冰蝎连接恶意Shell的粗浅分析与防范

渗透技巧 10个月前 admin
422 0 0

前言

在朋友圈看到BeichenDream大佬的视频“冰蝎连接恶意Shell导致客户端RCE或任意读取”。


粗浅分析

冰蝎是一款能够动态加密流量的网站管理客户端,它采用JAVA语言开发,支持多种平台运行。一直以来对冰蝎感兴趣,于是请教了BeichenDream大佬。
在github上再次下载了冰蝎反编译后的源码(当然也可以通过jadx等软件来反编译Behinder.jar),发现冰蝎使用了JavaFX的WebEngine API,也就是使用了import javafx.scene.web.WebView;
使用WebEngine可以让应用程序中显示网页内容,且WebEngine默认情况下是启用JavaScript脚本,众所周知JavaScript是一种强大的脚本语言,可以用来创建动态和交互式的网页。
然而,JavaScript也可能被用来执行恶意代码,例如窃取用户数据或使网站遭受攻击。因此,如果不需要在WebEngine中运行JavaScript代码,禁用JavaScript是一个更安全的选择。

防范示例

好久没碰Java了。以下是禁用JavaScript的简单例子:
javafx.scene.web.WebView webView = new WebView();
webView.getEngine().setJavaScriptEnabled(false);

BeichenDream大佬已提了security issue。静待冰蝎作者更新新版本

– END –

冰蝎连接恶意Shell的粗浅分析与防范

原文始发于微信公众号(ChaMd5安全团队):冰蝎连接恶意Shell的粗浅分析与防范

版权声明:admin 发表于 2023年8月16日 上午9:43。
转载请注明:冰蝎连接恶意Shell的粗浅分析与防范 | CTF导航

相关文章

暂无评论

您必须登录才能参与评论!
立即登录
暂无评论...