冰蝎，从入门到魔改1

冰蝎技术详解 冰蝎是何物？从名称上看，可能很多人都不知道什么是冰蝎。实际上，冰蝎是一个动态二进制加密网_shell管理客户端。在实战中，第一代webshell管理工具“菜刀”的流量特征非常明显，很容易被安全设备检测到。基于流量加密的webshell变的越来越多，“冰蝎”在此应运而生。 冰蝎客户端基于JAVA，因此可以跨平台使用，最新版本为v2.0.1，兼容性较之前的版本有较大提升。主要功能包括：基本信息、命令执行、虚拟终端、文件管理、Socks代理、反弹shell、数据库管理、自定义代 码等，功能非常强大。 冰蝎的加密原理是基于AES加密算法，密钥长度16位，也可以称为AES-16。在软件及硬件（英特尔处理器的AES指令集包含六条指令）上都能快速地加解密，内存需求低，非常适合流量加密。 加密流程大致如下图所示： 首先客户端以Get形式发起带密 码的请求。服务端生成随机密钥，将密钥写入Session，并将密钥返回客户端。客户端获取密钥后，将payload用AES算法加密，用POST形式发送请求。服务端收到请求，用Session中的密钥解密请求的Body部分， 之后执行Payload，将直接结果返回到客户端。客户端获取返回结果，显示到UI界面上。 我们看到在图中，“冰蝎”在执行Payload之 后的返回，并没有显示加密，这点我们可以从自带的webshell中看出。这个问题需要解密一下“冰蝎”的流量， 才能知道答案。 冰蝎的通信过程可以分为以下几个步骤： 1. 客户端发起加密请求 2. 服务端生成随机密钥 3. 服务端将密钥写入Session 4. 服务端将密钥返回客户端 5. 客户端获取密钥 6. 客户端将payload用AES算法加密 7. 客户端用POST形式发送请求 8. 服务端收到请求 9. 服务端用Session中的密钥解密请求的Body部分 10. 服务端执行Payload 11. 服务端将直接结果返回到客户端 12. 客户端获取返回结果 通过以上步骤，我们可以看到“冰蝎”的通信过程是非常复杂的，涉及到加密、解密、Session管理等多个方面。 此外，“冰蝎”还支持多种加密协议，包括AES、RSA、SHA等，能够满足不同的加密需求。此外，“冰蝎”还支持多种协议，包括HTTP、HTTPS、Socks等，能够满足不同的通信需求。 “冰蝎”是一个功能强大、性能优越的加密网_shell管理客户端，能够满足各种加密需求和通信需求。