0x00 V2版本

1. 項目

github項目：https://github.com/rebeyond/Behinder/releases/
V2 源碼：https://github.com/hktalent/afterLoader

2. 流量分析

執(zhí)行流程圖：

1. 首次連接一句話服務端時，客戶端首先向服務器端發(fā)起GET請求，只有一個參數(shù)，格式為?pass=123形式，服務器端隨機產(chǎn)生一個128位的密鑰，把密鑰回顯給客戶端，同時把密鑰寫進服務器側(cè)的Session中
   

2. 客戶端獲取密鑰后，后面的請求都為POST請求，對本地的二進制payload先進行AES加密然后base64編碼，再通過POST請求發(fā)送至服務器端。正常的網(wǎng)站接口或者頁面中，一般是響應的html代碼或者json，冰蝎2響應的數(shù)據(jù)則為經(jīng)過AES加密的二進制數(shù)據(jù)，所以Content-Type均為 : application/octet-stream
   

3. 特點

1. 服務器端動態(tài)解析二進制class文件
2. 客戶端已編譯類的參數(shù)化：使用ASM框架來動態(tài)修改class文件中的屬性值，動態(tài)生成經(jīng)過參數(shù)化的payload class

4. 流量特征

1. GET請求的 HTTP 響應包中Content-Length字段的值是固定的16，同時URI只有一個參數(shù)，key-value型參數(shù)
2. 默認的 Accept 字段較為特殊 text/html, image/gif, image/jpeg, ; q=.2, /*; q=.2
3. UserAgent字段內(nèi)置了十余種比較老的User Agent，每次連接shell會隨機選擇一個進行使用
4. JSP類型的webshell，POST請求體數(shù)據(jù)均為base64編碼，Content-Type為application/octet-stream，響應體數(shù)據(jù)均為二進制文件
5. 執(zhí)行JSP webshell，一般較短的命令Content-Length都是9068

0x01 V3版本

1. 項目

github項目：https://github.com/rebeyond/Behinder/releases/
V3 源碼：https://github.com/MountCloud/BehinderClientSource

2. 流量分析

冰蝎3和2相比，最重要的變化就是去除動態(tài)密鑰協(xié)商機制，采用預共享密鑰，全程無明文交互，密鑰格式為md5(“admin”)[0:16]，其余的都差不多
這里還要提到一點，當客戶端第一次調(diào)用ShellService?#doConnect?方法連接webshell失敗，會調(diào)用Utils#getKeyAndCookie?方法發(fā)送Get請求連接協(xié)商秘鑰，猜測作者可能是為了兼容2版本的webshell，也算是一個特征點

3. 特點

1. 去除動態(tài)密鑰協(xié)商機制

4. 流量特征

1. 流量特征其實也V2版本類似，同樣內(nèi)置了十余種比較老的User Agent，POST請求體數(shù)據(jù)均為base64編碼
2. 存在GET請求，同時URI只有一個key-value類型參數(shù)

0x02 V4版本

1. 項目

github項目：https://github.com/rebeyond/Behinder/releases/
V4 源碼：https://github.com/MountCloud/BehinderClientSource

2. 流量分析

1. 本地選擇加密算法，生成服務端Webshell，加密算法對Payload進行加密，然后數(shù)據(jù)通過POST請求發(fā)送給遠程服務端
   
   

2. 服務端收到Payload密文后，利用解密算法進行解密

3. 服務端執(zhí)行解密后的Payload，并獲取執(zhí)行結(jié)果

4. 服務端對Payload執(zhí)行結(jié)果進行加密，然后返回給本地客戶端

5. 客戶端收到響應密文后，利用解密算法解密，得到響應內(nèi)容明文

3. 特點

1. 允許自定義加密解密協(xié)議

4. 流量特征

1. 采用默認aes加密協(xié)議情況下流量特征與V2、V3類似

0x03 安全設備檢測原理圖

某盟UTS：

0x04 魔改思路

針對不同安全產(chǎn)商設備的檢測原理，整理了以下幾種魔改思路：

1. 加密解密算法，除了默認的AES，可以使用DES、3DES、TDEA、Blowfish、Twofish、RC2、RC4、RC5、IDEA、SKIPJACK等對稱加密算法
2. 去除base64編碼特征，請求體和響應體數(shù)據(jù)隨機產(chǎn)生不定長度的額外字節(jié)數(shù)組
3. 去除請求頭User-Agent、Accept、Referer、Content-type等特征
4. 請求包以json格式參數(shù)，響應體數(shù)據(jù)返回json格式或者html格式，數(shù)據(jù)可以拆散隱藏在html標簽中
5. 修改請求協(xié)議，使用HEAD協(xié)議，長度較小的paylaod放到header執(zhí)行，Shell返回404，響應數(shù)據(jù)通過ceye類似接口進行中轉(zhuǎn)/服務器可訪問的目錄圖片中轉(zhuǎn)
6. 客戶端不定時發(fā)送不定長度的垃圾數(shù)據(jù)
7. 基于sessionID生成密鑰、payload參數(shù)名、分隔符等
8. 使用Java底層函數(shù)繞OpenRASP
9. webshell免殺

網(wǎng)絡安全學習路線&學習資源

【----幫助網(wǎng)安學習，以下所有學習資料免費領(lǐng)！】

① 網(wǎng)安學習成長路徑思維導圖
② 60+網(wǎng)安經(jīng)典常用工具包
③ 100+SRC漏洞分析報告
④ 150+網(wǎng)安攻防實戰(zhàn)技術(shù)電子書
⑤ 最權(quán)威CISSP 認證考試指南+題庫
⑥ 超1800頁CTF實戰(zhàn)技巧手冊
⑦ 最新網(wǎng)安大廠面試題合集（含答案）
⑧ APP客戶端安全檢測指南（安卓+IOS）

下面給大家總結(jié)了一套適用于網(wǎng)安零基礎(chǔ)的學習路線，應屆生和轉(zhuǎn)行人員都適用，學完保底6k！就算你底子差，如果能趁著網(wǎng)安良好的發(fā)展勢頭不斷學習，日后跳槽大廠、拿到百萬年薪也不是不可能！

【點擊這里，先領(lǐng)資料再閱讀哦~】

初級網(wǎng)工

1、網(wǎng)絡安全理論知識（2天）

①了解行業(yè)相關(guān)背景，前景，確定發(fā)展方向。
②學習網(wǎng)絡安全相關(guān)法律法規(guī)。
③網(wǎng)絡安全運營的概念。
④等保簡介、等保規(guī)定、流程和規(guī)范。（非常重要）

2、滲透測試基礎(chǔ)（一周）

①滲透測試的流程、分類、標準
②信息收集技術(shù)：主動/被動信息搜集、Nmap工具、Google Hacking
③漏洞掃描、漏洞利用、原理，利用方法、工具（MSF）、繞過IDS和反病毒偵察
④主機攻防演練：MS17-010、MS08-067、MS10-046、MS12-20等

3、操作系統(tǒng)基礎(chǔ)（一周）

①Windows系統(tǒng)常見功能和命令
②Kali Linux系統(tǒng)常見功能和命令
③操作系統(tǒng)安全（系統(tǒng)入侵排查/系統(tǒng)加固基礎(chǔ)）

4、計算機網(wǎng)絡基礎(chǔ)（一周）

①計算機網(wǎng)絡基礎(chǔ)、協(xié)議和架構(gòu)
②網(wǎng)絡通信原理、OSI模型、數(shù)據(jù)轉(zhuǎn)發(fā)流程
③常見協(xié)議解析（HTTP、TCP/IP、ARP等）
④網(wǎng)絡攻擊技術(shù)與網(wǎng)絡安全防御技術(shù)
⑤Web漏洞原理與防御：主動/被動攻擊、DDOS攻擊、CVE漏洞復現(xiàn)

5、數(shù)據(jù)庫基礎(chǔ)操作（2天）

①數(shù)據(jù)庫基礎(chǔ)
②SQL語言基礎(chǔ)
③數(shù)據(jù)庫安全加固

6、Web滲透（1周）

①HTML、CSS和JavaScript簡介
②OWASP Top10
③Web漏洞掃描工具
④Web滲透工具：Nmap、BurpSuite、SQLMap、其他（菜刀、漏掃等）

恭喜你，如果學到這里，你基本可以從事一份網(wǎng)絡安全相關(guān)的工作，比如滲透測試、Web 滲透、安全服務、安全分析等崗位；如果等保模塊學的好，還可以從事等保工程師。薪資區(qū)間6k-15k

到此為止，大概1個月的時間。你已經(jīng)成為了一名“腳本小子”。那么你還想往下探索嗎？

【“腳本小子”成長進階資源領(lǐng)取】

7、腳本編程（初級/中級/高級）

在網(wǎng)絡安全領(lǐng)域。是否具備編程能力是“腳本小子”和真正黑客的本質(zhì)區(qū)別。在實際的滲透測試過程中，面對復雜多變的網(wǎng)絡環(huán)境，當常用工具不能滿足實際需求的時候，往往需要對現(xiàn)有工具進行擴展，或者編寫符合我們要求的工具、自動化腳本，這個時候就需要具備一定的編程能力。在分秒必爭的CTF競賽中，想要高效地使用自制的腳本工具來實現(xiàn)各種目的，更是需要擁有編程能力.

零基礎(chǔ)入門，建議選擇腳本語言Python/PHP/Go/Java中的一種，對常用庫進行編程學習； 搭建開發(fā)環(huán)境和選擇IDE,PHP環(huán)境推薦Wamp和XAMPP， IDE強烈推薦Sublime； ·Python編程學習，學習內(nèi)容包含：語法、正則、文件、 網(wǎng)絡、多線程等常用庫，推薦《Python核心編程》，不要看完； ·用Python編寫漏洞的exp,然后寫一個簡單的網(wǎng)絡爬蟲； ·PHP基本語法學習并書寫一個簡單的博客系統(tǒng)； 熟悉MVC架構(gòu)，并試著學習一個PHP框架或者Python框架 (可選)； ·了解Bootstrap的布局或者CSS。

8、超級網(wǎng)工

這部分內(nèi)容對零基礎(chǔ)的同學來說還比較遙遠，就不展開細說了，貼一個大概的路線。感興趣的童鞋可以研究一下，不懂得地方可以【點這里】加我耗油，跟我學習交流一下。

網(wǎng)絡安全學習路線&學習資源

掃描下方卡片可獲取最新的網(wǎng)絡安全資料合集（包括200本電子書、標準題庫、CTF賽前資料、常用工具、知識腦圖等）助力大家提升進階！

結(jié)語

網(wǎng)絡安全產(chǎn)業(yè)就像一個江湖，各色人等聚集。相對于歐美國家基礎(chǔ)扎實（懂加密、會防護、能挖洞、擅工程）的眾多名門正派，我國的人才更多的屬于旁門左道（很多白帽子可能會不服氣），因此在未來的人才培養(yǎng)和建設上，需要調(diào)整結(jié)構(gòu)，鼓勵更多的人去做“正向”的、結(jié)合“業(yè)務”與“數(shù)據(jù)”、“自動化”的“體系、建設”，才能解人才之渴，真正的為社會全面互聯(lián)網(wǎng)化提供安全保障。

特別聲明：

此教程為純技術(shù)分享！本書的目的決不是為那些懷有不良動機的人提供及技術(shù)支持！也不承擔因為技術(shù)被濫用所產(chǎn)生的連帶責任！本書的目的在于最大限度地喚醒大家對網(wǎng)絡安全的重視，并采取相應的安全措施，從而減少由網(wǎng)絡安全而帶來的經(jīng)濟損失?。?！文章來源地址http://www.zghlxwxcb.cn/news/detail-759381.html

到了這里，關(guān)于冰蝎各版本工具分析與魔改思路的文章就介紹完了。如果您還想了解更多內(nèi)容，請在右上角搜索TOY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！