1.swt?视视频?ƵԴ??
swt??ƵԴ??
“冰蝎”是一个动态二进制加密网站管理客户端,第一代webshell管理工具“菜刀”的频源流量特征显著,容易被检测。源码基于流量加密的视视频webshell增多,“冰蝎”应运而生。频源它以JAVA为基础,源码微网 源码跨平台使用,视视频功能强大,频源包括基本信息、源码命令执行、视视频虚拟终端、频源文件管理等。源码
“冰蝎”客户端在服务端支持open_ssl时使用AES加密算法,视视频添加源码下载密钥长度为位。频源加密流程从客户端发起带密码的源码请求开始,服务端产生随机密钥,将密钥写入Session并将密钥返回客户端。客户端获取密钥后,将payload用AES算法加密,酒店入住源码以POST形式发送请求。服务端收到请求后,使用Session中的密钥解密请求的Body部分,执行Payload,并将结果返回给客户端。客户端获取结果并显示在UI界面上。源码个模板在流量中,冰蝎在执行Payload之后的返回并未显示加密。
最新版本的“冰蝎”(v2.0.1)于年2月发布后未进行更新。各大厂商的检测系统及WAF均对其特征进行了分析并加入规则。攻防技术不断发展,需要不断更新自我以保持攻防的文件同步 源码有效性。
要魔改“冰蝎”,首先需要反编译JAR包获得源码,使用反编译工具如JD-GUI,然后通过Eclipse安装WindowsBuilder创建SWT项目。导入反编译后的源码和JAR包,修复报错并尝试将源码跑起来。成功跑起来反编译后的代码后,可以进行特征擦除,包括密钥交换时的参数、header中的Content-Type、User-Agent、Accept、二次密钥获取、以及response中返回密钥等。
在实际检测中,单一规则检测对“冰蝎”的误报率较高。通过魔改程序可以在一定时间内绕过安全设备的检测,但真正保持攻防有效性需要不断更新和学习。安全之路漫长,共勉。
2024-11-29 18:16
2024-11-29 17:43
2024-11-29 16:48
2024-11-29 16:41
2024-11-29 16:39
2024-11-29 16:26