• 冰蝎的原理与安装使用


    冰蝎的原理与安装使用

    1、冰蝎原理

    1.1简介

    冰蝎是一款基于Java开发的动态加密通信流量的新型Webshell客户端,由于通信流量被加密,传统的WAF、IDS 设备难以检测,给威胁狩猎带来较大挑战。冰蝎其最大特点就是对交互流量进行对称加密,且加密密钥是由随机数函数动态生成,因此该客户端的流量几乎无法检测。而老牌的如中国菜刀因为其流量特征太过明显,从而使用的场景越来越少。不过在此还是要致敬前辈的贡献。
    
    • 1

    1.2冰蝎的流量特征

    分析冰蝎的流量特征有助于识别和理解该恶意软件的行为模式,从而提高网络安全防御水平。通过深入了解冰蝎的流量特征,可以识别其传播方式、通信机制和攻击模式,为网络管理员提供有效的检测和防御手段,帮助确保系统和数据的安全。

    1.2.1 Accept字段
    Accept-Language: zh-CN,zh;q=0.9,en-US;q=0.8,en;q=0.7
    
    • 1

    在这里插入图片描述

    1.2.2 Content-Type
    Content-type: Application/x-www-form-urlencoded
    这个也是冰蝎的固定格式,
    
    • 1
    • 2

    在这里插入图片描述

    1.2.3 冰蝎生成的服务端 webshell 中存在固定代码
    $post=Decrypt(file_get_contents(“php://input”));
     eval($post);
    
    • 1
    • 2

    在这里插入图片描述

    1.2.4固定的请求头和响应头
    请求:
    dFAXQV1LORcHRQtLRlwMAhwFTAg/M
    
    响应:
    TxcWR1NNExZAD0ZaAWMIPAZjH1BFBFtHThcJSlUXWEd
    
    • 1
    • 2
    • 3
    • 4
    • 5

    请求头在这里插入图片描述

    响应头在这里插入图片描述

    1.2.5 连接密码

    默认时,所有冰蝎4.0 webshell都有“e45e329feb5d925b” 一串密钥。该密钥为连接密码32位md5值的 前16位,默认连接密码rebeyond

    在这里插入图片描述

    2、冰蝎的使用

    下载地址:链接:https://pan.baidu.com/s/1a0b2ibNtlRtFSeJrvtuN9A?pwd=yyds
    提取码:yyds

    2.1 点击运行

    在这里插入图片描述

    点击Behinder.jar文件即可运行(前提是要有java环境,自行下载安装,这里不赘述)

    在这里插入图片描述

    检查是否有java环境的方法

    cmd输入
    java -version
    
    • 1
    • 2

    在这里插入图片描述

    2.2 生成木马

    在这里插入图片描述

    然后就会生成:

    在这里插入图片描述

    2.3 把木马文件上传到目标中

    这个自行学习,可以通过目标网站访问shell.php文件就是上传成功

    2.4点击新增

    在这里插入图片描述

    在这里插入图片描述

    保存后双击即可进入。

    3、成功连接

    在这里插入图片描述

  • 相关阅读:
    【杨氏矩阵】
    Elasticsearch实战(四):Springboot实现Elasticsearch指标聚合与下钻分析open-API
    ssm小型超市管理系统的设计与实现毕业设计源码011136
    react闪屏问题以及useEffect和useLayoutEffect的对比使用
    [LeetCode解题报告] 2376. 统计特殊整数
    github新手用法详解
    STM32CubeMX教程21 CAN - 双机通信
    java 入门-使用eclipse、javaFX、SceneBuilder进行图形界面开发
    if-else 优化
    遍历执行存放Linux命令的文件,并将命令执行结果保存到一个文本里面
  • 原文地址:https://blog.csdn.net/weixin_59047731/article/details/136634148