Webshell管理⼯具:冰蝎和哥斯拉
⽂章⽬录
简介和安装
简单介绍
  冰蝎是⼀个动态⼆进制加密的Webshell管理⼯具,第⼀代Webshell管理⼯具“菜⼑”的流量特征⾮常明显,很容易被安全设备检测到。于是基于流量加密的Webshell越来越多,冰蝎应运⽽⽣,也取代了菜⼑的地位。
  使⽤Java开发,所以可以跨平台使⽤。主要功能:基本信息、rce、虚拟终端、⽂件管理、Sockets代理、反弹shell、数据库管理、⾃定义代码等。相⽐菜⼑的优点:
1. Java开发,⽀持跨平台运⾏
2. 使⽤加密隧道传输数据,尽可能避免流量被WAF或IDS设备所捕获
weblogic管理页面
3. 更新较为频繁,作者会听取社区的意见修改⼯具
安装和启动
  打开冰蝎软件发布地址,下载2021年4⽉19⽇发布的Behinder_v3.0 Beta 9.zip。
解压后打开⽂件夹,看到四个⽂件。
  配置环境:据说冰蝎只⽀持Jre6-Jre8。
尝试使⽤Java15版本,发现没有反应。使⽤Java1.8运⾏jar⽂件,启动成功。
查看server⽂件夹
  打开冰蝎的server⽬录,看到PHP、ASP、ASPX、JSP等shell⽂件。
  查看shell⽂件的代码,发现都是⼆⼗⾏左右的代码量,默认连接密码都是rebeyond。
代码分析
  安全软件的使⽤某种程度上相当浅显,越来越认识到,安全⼈才对代码⽔平的要求甚⾄⽐程序员的还要⾼。虽然开发是⼀件快乐的事,但还是希望能少掉点头发。
分析shell.php第⼀遍
  使⽤error_reporting()函数对报错进⾏设置,关闭错误报告,就把参数设置为0。使⽤符号@忽略该表达式可能⽣成的报错信息。
  使⽤session_start()函数启动或重⽤会话,成功启动会初始化超级变量$_SESSION。
  把密钥赋值给变量$_session[‘k’],再使⽤session_write_close()函数结束当前session,保留session数据。
  传参⽅式采⽤file_get_contents("php://input"),可以获取请求的原始数据。
(与POST参数⽅式的区别?有⼼情了另开⼀篇⽂章)
  使⽤extension_loaded('openssl')检查openssl扩展是否加载。
如果没有加载openssl,⾸先以变量嵌套⽅式对post数据进⾏base64解密,然后再加密。
如果加载了openssl,直接使⽤openssl_decrype()函数,结合key对post数据进⾏AES解密。
for($i=0;$i<strlen($post);$i++) {
$post[$i] = $post[$i]^$key[$i+1&15];
}
  使⽤explode()函数,⽤ |分隔第⼀次处理后的post参数。
$arr=explode('|',$post);
$func=$arr[0];
$params=$arr[1];
class C{public function __invoke($p) {eval($p."");}}
@call_user_func(new C(),$params);
查看软件源码
  在Github发布地址上下载source.zip和⽂件,使⽤Bandizip解压⽂件,
打开之后发现只有⼀个ReadMe.md⽂档,GZ压缩包还有⼀个pax_global_header⽂件。
看样⼦冰蝎⽬前并没有开源。
  在ReadMe.md⽂档中看到了作者写的⼏篇⽂章,这个有点意思。
“冰蝎”动态⼆进制加密⽹站管理客户端
功能介绍原⽂链接:
《利⽤动态⼆进制加密实现新型⼀句话⽊马之客户端篇》 xz.aliyun/t/2799
⼯作原理原⽂链接:
《利⽤动态⼆进制加密实现新型⼀句话⽊马之Java篇》 xz.aliyun/t/2744
《利⽤动态⼆进制加密实现新型⼀句话⽊马之.NET篇》 xz.aliyun/t/2758
《利⽤动态⼆进制加密实现新型⼀句话⽊马之PHP篇》 xz.aliyun/t/2774
反思
  编程也好,代码审计也好,做安全都离不开。
  不要急。看了⼀下近来半个⽉写的⽂章,与当下的学习路线:
  ⾮紧要耗费五天左右:Python爬⾍和扫描器、内置浏览器漏洞、IP溯源实验。
  紧要:⼦域名和域、MySQL、Redis、Weblogic、Linux权限维持、上线提权3389。SQLMap扫描器、Goby扫描器、Bscan扫描器、Cobalt Strike软件、冰蝎软件等。
  当下学习路线:
1.Owasp top10,理论落地,包括部署和挖掘7*10。
2.追洞,常⽤框架的漏洞复现和利⽤。
  第⼆阶段:内⽹渗透。代码审计,钻研某种编程语⾔,挖0day。
  第三阶段:⼯具开发、重学密码学。逆向分析,⼆进制漏洞……
  短期计划:
⿊盒漏洞XSS、CSRF、SSRF、⽂件上传和webshell免杀、⼦域名信息收集、⽂件下载、SQL注⼊、通⽤型漏洞追踪和利⽤。
建⽴⽬录收集和字典收集的⽅式和流程。整理常⽤的扫描器,可适当分析。
反序列化漏洞的追踪调试、权限提升、越权。
  随便看看(有视频):内⽹主机信息收集、Win域内提权、Win域内横向、后渗透持久化技术。
  周计划:
  ⿊盒2点——XSS、⽂件上传和Webshell免杀、以及提权。部署XSS利⽤环境、冰蝎哥斯拉。漏洞探测、验证、绕过。
  通⽤型框架漏洞——Weblogic和solor的复现、探测、利⽤和提权。

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。