Java Web服务器进行远程控制。哥斯拉是一款基于Go语言开发的网络安全检测平台,具有漏洞扫描、资产管理、协议分析的作用,其特点是速度快、效率高、安全性好。总的来说,虽然冰蝎、蚁剑哥斯拉在远程管理方面都有一定的功能,但它们在具体实现功能上存在明显的差异。
Godzilla 冰蝎的流量特征对比
sinat_29173481的博客
03-17 981
数据,避免明文传输特征数据。Godzilla 主要使用。,其流量更加难以直接检测。如果你想更深入了解如何。冰蝎的核心特点是使用。
流量特征分析——蚁剑、菜刀、冰蝎哥斯拉
热门推荐
Sgirll的博客
07-22 1万+
通过对这三种常见的网络攻击工具流量特征的分析,我们可以更好地了解它们在网络流量中的表现。同时,持续的学习了解新兴攻击工具的流量特征也是保持网络安全的重要一环。哥斯拉的数据包中包含了特定的标记,如"XORHEAD""XORBODY",用于标识该数据包是哥斯拉的控制命令。此外,哥斯拉还使用了一种自定义的二进制协议,在通信中传输各种类型的数据。本文将重点研究菜刀、蚁剑冰蝎这三种常见的网络攻击工具,分析它们在流量中留下的痕迹特征,以便网络管理员安全专家能够更好地识别对抗这些工具所带来的潜在威胁。
java aes加密_冰蝎动态二进制加密WebShell特征分析
weixin_39716971的博客
12-01 512
概述冰蝎一款新型加密网站管理客户端,在实际的渗透测试过程中有非常不错的效果,能绕过目前市场上的大部分WAF、探针设备。本文将通过在虚拟环境中使用冰蝎,通过wireshark抓取冰蝎通信流量,结合平时在授权渗透中使用冰蝎马经验分析并总结特征。版本介绍目前冰蝎已经迭代6个版本下载地址,从最初的v1.0版本到目前最新的版本v2.0.1,其中v1.0版本可以从此处下载到。冰蝎最初的版本对于环境的...
哥斯拉冰蝎、中国蚁剑在护网中流量特征分析,收藏起来当资料吧,24年护网用得上
小司机的奥拓
06-04 1566
包含了应急响应工具、入侵排查、日志分析、权限维持、Windows应急实战、Linux应急实战、Web应急实战。护网中最担心的是木马已经到了服务器,我们的监控软件却没告警,之所以没有告警主要原因就是我们使用的木马进行了各种加密变种,导致了监控软件根本无法解密识别,今天我们就对市面上最常见的三款shell管理工具哥斯拉冰蝎、中国蚁剑的流量进行分析,以确保我们在护网时遇到看不懂。
攻击工具分析:哥斯拉(Godzilla)1
08-03
哥斯拉是由Java语言编写,继承了诸如菜刀、蚁剑、冰蝎等前辈的特性,并在其基础上进行了增强,提供了更多的功能优势。 首先,哥斯拉的一大亮点是其全面的shell支持。它能够绕过市面上大部分静态查杀系统,这意味...
蚁剑冰蝎哥斯拉的流量特征
01-07
### 蚁剑、冰蝎哥斯拉 WebShell 工具的网络通信流量特征 #### 蚁剑 (AntSword) 蚁剑采用静态加密方式处理其WebShell通信,这使得其流量具有一定的可识别性。然而,随着版本更新,蚁剑引入了更复杂的加密机制来...
蚁剑冰蝎哥斯拉的流量特征
最新发布
04-23
对于冰蝎,引用[2]引用[3]都提到冰蝎2.03.0的动态特征。冰蝎2.0的HTTP请求中有固定的Content-Type,如application/octet-stream,而冰蝎3.0则使用更复杂的加密,每次请求会携带不同的Cookie值。同时,冰蝎的流量...
分析冰蝎三流量特征以及请求包
weixin_46299490的博客
09-17 2181
冰蝎流量特征
[Java随笔]冰蝎2.0-jsp马交互部分源码解读及其特征检测
Y4tacker的博客
11-11 3692
文章目录写在前面源码解读Jsp马交互部分源码解读认证流程 写在前面 大概是最近搞内存马有点累了,今晚顺便看看冰蝎部分源码,简简单单写篇博客休息休息,本着怕第一次看这个工具源码,怕直接看最新的容易不理解,就拿了个2.0版本看着玩吧,谁知道也太简单了:同款源码在rebeyond/Behinder 源码解读 反编译jar包后,其核心代码在net.rebeyond.behinder Jsp马交互部分源码解读 直接丢出来源码,挺简单的,首先是一个继承ClassLoader的U类,一看defineClass就知道是加载
实战分析某红队魔改哥斯拉Webshell
include_voidmain的博客
05-31 1万+
声明 以下内容,来自先知社区的ga0weI作者原创,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果损失,均由使用者本人负责,长白山攻防实验室以及文章作者不承担任何责任。 0x01 前言 前两天从某次演习中拿到了一个webshell样本,该webshell通信未产生相关任何告警,因此该样本在免杀以及bypass相关wafids设备上是非常值得学习的。 分析过程中不难发现其实这个就是一个魔改的Godzilla,其魔改的思路比较出奇,并且其免杀做的很到位。 为什么说这个webshell是魔改的哥斯
蚁剑、冰蝎哥斯拉流量特征分析
yggcwhat
08-19 873
冰蝎4.0就变了、是自定义传输协议的、因为传输的内容含有key:vule 这样的json字符串、所以如果是默认key的情况下(默认时,所有冰蝎4.0 webshell都有“e45e329feb5d925b” 一串密钥。冰蝎3.0变了、变成固定秘钥了、变成默认的秘钥rebeyond了、但是也可以改的、并且秘钥是拿MD5(rebeyond)的MD5值的前16位作为AES的秘钥进行加密再base64传输、特征的话就是每次请求都是不同的Accept、如果发现同一ip多次不同Accept就可能有问题了、
冰蝎、菜刀、蚁剑、哥斯拉流量特征
故事讲予风听
07-18 3468
菜刀,蚁剑,冰蝎哥斯拉
哥斯拉木马解析 + bypass 免杀代码分析+回调webshell
m0_64180167的博客
12-28 4140
这里也是跟着大佬走的这里首先我是去看了看bypass 学习一下然后我们就可以发现对比我这里将混淆什么的都去掉下面是原版的哥斯拉能发现 确实通过特殊的编码对字符串的处理,实现bypass落地的时候确实火绒扫不出来我们将两种放到 阿里云中查看一下可以发现已经被识别到了(肯定是被抓特征了)这里我们首先就开始分析一下哥斯拉的php木马类别是 php xor base64这里是基本的代码查看 这里有些是我自己加上去进行判断的这里给出一下大致流程顺便给出session的解释。
WebShell流量特征检测_哥斯拉
weixin_42230607的博客
09-12 400
80后用菜刀,90后用蚁剑,95后用冰蝎哥斯拉,以phpshell连接为例,本文主要是对这四款经典的webshell管理工具进行流量分析检测。 什么是一句话木马? 1、定义 顾名思义就是执行恶意指令的木马,通过技术手段上传到指定服务器并可以正常访问,将我们需要服务器执行的命令上传并执行 2、特点 短小精悍,功能强大,隐蔽性非常好 3、举例 php一句话木马用php语言编写的,运行在php环境...
Webshell管理工具:冰蝎哥斯拉
soldi_er的博客
04-22 4754
文章目录简介安装简单介绍安装启动查看server文件夹代码分析分析shell.php第一遍查看软件源码反思 简介安装 简单介绍   冰蝎是一个动态二进制加密的Webshell管理工具,第一代Webshell管理工具“菜刀”的流量特征非常明显,很容易被安全设备检测到。于是基于流量加密的Webshell越来越多,冰蝎应运而生,也取代了菜刀的地位。   使用Java开发,所以可以跨平台使用。主要功能:基本信息、rce、虚拟终端、文件管理、Sockets代理、反弹shell、数据库管理、自定义代码等。相比菜
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值