Webshell管理工具,动态二进制加密网站客户端。流量动态加密,攻击特征安全设备(WAF、WebIDS)难以检测。
冰蝎通信过程中使用AES(高级加密算法,对称加密,微信小程序使用此种方法)进行加密,Java和.NET默认支持AES,php中需要开启openssl扩展,在V2.0版本后,php环境方式根据服务端支持情况动态选择,使得冰蝎更强大,V3.0中使用预共享密钥,全程无明文交互,给waf、ids设备威胁狩猎带来挑战。
冰蝎"客户端基于JAVA,所以可以跨平台使用,最新版本为v2.0.1,兼容性较之前的版本有较大提升。主要功能为:基本信息、命令执行、虚拟终端、文件管理、Socks代理、反弹shell、数据库管理、自定义代码等,功能非常强大
2022-07-10 18:00:07
37.88MB
冰蝎赶在2020年HW前发布了3.0版本,这个版本的冰蝎改动较大,一举绕过国内大量Webshell检测引擎和流量检测引擎。按照官方的说法,这次主要的改动是:
去除动态密钥协商机制,采用预共享密钥,全程无明文交互,密钥格式为md5("admin")[0:16]
增加了插件机制,可开发安装自定义扩展插件
UI框架由awt改为javafx,重写了大量逻辑
增强了内网穿透功能,在原有的基于HTTP的socks5隧道基础上,增加了单端口转发功能,可一键将内网端口映射至VPS或者本机端口
从防守方的角度看,这些改动中对防御设备影响最大的是第1点,也就是说,3.0版本的冰蝎不在有密钥协商的过程,从原理上直接绕过了大量流量检测设备(大部分设备是通过握手的行为来检测冰蝎的流量)。
新版Webshell在代码外增加了AAAAA、bbbb两个输出,但实际上删除或修改这两个特征对冰蝎的正常连接与使用没有影响
新版去除了握手的过程,直接将一个写死在Webshell中的字符串作为AES密钥解密流量包
实际执行代码的逻辑并没有修改,均采用defineClass的方式执行Java字节码
2022-06-01 22:00:07
18.42MB
1
###2019.2.15 v2.0.1 t00ls专版 更新日志
1.修复了PHP 5.3.0之前版本提示JSON错误的问题。
###2019.2.9 v2.0 t00ls专版 更新日志
1.增强了PHP的兼容性,PHP 5.2~PHP 7.2.15全版本支持,加密方式根据服务器端支持情况动态选择,不再依赖openssl扩展。
2.虚拟终端命令执行结果增加了右键复制功能。
3.数据库查询结果可复制(单个单元格、单行),可导出SQL查询结果。
4.增加了自定义请求头的功能,可自定义cookie等。
5.增加了HTTP代理连接功能。
6.通过虚拟终端启动的shell进程可关闭,避免服务器侧残留shell进程。
7.增加了简单的asp支持。
8.增加了服务器端输出容错功能,服务器端前后可插入混淆字符串,如gif文件头等。
9.修复了某些php环境下报always_populate_raw_post_data 错误。
10.修复了PHP 7环境下虚拟终端无法打开的问题。
11.修复了一些其他的bug。
2022-05-09 01:15:27
22.94MB
1
suricata规则:Suricata IDS规则使用检测红队渗透恶意行为等,支持检测CobaltStrikeMSFEmpireDNS隧道Weevely菜刀冰蝎挖矿反弹shellICMP隧道等
2021-12-12 17:21:46
151KB
1
关于
感谢原作者的技术分享和实践 ,当前反编译版本为Beta6
声明
本项目预测学习,请勿用于非法用途!
测试环境
Win10 + JDK1.8 + IDEA
java内存马:tomcat7-9,websphere 12.2.1.3.0,wildfly17、21,websphere 20.0.0.12 Liberty
更新
解决连接weblogic时,返回包开头有两个换行,导致一系列问题
添加多种java环境下(tomcat,weblogic,wildfly,websphere),多种内存马(冰蝎,reGeorg)的支持
添加shell生成菜单
网站文件zip压缩功能(jsp,php,aspx)
启用修改文件可行性功能(jsp,php,aspx)
添加.Net环境下aspx内存马的支持
添加壳引入导出功能
php下绕过open_basedir,代码直接用哥斯拉的
感谢
2021-09-17 12:34:54
7.57MB
1
Behinder
“冰蝎”动态二进制加密网站管理客户端
功能介绍原文链接:
《利用动态二进制加密实现新型一句话木马之客户端篇》
工作原理原文链接:
《利用动态二进制加密实现新型一句话木马之Java篇》
《利用动态二进制加密实现新型一句话木马之.NET篇》
《利用动态二进制加密实现新型一句话木马之PHP篇》
运行环境
客户端:jre8+
服务端:.net 2.0+;php 5.3-7.4;java 6+
FAQ
直接用浏览器访问shell会报错?
客户端附带的服务端为最简版本,没有做容错处理,所以直接浏览器访问可能会报错,但是不影响客户端正常连接。如果不介意服务端体积增加几个字节,可以自己加一些容错判断语句。
我可以对shell进行修改么?
客户端附带的服务端可以进行各种变形,只要基本逻辑不变,客户端即可正常连接。
开了socks代理,但是服务器并没有开启代理端口?
socks代
2021-09-13 14:02:30
1KB
1
冰蝎(Bhinder)动态二进制加密网站管理客户端。基于JAVA,需要安装jre,可以跨平台使用。主要功能为:基本信息、命令执行、虚拟终端、文件管理、Socks代理、反弹shell、数据库管理、自定义代码等。
2021-09-11 23:46:35
40.7MB
1