免杀对抗—Behinder魔改&流量特征去除

最新推荐文章于 2025-03-15 16:53:29 发布
最新推荐文章于 2025-03-15 16:53:29 发布
阅读量1.3k 收藏 30
点赞数 25
CC 4.0 BY-SA版权
分类专栏: 免杀对抗 文章标签: 流量特征去除 冰蝎 Behinder 魔改
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_76227305/article/details/144693365

前言

在现实的攻防中,往往webshell要比主机后门要用得多,因为我们首先要突破的目标是网站嘛,而且waf也往往会更注重webshell的检测。webshell的免杀分为两个,一是静态查杀,二是流量查杀。静态查杀不用多说了,匹配特征码特征值,流量查杀则是根据你webshell的流量特征来判断是否是恶意的行为。

实验环境

JDK1.8,Behinder V4.1

项目构建

老样子先对jar包进行反编译,这里分享一个在线反编译的网站。

Java decompiler online / APK decompiler - Decompiler.com

idea新建一个项目,叫Behinder,jdk建议选择1.8的,因为Behinder是以jdk1.8环境为基础运行的,防止后续的打包出问题。

在Behinder目录下新建一个目录名为lib,把未反编译的jar包拖进去,同时把已经反编译好的jar包解呀到Behinder目录下面。

点击文件 -> 模块 -> 点击依赖 -> 点击加号。

点击加号之后选择JAR或者目录,接着选择我们lib目录下jar包。

记得勾选上。

再来到工件这里,点击左上角的加号。

选择来自具有依赖项的模块。

最低0.47元/天 解锁文章

新学期VIP享超值加赠
冰蝎加密 WebShell
悦分享
08-03 2670
演练中,第一代webshell管理工具“菜刀”的攻击流量特征明显,容易被安全设备检测到,攻击方越来越少使用,加密webshell 正变得越来越流行,由于流量加密,传统的WAF、WebIDS设备难以检测,给威胁监控带来较大挑战。这其中最出名就是“冰蝎”,“冰蝎”是一款动态二进制加密网站管理客户端,演练中给防守方造成很大困扰,本文将对“冰蝎”的加密原理、流量特征、检测方案进行探讨。"冰蝎"客户端基于JAVA,所以可以跨平台使用,最新版本为v3.0 bate,兼容性较之前的版本有较大提升。...
红队攻防渗透技术实战流程:红队目标上线之对抗-Webshell&冰蝎&打乱特征指纹&新增加密协议&过后门查&过流量识别
HACKONE的博客
05-27 354
1、webshell工具里面的后门代码不被毒检测到-混淆。2、webshell工具里面的功能操作不被毒拦截到-。3、webshell工具里面的操作连接不被平台捕获到-。1、环境部署-JAR反编译&打包构建-项目即成功。2、冰蝎-防识别-打乱特征指纹-使用即变异。3、冰蝎-防查-新增加密协议-生成即。解决1:绕过识别(打乱特征,新增加密算法)2、反编译打包环境-IDEA安装&反编译工具。新建-填入-保存-分享-导入项目-构建编译。冰蝎-防识别-打乱特征指纹。
常见webshell工具及特征分析
白帽黑客八哥的博客
05-29 2490
在工作中经常会遇到各种websehll,黑客通常要通过各种方式获取 webshell,从而获得企业网站的控制权,识别出webshell文件或通信流量可以有效地阻止黑客进一步的攻击行为,下面以常见的四款webshell进行分析,对工具连接流量有个基本认识。Webshell简介webshell就是以aspphp、jsp或者cgi等网页文件形式存在的一种代码执行环境,主要用于网站管理、服务器管理、权限管理等操作。
攻防演练的Webshell利器——冰蝎V4分析
m0_59598029的博客
08-18 671
最近攻防演练期间,Webshell工具界再次祭出大器“
WebShell 特征分析
sechelper的博客
05-26 2406
关注公众号领取学习路线和资料。​WebShell是黑客经常使用的一种恶意脚本,其目的是获得服务器的执行操作权限,常见的webshell编写语言为aspjspphp。主要用于网站管理,服务器管理,权限管理等操作。使用方法简单,只需要上传一个代码文件,通过网址访问,便可进行很多日常操作,极大地方便了使用者对网站的服务器的管理。正因如此,也有小部分人将代码修后当作后门程序使用,以达到控制网站服务器的目的,
打点神器behinder冰蝎)使用教程-踩坑版
weixin_69925635的博客
05-29 1336
使用命令java -jar Behinder.jar启动后如果java版本过高会报错缺少javafx,但在高版本java环境下安装会有点麻烦,所以安装一个jdk1.8进行替换更好。lhost设置为kali的ip,端口9527,并将这些信息也填在刚刚behinder建立的连接中。点击给我连,msf中exploit该漏洞,可以看到成功反弹shell。在msf中有这个漏洞,因此可以利用msf和behinder联动。将该文件利用靶机dvwa文件上传的漏洞进行上传。在攻击机上安装kali,安装完成后如下图所示。
冰蝎4.1 过360,df,河马,火绒
最新发布
qq_53112737的博客
03-15 303
最近没事,想着之前上传webshell毒总是拿别人的马用,感觉以后也要用,然后接着不是hvv面试什么,冰蝎哥斯拉流量特征,所有我决定一下顺便把流量特征给大家说一下。点击传输协议->看协议名称有没有miansha->没有就导入miansha.config。运行直接双击start.exe。2.固定的10条 UA头。(要配置java 8环境)一.是流量特征。二,是文本加密模式。
对抗—Powershell混淆&分离&特征&填充替换
2301_76227305的博客
09-30 1603
总的来说powershell的效果要比shellcode要好,上面讲的方法都是通用的,在python混淆的时候,也可以利用python进行分离,或者无文件落地。的思路远远不止这些,会有越来越多的思路,而软也会不断迭代升级,二者是相互成长的。最后,以上仅为个人的拙见,如何有不对的地方,欢迎各位师傅指正与补充,有兴趣的师傅可以一起交流学习。
对抗—java&ASM&MSF源码特征&汇编调用CS&内联C
2301_76227305的博客
10-07 1147
基本常见的语言都讲了一遍了,其中提到的技术无论是哪种语言都是通用的,只要你可以把它写得出来。不难看出修源码特征效果是比较好的,还有就是不公开或者自己写的shellcode加密脚本,总之无论是对shellcode修还是加载器,亦或是源码的修,最终的目的都只是去除后门的特征,逃过软。最后,以上仅为个人的拙见,如何有不对的地方,欢迎各位师傅指正与补充,有兴趣的师傅可以一起交流学习。
红队攻防渗透技术实战流程:红队目标上线之对抗-Webshell&静态查&行为拦截&流量监控&代码混淆&内存加载&工具
HACKONE的博客
05-27 612
上面的实验代表了webshell的几个特征:表面代码只能解决代码表面的查操作行为哥斯拉执行命令无提示antsword执行命分有提示哥斯拉执行命令无提示但是执行net user 有提示antsword执行命分有提示工具指纹源码(指纹打乱,调用逻辑(行为绕过))对抗:流量产品 和 毒产品换冷内工具(自己写的工具)让产品没来得及集成这个工具的检测导致绕过(特征库)
冰蝎软件的配置与应用
weixin_45711977的博客
10-27 8135
冰蝎
Web安全-Behinder冰蝎Webshell管理工具使用
Boom!脑洞大爆炸的博客
07-03 4551
Web安全-Behinder冰蝎Webshell管理工具使用
流量特征分析——蚁剑、菜刀、冰蝎、哥斯拉
Sgirll的博客
07-22 1万+
通过对这三种常见的网络攻击工具流量特征的分析,我们可以更好地了解它们在网络流量中的表现。同时,持续的学习和了解新兴攻击工具的流量特征也是保持网络安全的重要一环。哥斯拉的数据包中包含了特定的标记,如"XORHEAD"和"XORBODY",用于标识该数据包是哥斯拉的控制命令。此外,哥斯拉还使用了一种自定义的二进制协议,在通信中传输各种类型的数据。本文将重点研究菜刀、蚁剑和冰蝎这三种常见的网络攻击工具,分析它们在流量中留下的痕迹和特征,以便网络管理员和安全专家能够更好地识别和对抗这些工具所带来的潜在威胁。
0x145 Webshell&冰蝎&打乱特征指纹&新增加密协议&过后门查&过流量识别
m0_74048540的博客
02-25 1144
本文探讨了恶意工具冰蝎和哥斯拉流量特征过程。首先,通过抓包分析流量特征,修请求头和请求体以打乱原特征,增加加密算法以规避检测。冰蝎涉及反编译数据包,分析流量特征及添加新加解密协议。相似地,哥斯拉的过程同样包括反编译和修代码,以绕过hash校验并抓取流量特征。最终,针对生成的shell进行加密处理以增强隐蔽性,探讨了更为复杂的混淆技巧,为网络安全领域的技术研究提供了借鉴。
攻防兼备:Behinder使用指南及流量特征
qq_61553520的博客
04-13 852
Behinder是一款动态二进制加密网站管理客户端。
冰蝎Behinder_v4.0
一醉一休的博客
10-13 1万+
冰蝎是一款基于Java开发的动态加密通信流量的新型Webshell客户端,由于通信流量被加密,传统的WAF、IDS 设备难以检测,给威胁狩猎带来较大挑战。冰蝎其最大特点就是对交互流量进行对称加密,且加密密钥是由随机数函数动态生成,因此该客户端的流量几乎无法检测
冰蝎(Behinder)下载与安装以及连接测试
m0_70787202的博客
03-28 1万+
1.github下载安装包解压 2.选择冰蝎自带的木马,记住密码删除内容提示,放入www目录中 3.页面访问后用冰蝎进行连接,成功
红队大Behinder_v4.0(冰蝎4.0)
热门推荐
zip471642048的博客
07-25 1万+
httpshttpshttpshttpshttpshttpshttpshttpshttpshttpshttpshttpshttpshttpshttps。
深度解析C32工具的特征码技术
标题与描述部分提供的内容实际上是重复的,均为“C32工具特征”,因此,我们需重点分析这个关键词所涉及的知识点。同时,根据提供的标签内容,“C32工具特征”同样指向了这一主题。 首先,“C32...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值