【HW蓝队面试必问系列】冰蝎4.1流量分析(附流量文件下载地址)

admin 2024年4月14日02:03:57评论33 views字数 1122阅读3分44秒阅读模式
【HW蓝队面试必问系列】冰蝎4.1流量分析(附流量文件下载地址)

免责声明

【HW蓝队面试必问系列】冰蝎4.1流量分析(附流量文件下载地址)

本文仅用于技术讨论与学习,利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者及本公众号不为此承担任何责任。

【HW蓝队面试必问系列】冰蝎4.1流量分析(附流量文件下载地址)

冰蝎4.1流量特征

【HW蓝队面试必问系列】冰蝎4.1流量分析(附流量文件下载地址)

冰蝎4.1流量特征

  • 提供了传输协议自定义的功能,让用户对流量的加密和解密进行自定义,实现流量加解密协议的去中心化。v4.0版本不再有连接密码的概念,自定义传输协议的算法就是连接密码。

  • Accept字段(弱特征),通常是Accept: application/json, text/javascript, /; q=0.01 意思是浏览器可接受任何文件,但最倾向application/json 和 text/javascript。

  • Content-Type字段(弱特征),通常是Content-type: Application/x-www-form-urlencoded

  • 与冰蝎的前述版本相似,进行请求时内置了十几个User-Agent头,每次请求时会随机选择其中的一个。

  • 连接的端口有一定的特征,冰蝎与webshell建立连接的同时,java也与目的主机建立tcp连接,每次连接使用本地端口在49700左右(就是比较大的端口),每连接一次,每建立一次新的连接,端口就依次增加。

  • 使用长连接,避免了频繁的握手造成的资源开销。默认情况下,请求头和响应头里会带有 Connection:Keep-Alive

  • 有固定的请求头和响应头,请求字节头:dFAXQV1LORcHRQtLRlwMAhwFTAg/M ,响应字节头:TxcWR1NNExZAD0ZaAWMIPAZjH1BFBFtHThcJSlUXWEd

  • 默认时,冰蝎 webshell都有“e45e329feb5d925b” 一串密钥,与冰蝎3.0相同。

【HW蓝队面试必问系列】冰蝎4.1流量分析(附流量文件下载地址)

bx4_aes

【HW蓝队面试必问系列】冰蝎4.1流量分析(附流量文件下载地址)

题目下载地址:

https://gitee.com/fengerxi/large-set-of-ctf-flow-problems/tree/master/3.流量日志分析分类/3.冰蝎/4.冰蝎4.1_php流量/1.aes

老规矩,先筛选http:

【HW蓝队面试必问系列】冰蝎4.1流量分析(附流量文件下载地址)

挑一个请求跟踪,是AES加密:

【HW蓝队面试必问系列】冰蝎4.1流量分析(附流量文件下载地址)

尝试使用默认密钥解密,模式是ECB,成功了:

【HW蓝队面试必问系列】冰蝎4.1流量分析(附流量文件下载地址)

对解密数据进行base64解码:

【HW蓝队面试必问系列】冰蝎4.1流量分析(附流量文件下载地址)

【HW蓝队面试必问系列】冰蝎4.1流量分析(附流量文件下载地址)

【HW蓝队面试必问系列】冰蝎4.1流量分析(附流量文件下载地址)

Content-Type字段(弱特征),通常是Content-type: Application/x-www-form-urlencoded

默认情况下,请求头和响应头里会带有 Connection:Keep-Alive

【HW蓝队面试必问系列】冰蝎4.1流量分析(附流量文件下载地址)

冰蝎与webshell建立连接的同时,java也与目的主机建立tcp连接,每次连接使用本地端口在49700左右(就是比较大的端口)

【HW蓝队面试必问系列】冰蝎4.1流量分析(附流量文件下载地址)

原文始发于微信公众号(赛博安全狗):【HW蓝队面试必问系列】冰蝎4.1流量分析(附流量文件下载地址)

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年4月14日02:03:57
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【HW蓝队面试必问系列】冰蝎4.1流量分析(附流量文件下载地址)https://cn-sec.com/archives/2655301.html

发表评论

匿名网友 填写信息