冰蝎4.0的介绍
简介
冰蝎是一款基于Java开发的动态加密通信流量的新型Webshell客户端。老牌Webshell管理神器——中国菜刀的攻击流量特征明显,容易被各类安全设备检测,实际场景中越来越少使用,加密Webshell正变得日趋流行。
由于通信流量被加密,传统的WAF、IDS设备难以检测,给威胁狩猎带来较大挑战。冰蝎其最大特点就是对交互流量进行对称加密,且加密秘钥是由随机数函数动态生成,因此该客户端的流量几乎无法检测。
新版本
修复问题:
1.修复了在zimbra环境下的兼容性问题;
2.修复了在exchange环境下的兼容性问题;
3.修复了Linux环境下打开文件失败的问题;
4.修复了命令执行中输入反斜杠导致后续无法输入新命令的问题;
5.修复了列目录时目录跳动的问题;
6.修复JDK18+执行命令乱码的问题;
7.修复内网穿透模块的几个影响隧道稳定性的几个问题;
8.修复了代码编辑框的复制粘贴问题;
9.其他一些优化;
新增功能:
10.新增支持多线程超大文件上传、下载;
11.新增文件打包压缩;
12.新增数据库连接配置可保存;
13.取消硬编码通信协议,传输协议完全自定义,并支持即时在线校验测试。
14.新增平行世界模块,可对目标内网资产进行管理;
15.新增主机扫描、端口扫描、服务识别模块;
16.新增支持Java9~java15+版本Agent内存马一键注入;
17.新增支持JavaAgent无文件落地注入内存马;
18.新增多层网络子Shell穿透模块,实现多层”蝎中蝎”;
19.新增离线模式,自动缓存数据,如shell丢失,可离线查看已缓存内容;
20.开放插件开发模块,可开发自定义插件,内置多款插件;
21.支持二进制服务端,服务端不再依赖web。
工具通信原理
冰蝎的通信过程可以分为两个阶段:
22.密钥协商
23.加密传输
1.第一阶段-密钥协商
1)攻击者通过GET或者POST方法,形如