冰蝎2,3及哥斯拉特征分析 |
您所在的位置:网站首页 › 哥斯拉webshell jsp › 冰蝎2,3及哥斯拉特征分析 |
一、冰蝎2
冰蝎是一款基于Java开发的动态加密通信流量的新型Webshell客户端。 冰蝎的通信过程可以分为两个阶段:密钥协商和加密传输 (1)第一阶段:密钥协商 攻击者通过GET方式请求服务器密钥:
这个是代码:
这是服务端存储的$_SESSION变量
(2)服务器使用密钥解密 服务端使用随机数高16位作为密钥,并且存储到会话的$_SESSION变量中,并返回密钥给攻击者 当我们输入命令操作后,请求方式就会变成POST
这个是代码段: 因为我本地是有openssl扩展的,所以执行else里面的代码段 可以看到服务端用之前生成的密钥进行AES128解密请求的post数据 这个是我大概写的一个输出脚本:
base64解码: 1 @error_reporting(0); 2 function main($content) 3 { 4 $result = array(); 5 $result["status"] = base64_encode("success"); 6 $result["msg"] = base64_encode($content); 7 $key = $_SESSION['k']; 8 echo encrypt(json_encode($result),$key); 9 } 10 11 function encrypt($data,$key) 12 { 13 if(!extension_loaded('openssl')) 14 { 15 for($i=0;$i |
今日新闻 |
推荐新闻 |
CopyRight 2018-2019 办公设备维修网 版权所有 豫ICP备15022753号-3 |