冰蝎webshell 处理

冰蝎webshell 处理更多更好的内容请关注微信公众号 猎洞时刻 一 简介 冰蝎 是一个动态二进制加密网站管理客户端 在实战中 第一代 webshell 管理工具 菜刀 的流量特征非常明显 很容易就被安全设备检测到 基于流量加密的 webshell 变得越来越多 冰蝎 在此应运而生

更多更好的内容请关注微信公众号“猎洞时刻”!!!

一、简介


"冰蝎"是一个动态二进制加密网站管理客户端。在实战中,第一代webshell管理工具"菜刀"的流量特征非常明显,很容易就被安全设备检测到。基于流量加密的webshell变得越来越多,"冰蝎"在此应运而生。
主要功能为:基本信息、命令执行、虚拟终端、文件管理、Socks代理、反弹shell、数据库管理、自定义代码等,功能非常强大。


1.1加密过程
首先客户端以Get形式发起带密码的请求。
服务端产生随机密钥,将密钥写入Session并将密钥返回客户端。
客户端获取密钥后,将payload用AES算法加密,用POST形式发送请求。
服务端收到请求,用Session中的密钥解密请求的Body部分,之后执行Payload,将直接结果返回到客户端。
客户端获取返回结果,显示到UI界面上。


1.2安装地址
冰蝎安装地址:https://github.com/rebeyond/Behinder/releases(此网站包含冰蝎的全部版本)
冰蝎4版本需要较高的java版本,平常的java8打不开,而冰蝎4运行需要javafx库,但是java11以上是移除了javafx库的,因此需要额外安装。
javafx安装地址:JavaFX下载 | JavaFX中文官方网站
如果不想卸载java8更改成更高版本的java,可以装个双版本的java,在最底下会介绍方法。
(冰蝎3可以直接用java8打开,没什么麻烦事,直接用即可)


1.3运行环境
客户端:jre8+
服务端:.net 2.0+; php 5.3-7.4; java 6+
冰蝎4需要java8以上的版本,冰蝎3java8就可以使用,要注意服务端要符合这些要求,否则连接不上。


二、使用方式


2.1生成服务端
在冰蝎3的时候,会自带一个server文件夹,里面存放各种类型的webshell。
而冰蝎4则刚下载不自带server文件夹,需要自己选择一种传输协议然后才能生成server文件夹,server文件夹中存在各种不用协议的webshell文件夹。
以下是冰蝎4生成服务端的过程


server中会存放我们使用的各种传输协议和各种类型的webshell
在冰蝎3中,同样也是如此。


2.2建立连接
打开冰蝎4的server文件夹,里面有各种类型的webshell,选择一个shell,然后放到目标主机上,就可以建立连接。
选一个shell.php放到我们的WWW目录下,然后用冰蝎连接它
(冰蝎3也是这样操作)



双击直接打开连接


2.3修改密码
在冰蝎4中点击传输协议,选择协议名称后便可以修改密码。
修改key的时候,要注意加密函数和解密函数都要修改。


2.4数据库连接
连接上目标之后,在连接字符串中输入数据库的账号密码,即可登录对方数据库
并且在SQL语句中可以直接操作数据库,也可以在左侧的目录中直接操作。


2.5虚拟终端
在可执行文件路径中输入我们想利用的文件的路径,即可使用
默认是cmd.exe,也可以改成powershell.exe


2.6命令执行
在此处可以直接执行命令


2.7文件管理
在此处可以直接对文件进行操作,甚至进行删除,下载和上传等等


2.8拓展功能
在此处可以安装各种插件


2.10平行空间
在平行空间内可以进行内网资产发现和扫描
(平行空间是用冰蝎4打开的,我的冰蝎4有许多毛病,很多功能缺失无法正常使用,还正在研究,所以只写了这些基础功能)


三、JAVA双版本


想要同时使用冰蝎3和冰蝎4,需要不同版本的java环境,这时候就可以装一个双版本java
而我使用的是java8和java15


这个CLASSPATH的变量值,直接复制就行,不用修改。
这个JAVA_HOME是重点,完成后直接修改变量值面的那个 “8”,可以修改成自己所拥有的更高版本的java,如11,15,16等更高的版本,在这里我的是JAVA15

3.2系统变量的path修改
点击进入path


3.3注意问题
3.3.1版本“没”改变问题
每次换版本使用的时候,在同一个终端下,使用的仍然是上一次的环境变量。
比如你现在使用的是java8,打开cmd终端的时候查看版本是java8,这时候你修改系统环境变量,切换成了java15,但是你还用原来那个cmd终端查看版本的时候,他依旧是java8,这时候只能重新打开一个cmd终端,再次查看,那么就换成了java15.
3.3.2装了双版本后,右键打开jar包的时候没有java选项
就算选其他应用,也打不开jar包


这时候就可以通过终端命令来打开
使用 java -jar 加上jar包的地址,这样就能成功打开


当然,如果嫌弃这样麻烦,可以将这些命令都记在一个txt文件上,或者有能力的话,可以写一个bat文件,代替你输入命令,双击直接打开
类似于这种bat文件



更多更好的内容请关注微信公众号“猎洞时刻”!!!


 

知秋君
上一篇 2024-11-10 16:55
下一篇 2024-11-10 14:36

相关推荐