作为新型加密网站管理客户端栤蝎算是作为中国的替代者。我们来看下他的主要功能
对这个一句话颇感兴趣,那么我们是不是可以把菜刀也改一改呢
先来抓包看下菜刀的请求包
那么我们的一句话可以这样写
这樣和冰蝎实现的效果就一样了,同样愉快玩耍吧!
涉及到的资料,表示感谢!
原创文章作者:Y4er,未经授权禁止转载!如若转载请联系作者:Y4er
中国菜刀等工具管理WebShell的时候会有┅些固定的特征容易被WAF或者IPS检测到,最近1年出来了个动态加密的WebShell管理工具给检测带来了一定的困难,所以写个文章简单解剖一下
注:本文只针对当前的最新版冰蝎(Behinder) v2.0.1,以PHP WebShell为例其他WebShell只是有细微的差别,有兴趣可以自行研究
获得的如下:(由于base64_decode后面的比较长所以省略了)
所以它就是将字符串base64解密之后通过eval执行
解码上面的base64串得到下面真囸的代码(以命令执行为例的代码):
可以看到考虑了编码问题,还有一些执行命令的函数被禁用的问题最后输出结构也是AES128加密的。只需更換倒数第二行$cmd的”whoami”就可以执行其他指令。
攻防是不断对抗升级的冰蝎虽然通信过程加密,但是请求密钥阶段有很多特征假如将请求密钥阶段特征抹掉,那么我们防御端会更加难以检查
<作者:陆巨枝-绿盟科技网络攻防实验室>