Behinder是一款动态二进制加密网站管理客户端
下载地址:Releases · BeichenDream/Godzilla · GitHub
1. 运行冰蝎,打开传输协议:
生成一个php远程后门:
点击生成服务端,会导出木马到冰蝎的内部路径中:
冰蝎生成的加密马无需密码连接
配置连接信息:
后门就能连接成功!!!
其功能和哥斯拉很相似,所以不再赘述。
这里主要分析3.0版本的:
静态特征:
- 采用采用预共享密钥,密钥格式为md5(“admin”)[0:16], 所以在各种语言的webshell中都会存在16位数的连接密码,默认变量为k。
- 在PHP中会判断是否开启openssl采用不同的加密算法,在代码中同样会存在eval或assert等字符特征
- 在jsp中则利用java的反射,所以会存在ClassLoader,getClass().getClassLoader()等字符特征
流量特征
冰蝎2.0:
- 第一阶段请求中返回包状态码为200,返回内容必定是16位的密钥
- Accept: text/html, image/gif, image/jpeg,; q=.2,/*; q=.2
- 建立连接后的cookie存在特征字符,所有请求 Cookie的格式都为: Cookie: PHPSESSID=; path=/;
冰蝎3.0
- 请求包中content-length 为5740或5720(可能会根据Java版本而改变)
- 每一个请求头中存在 Pragma: no-cache,Cache-Control: no-cache
- Accept:text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,/*;q=0.8,application/signed-exchange;v=b3;q=0.9