Webshell管理工具：冰蝎和哥斯拉

文章目录

• • 简介和安装
  • • • 简单介绍
      • 安装和启动
      • 查看server文件夹
  • 代码分析
  • • • 分析shell.php第一遍
      • 查看软件源码
  • 反思

简介和安装

简单介绍

冰蝎是一个动态二进制加密的Webshell管理工具，第一代Webshell管理工具“菜刀”的流量特征非常明显，很容易被安全设备检测到。于是基于流量加密的Webshell越来越多，冰蝎应运而生，也取代了菜刀的地位。

使用Java开发，所以可以跨平台使用。主要功能：基本信息、rce、虚拟终端、文件管理、Sockets代理、反弹shell、数据库管理、自定义代码等。相比菜刀的优点：

1. Java开发，支持跨平台运行
2. 使用加密隧道传输数据，尽可能避免流量被WAF或IDS设备所捕获
3. 更新较为频繁，作者会听取社区的意见修改工具

安装和启动

知识星球搜一下冰蝎，看到关于冰蝎的两篇文章，找到冰蝎的发布地址：
https://github.com/rebeyond/Behinder/releases。

打开冰蝎软件发布地址，下载2021年4月19日发布的Behinder_v3.0 Beta 9.zip。
解压后打开文件夹，看到四个文件。

配置环境：据说冰蝎只支持Jre6-Jre8。
尝试使用Java15版本，发现没有反应。使用Java1.8运行jar文件，启动成功。

查看server文件夹

打开冰蝎的server目录，看到PHP、ASP、ASPX、JSP等shell文件。

查看shell文件的代码，发现都是二十行左右的代码量，默认连接密码都是rebeyond。

代码分析

安全软件的使用某种程度上相当浅显，越来越认识到，安全人才对代码水平的要求甚至比程序员的还要高。虽然开发是一件快乐的事，但还是希望能少掉点头发。

分析shell.php第一遍

使用对报错进行设置，关闭错误报告，就把参数设置为0。使用符号忽略该表达式可能生成的报错信息。

使用启动或重用会话，成功启动会初始化。
把密钥赋值给变量$_session[‘k’]，再使用结束当前session，保留session数据。

传参方式采用，可以获取请求的原始数据。
（与POST参数方式的区别心情了另开一篇文章）

使用检查openssl扩展是否加载。
如果没有加载openssl，首先以变量嵌套方式对post数据进行base64解密，然后再加密。
如果加载了openssl，直接使用，结合key对post数据进行AES解密。

使用，用 分隔第一次处理后的post参数。

查看软件源码

在Github发布地址上下载source.zip和source.tar.gz文件，使用Bandizip解压文件，
打开之后发现只有一个ReadMe.md文档，GZ压缩包还有一个pax_global_header文件。
看样子冰蝎目前并没有开源。

在ReadMe.md文档中看到了作者写的几篇文章，这个有点意思。

反思

编程也好，代码审计也好，做安全都离不开。

不要急。看了一下近来半个月写的文章，与当下的学习路线：
非紧要耗费五天左右：Python爬虫和扫描器、微信内置浏览器漏洞、IP溯源实验。
紧要：子域名和域、MySQL、Redis、Weblogic、Linux权限维持、上线提权3389。SQLMap扫描器、Goby扫描器、Bscan扫描器、Cobalt Strike软件、冰蝎软件等。

当下学习路线：
1.Owasp top10，理论落地，包括部署和挖掘7*10。
2.追洞，常用框架的漏洞复现和利用。

第二阶段：内网渗透。代码审计，钻研某种编程语言，挖0day。

第三阶段：工具开发、重学密码学。逆向分析，二进制漏洞……

短期计划：
黑盒漏洞XSS、CSRF、SSRF、文件上传和webshell免杀、子域名信息收集、文件下载、SQL注入、通用型漏洞追踪和利用。
建立目录收集和字典收集的方式和流程。整理常用的扫描器，可适当分析。
反序列化漏洞的追踪调试、权限提升、越权。
随便看看（有视频）：内网主机信息收集、Win域内提权、Win域内横向、后渗透持久化技术。

周计划：
黑盒2点——XSS、文件上传和Webshell免杀、以及提权。部署XSS利用环境、冰蝎哥斯拉。漏洞探测、验证、绕过。
通用型框架漏洞——Weblogic和solor的复现、探测、利用和提权。

来源：区块链市场观察家