因为冰蝎也是使用 JAVA 写的跨平台应用程序,我们可以借助 macOS 自带的 自动操作 automator.app 来创建一个应用程序。
前言:
冰蝎是一种新型的Webshell连接工具,在日常的红蓝对抗中红方经常,只要将冰蝎的马上传到服务器并能够成功访问,那就可以执行诸多实用的功能 PS:最近一次红蓝某BAT中的一家便使用了冰蝎,绕过一些主流厂商的shell检测(不过应该是他们内部有过修改)成功攻进了企业内网并进行了横向。这也是因为只要在上传冰蝎码时和密匙协商建立连接的时候流量分析设备不能够检测出来,那么连接成功建立之后,waf,ids,ips,以及现在的天眼探针就会很难再检测到出来。
资源下载:
下载冰蝎建议在Github上下载:
本体:https://github.com/rebeyond/Behinder/releases
图标:https://wwa.lanzous.com/ig3t6feqqqh
命令启动:
如果我冰蝎的目录是如下:
1 cd /Users/security/Documents/Security/Behinder_v2.0.1/
那在命令行中需要输入:
1 cd /Users/security/Documents/Security/Behinder_v2.0.1/ && java -XstartOnFirstThread -jar Behinder.jar
注:在MacOS中使用冰蝎需要使用-XstartOnFirstThread参数,具体可以参考开发者Github:
能够正常打开以后让我们开始将他们傻瓜化吧~
制作APP
首先打开自动操作,选择左下角的「新建文稿」,选择文稿类型为「应用程序」,点击「选取」:
左侧列表中找到运行Shell脚本然后拖入进去:
把上文中的命令行模拟启动对应的命令粘贴进来,点击右上角的「运行」测试一下看看能不能成功启动:
测试没有问题的话Command+S将它保存到【应用程序】内,然后就能看到创建好的应用啦~
替换图标
如果不替换图标的话一开始你的APP就是长这个样子的o(╥﹏╥)o,丑的一塌糊涂
于是我上网搜了一个蝎子的图片将它转换成了icns格式,大家可以下载(居然是斗罗大陆动漫的冰碧蝎哈哈哈哈哈哈哈)
在「应用程序」文件夹中找到我们刚刚制作的「冰蝎」应用程序,「右键」点击「显示简介」,然后将下载好的icns图标文件拖入到简介的左上角:
最后效果如下:(当然大家能找到更好看的图片也可以自己更换~)
参考链接:
冰蝎介绍:https://xz.aliyun.com/t/2799
国光大佬关于Macos下如何使用CS的:https://www.sqlsec.com/2020/07/cobaltstrike.html
ICNS图标制作网站(提前把图标转换为PNG格式):https://www.easyicon.net/covert/