CTF导航 CTF导航

冰蝎连接恶意Shell的粗浅分析与防范

渗透技巧 9个月前 admin
407 0 0

前言

在朋友圈看到BeichenDream大佬的视频“冰蝎连接恶意Shell导致客户端RCE或任意读取”。


粗浅分析

冰蝎是一款能够动态加密流量的网站管理客户端,它采用JAVA语言开发,支持多种平台运行。一直以来对冰蝎感兴趣,于是请教了BeichenDream大佬。
在github上再次下载了冰蝎反编译后的源码(当然也可以通过jadx等软件来反编译Behinder.jar),发现冰蝎使用了JavaFX的WebEngine API,也就是使用了import javafx.scene.web.WebView;
使用WebEngine可以让应用程序中显示网页内容,且WebEngine默认情况下是启用JavaScript脚本,众所周知JavaScript是一种强大的脚本语言,可以用来创建动态和交互式的网页。
然而,JavaScript也可能被用来执行恶意代码,例如窃取用户数据或使网站遭受攻击。因此,如果不需要在WebEngine中运行JavaScript代码,禁用JavaScript是一个更安全的选择。

防范示例

好久没碰Java了。以下是禁用JavaScript的简单例子:
javafx.scene.web.WebView webView = new WebView();
webView.getEngine().setJavaScriptEnabled(false);

BeichenDream大佬已提了security issue。静待冰蝎作者更新新版本

– END –

冰蝎连接恶意Shell的粗浅分析与防范

原文始发于微信公众号(ChaMd5安全团队):冰蝎连接恶意Shell的粗浅分析与防范

版权声明:admin 发表于 2023年8月16日 上午9:43。
转载请注明:冰蝎连接恶意Shell的粗浅分析与防范 | CTF导航

相关文章

目录索引,特斯拉支付了我 $10,000 奖励
admin
548
JSLIM:通过瘦身技术减少已知JS漏洞
admin
228
网络空间指纹:新型网络犯罪研判的关键路径
admin
18
红蓝对抗必备的基础技能:PEB&PPID欺骗(一)
admin
522
构建API调用框架绕过杀软hook
admin
672
Demystifying Cobalt Strike’s “make_token” Command
admin
55

暂无评论

您必须登录才能参与评论!
立即登录
暂无评论...

相关文章

每日安全动态推送(4-28)
0
[代码审计] 某盗U/发卡系统 不知道是几day
0
Cookie-Monster – BOF To Steal Browser Cookies & Credentials
0
How Did I Easily Find Stored XSS at Apple And Earn $5000 ?
0
How I Discovered an RCE Vulnerability in Tesla, Securing a $10,000 Bounty
0
pgAdmin 8.3 Remote Code Execution
0
How I Prevented a Mass Data Breach – $15,000 bounty – @bxmbn
0
The Windows Registry Adventure #1: Introduction and research results
0
使用 VIM 进行代码审计
0
Progress Flowmon 任意命令执行漏洞 CVE-2024-2389
0