冰蝎流量免杀初探

文章转自先知社区：

作者：夜幕下的灯火阑珊g

0x01 前言

冰蝎4.0发布以后，可以自定义传输协议了，也就是我们能对流量进行改造，本文依据rebeyond大佬文章对冰蝎流量进行改造，记录一下踩过的坑rgb转16进制。

冰蝎传输协议模块

分为本地和远程，其中本地模块只能用java进行编写，远程模块根据webshell的语言类型进行编写，比如java、php、asp，全部编写好后要生成服务端，也就是生成我们自己的webshell，用生成后的webshell进行连接rgb转16进制。

借用大佬的图说明一下加解密流程

整体流量加解密流程为先对payload进行base64，再转成十六进制，具体函数往下看rgb转16进制。

0x02 加解密过程 1、本地加密函数

//再改写成hex，利用DatatypeConverter类的printHexBinary方法进行转换Object obj = null; try{ Class clazz = Class.forName( "javax.xml.bind.DatatypeConverter"); /*这里返回了一个Object类型，虽然encrypted定义的是字节数组，但是这里传进去的时候不知道为什么报的是Object，所以定义一个Object来接收rgb转16进制。这里用printHexBinary把base64字符串转成16进制字符串，printHexBinary接收一个byte数组，printHexBinary是一个静态方法，invoke第一个参数可以传入null，*/obj = clazz.getDeclaredMethod( "printHexBinary", newClass[]{ byte[].class}).invoke( null,encrypted); } catch(Throwable error){ System. out.println(error); }//因为要求返回字节数组，所以这里先把Object转成字符串，再转成字节数组，好像不能直接由object转bytebyte[] encrypted_hex = obj.toString.toLowerCase.getBytes; returnencrypted_hex; }

展开全文

2、本地解密函数

//从base64转回正常字符串

byte[] decodebs; Class baseCls ;try{ baseCls=Class.forName( "java.util.Base64"); Object Decoder=baseCls.getMethod( "getDecoder", null).invoke(baseCls, null); decodebs=( byte[]) Decoder.getClass.getMethod( "decode", newClass[]{ byte[].class}).invoke(Decoder, newObject[]{decrypted_base}); }catch(Throwable e) {baseCls = Class.forName( "sun.misc.BASE64Decoder"); Object Decoder=baseCls.newInstance;decodebs=( byte[]) Decoder.getClass.getMethod( "decodeBuffer", newClass[]{String.class}).invoke(Decoder, newObject[]{ newString(decrypted_base)});

}String key= "e45e329feb5d925b"; for( inti = 0; i

可以先看一下本地加密的效果

至此，本地加解密函数完成，下一步我们研究webshell怎么写rgb转16进制。因为本文研究流量免杀，webshell的免杀在此处不做讨论。

3、远程加密函数

returnbin2hex($after); //base64后转16进制}

4、远程解密函数

return$after; }

0x03 效果

先生成服务端rgb转16进制，生成我们自己的webshell

连接webshell

用burp抓包看一下流量

0x04 总结

本次加解密流程为先base64，再转成16进制字符串rgb转16进制。先转成base64主要是为了保护原始payload，以免在从十六进制转回原payload的过程中发生递归解析，将原payload中的十六进制字符串也一并解析了。

本文仅针对冰蝎流量改造进行初步探讨，熟悉一下整个流程，真的要绕流量设备，估计还需要其他的技巧rgb转16进制。

原创稿件征集

征集原创技术文章中rgb转16进制，欢迎投递

投稿邮箱：edu@antvsion.com

文章类型：黑客极客技术、信息安全热点安全研究分析等安全相关

通过审核并发布能收获200-800元不等的稿酬rgb转16进制。

更多详情rgb转16进制，点我查看！

靶场实操rgb转16进制，戳“阅读原文“