红队大佬们常用的Webshell管理工具对比

发布于 2021-11-03  179 次阅读


Webshell简单来说是以asp、php、jsp或者cgi等网页文件形式存在的一种代码执行环境,也可以将其称作为一种网页。常见的Webshell有大马、小马、一句话木马等,例如之前的PHP一句话木马在文件上传漏洞中的运用一文中介绍了一些常见的PHP一句话木马及其他变化形式,而连接Webshell的常用管理工具则有菜刀、冰蝎、蚁剑、哥斯拉等。通过管理工具连接上Webshell后就可以随心所欲的操作受害者主机,包括不局限于执行系统命令、探测内网、读取敏感文件、反弹shell、添加用户、清理痕迹、横向移动等操作。

一、冰蝎(Behinder)

1.1 简介

下载地址:https://github.com/rebeyond/Behinder

“冰蝎”是一个基于Java开发的动态二进制加密通信流量的新型Webshell客户端,所以可以跨平台使用,目前最新版本为v3.0 beta,兼容性较之前的版本有较大提升。由于其基于流量加密的的特性,冰蝎逐渐成为了红队成员在攻防演练期间经常使用的工具。

冰蝎主要功能有:基本信息、命令执行、虚拟终端、文件管理、Socks代理、反弹shell、数据库管理、自定义代码等,功能非常强大。

冰蝎

1.2 加密原理

冰蝎其最大特点就是对交互流量进行对称加密,且加密秘钥是由随机数函数动态生成,因此该客户端的流量几乎无法检测。

"冰蝎"在服务端支持open_ssl时,使用AES加密算法,密钥长度16位,也可称为AES-16。此在软件及硬件(英特尔处理器的AES指令集包含六条指令)上都能快速地加解密,内存需求低,非常适合流量加密。

加密流程大致如下图所示:

冰蝎加密过程

1.3 特点

流量加密,难以被检测;

webshell免杀性好;

加密方式是AES加密。

二、蚁剑(AntSword)

2.1 简介

下载地址:https://github.com/AntSwordProject/antSword

中国蚁剑是一款开源的跨平台网站管理工具,它主要面向于合法授权的渗透测试安全人员以及进行常规操作的网站管理员。通俗的讲,中国蚁剑是一款比菜刀还牛的Shell控制端软件。

蚁剑

2.2 特点

蚁剑所有脚本的源代码均来自菜刀,流量特征和菜刀差不多,因此提供了编码器和解码器来绕waf,使用nodejs编写,支持自定义:

编码器:对发送流量进行编码,服务端解码。

解码器:服务端对返回到客户端的流量编码,由客户端解码器还原流量接收。

这样蚁剑可以通过编码、解码绕过部分的waf,相比菜刀更具有一定隐蔽性。

中国蚁剑推崇模块化的开发思想,遵循开源,就要开得漂亮的原则,致力于为不同层次的人群提供最简单易懂、方便直接的代码展示及其修改说明,努力让大家可以一起为这个项目贡献出力所能及的点滴。

三、哥斯拉(Godzilla)

3.1 简介

下载地址:https://github.com/BeichenDream/Godzilla

Gozilla 3.0及以上版本已经支持最低jdk 1.0的环境,这里很多偏旧的其他文章还在介绍必须要jdk1.8。

各大厂商的waf不断,在静态查杀、流量通信等方面对webshell进行拦截,众红队急需一款优秀的权限管理工具,冰蝎3.0的发布可能缓解了流量加密的困境,但是冰蝎3.0的bug众多,很多朋友甚至连不上冰蝎的shell,于是团队的BeiChenDream师傅开发了这款“哥斯拉”工具。

3.2 特点

哥斯拉全部类型的shell均过市面所有静态查杀,但静态免杀这个问题,要客观,因为工具放出来之后可以免杀一段时间,有可能后来就不行了,但是改改代码还能继续过狗绕waf,所以重点还是要看流量加密和一些自带的插件。

哥斯拉流量加密能过市面全部流量waf,自带的插件是冰蝎、蚁剑不能比拟的,而且哥斯拉支持jsp、php、aspx等多种载荷,java和c#的载荷原生实现AES加密,PHP使用异或加密。

以上三种就是目前安全人员在日常攻防测试中比较常用的webshell管理工具。

安全攻防的本质在于技术与技术之间的对抗,人与人之间的对抗,随着攻防技术日新月异变化,从以前的菜刀到现在的冰蝎、蚁剑、哥斯拉等webshell管理工具,现在也需要经过师傅大佬们的各种自定义魔改到一定程度之后才能基本上做到绕过waf进行无特征流量通信了。

本站文章由渡缘人原创,如若转载请注明原文及出处:
https://www.hygrey.com/comparison-of-webshell-management-tools-commonly-in-red-teams.html

万物皆有裂痕,那正是光照进来的地方
最后更新于 2023-05-11