冰蝎Webshell使用教程

1. 安装与启动

冰蝎是一款基于Java开发的动态加密通信流量的新型Webshell客户端，它的工作原理是通过动态的加载class字节码来进行操作，以此来绕过流量检测设备以及一些WAF。冰蝎的安装和启动相对简单，只需要安装Java环境，然后双击运行Behinder.jar包即可。需要注意的是，冰蝎4版本需要较高的java版本，平常的java8打不开，而冰蝎4运行需要javafx库，但是java11以上是移除了javafx库的，因此需要额外安装。

2. 生成服务端

在冰蝎3的时候,会自带一个server文件夹,里面存放各种类型的webshell。而冰蝎4则刚下载不自带server文件夹,需要自己选择一种传输协议然后才能生成server文件夹,server文件夹中存在各种不用协议的webshell文件夹。server中会存放我们使用的各种传输协议和各种类型的webshell。

3. 建立连接

打开冰蝎4的server文件夹,里面有各种类型的webshell,选择一个shell,然后放到目标主机上,就可以建立连接。选一个shell.php放到我们的WWW目录下,然后用冰蝎连接它。打开冰蝎,然后右键,选择新增，在URL输入shell.php的地址，并且在冰蝎中,(在冰蝎3中默认密码是 rebeyond ,冰蝎4不需要输入密码)，然后脚本类型选择php，再选择我们生成webshell时候选择的加密方式，最后点击保存。

4. 使用功能

冰蝎提供了一系列的功能，包括基本信息、命令执行、虚拟终端、文件管理、Socks代理、反弹shell、数据库管理、自定义代码等。例如，文件管理功能可以对文件进行上传、下载、新建、修改时间戳等操作；虚拟终端功能可以提供一个交互式的真实终端，相当于把服务器侧的Shell给搬到了客户端，可以在这个Shell里执行各种需要交互式的命令，如ssh、mysql等。

5. 防护思路

冰蝎发送的4个请求包中，其中获取信息的包(第三个)，以及维持通讯包(第4个)body都是定长，没有跟随冰蝎的链接密码，或者目标ip域名等信息变化而变化，且body体为base64编码之后的aes密文，增删改任意字符都会造成解密失败。WAF端可以通过这两个回包的特征来判断是否会为冰蝎交换key的请求并缓存key与phpsessionid,然后通过进行后续检测请求中的PHHSESSIONID来判断是否为冰蝎的后续流量，并通过缓存的key来解密，解密的内容与普通的木马通讯差别不大。

以上就是冰蝎Webshell的使用教程，希望对您有所帮助。