冰蝎的原理与安装使用

冰蝎的原理与安装使用

1、冰蝎原理

1.1简介

复制代码
冰蝎是一款基于Java开发的动态加密通信流量的新型Webshell客户端,由于通信流量被加密,传统的WAF、IDS 设备难以检测,给威胁狩猎带来较大挑战。冰蝎其最大特点就是对交互流量进行对称加密,且加密密钥是由随机数函数动态生成,因此该客户端的流量几乎无法检测。而老牌的如中国菜刀因为其流量特征太过明显,从而使用的场景越来越少。不过在此还是要致敬前辈的贡献。

1.2冰蝎的流量特征

分析冰蝎的流量特征有助于识别和理解该恶意软件的行为模式,从而提高网络安全防御水平。通过深入了解冰蝎的流量特征,可以识别其传播方式、通信机制和攻击模式,为网络管理员提供有效的检测和防御手段,帮助确保系统和数据的安全。

1.2.1 Accept字段
复制代码
Accept-Language: zh-CN,zh;q=0.9,en-US;q=0.8,en;q=0.7
1.2.2 Content-Type
复制代码
Content-type: Application/x-www-form-urlencoded
这个也是冰蝎的固定格式,
1.2.3 冰蝎生成的服务端 webshell 中存在固定代码
复制代码
$post=Decrypt(file_get_contents("php://input"));
 eval($post);
1.2.4固定的请求头和响应头
复制代码
请求:
dFAXQV1LORcHRQtLRlwMAhwFTAg/M

响应:
TxcWR1NNExZAD0ZaAWMIPAZjH1BFBFtHThcJSlUXWEd

请求头

响应头

1.2.5 连接密码

默认时,所有冰蝎4.0 webshell都有"e45e329feb5d925b" 一串密钥。该密钥为连接密码32位md5值的 前16位,默认连接密码rebeyond

2、冰蝎的使用

下载地址:链接:https://pan.baidu.com/s/1a0b2ibNtlRtFSeJrvtuN9A?pwd=yyds

提取码:yyds

2.1 点击运行

点击Behinder.jar文件即可运行(前提是要有java环境,自行下载安装,这里不赘述)

检查是否有java环境的方法

复制代码
cmd输入
java -version

2.2 生成木马

然后就会生成:

2.3 把木马文件上传到目标中

这个自行学习,可以通过目标网站访问shell.php文件就是上传成功

2.4点击新增

保存后双击即可进入。

3、成功连接

相关推荐
网安小白的进阶之路2 小时前
A模块 系统与网络安全 第四门课 弹性交换网络-2
网络·安全·web安全·系统安全·交换机
安全系统学习2 小时前
网络安全之RCE分析与利用详情
服务器·网络·安全·web安全·系统安全
武汉唯众智创2 小时前
网络安全实训室建设方案全攻略
网络·安全·web安全·网络安全·网络安全实训室·网络安全实验室
weixin_472339462 小时前
网络安全攻防:文件上传漏洞的深度解析与防御实践
安全·web安全
雪兽软件2 小时前
2025 年网络安全与人工智能发展趋势
人工智能·安全·web安全
啟明起鸣3 小时前
【网络编程】简易的 p2p 模型,实现两台虚拟机之间的简单点对点通信,并以小见大观察 TCP 协议的具体运行
c语言·网络·tcp/ip·p2p
追烽少年x3 小时前
设计模式---观察者模式(发布-订阅模式)
网络·设计模式
小黄人20253 小时前
自动驾驶安全技术的演进与NVIDIA的创新实践
人工智能·安全·自动驾驶
CS创新实验室4 小时前
筑牢 AIGC 安全防线:警惕提示词注入攻击
安全·大模型·aigc·提示词·提示词注入
宝山哥哥5 小时前
网络信息安全学习笔记1----------网络信息安全概述
网络·笔记·学习·安全·网络安全