冰蝎是一款基于Java开发的动态加密通信流量的新型Webshell客户端。

冰蝎的通信过程可以分为两个阶段：密钥协商和加密传输

（1）第一阶段：密钥协商

攻击者通过GET方式请求服务器密钥：

这个是代码：

这是服务端存储的$_SESSION变量

 （2）服务器使用密钥解密

服务端使用随机数高16位作为密钥，并且存储到会话的$_SESSION变量中，并返回密钥给攻击者

当我们输入命令操作后，请求方式就会变成POST

这个是代码段：

因为我本地是有openssl扩展的，所以执行else里面的代码段

可以看到服务端用之前生成的密钥进行AES128解密请求的post数据

这个是我大概写的一个输出脚本：

base64解码：