loecho@垃圾桶

Behinder-11-Loecho@DIY

2021-07-31 · 2 min read

0x01 修改思路:

  1. 结合反编译开源项目代码和原版Behinder3
  2. 逐步Debug了解Behinder工作原理
  3. 添加实战需要的webshell,添加实际应用的功能
  4. 静态webshell检测绕过实现,思路来源:"对抗下的Java Webshell的生存之道.pptx" (简单参考,后续被杀继续修改)

二次开发增加:

  • https://github.com/x1a0t/Behinder-Source(x1a0t版本Behinder3)

  • 新增赤霄实验室内部Bx3,新增一种cx-webshell类型,此类型可过所有静态检测(G01/D盾)

  • 新增上传类型webshell,冰蝎通信方式为multipart/form-data(数据传输方式变化)(嫖来的)

  • 新增js-jsp类型webshell,自己简单修改了一下,更适用于实战 (jsp原理变化,配合流量传输方式变化)

    • 思路来源:https://mp.weixin.qq.com/s/SU5B7ULgmOC7HsRscMrkKw

TO DO:

  • 一键FRP/狗洞反向隧道 (实战中getshell后,每次手动启隧道太浪费时间) – 实现中…..

  • up-jsp 玄学bug调试中…..

[+] 最终实现功能:

  • Shell生成功能,随用随生成webshell
  • 随机UserAgent功能,每次请求都会随机获取一个UserAgent,避免被捕捉到特征
  • cx类型webshell up-jsp类型webshell js-jsp类型webshell
  • java类型webshell静态过所有在线检测 (没有设备环境,只能在线测试)

0x02 具体功能:

[+] Shell生成模块:

  • 支持生成类型:

[+] 密码连接方式(嫖来的):

[+] 连接方式支持2种:
  • 已知密码情况,直接通过密码连接
image-20210426014032998
  • 忘记密码情况,直接通过密码password@hash连接:
image-20210426014411988
[+] 所有 webshell 静态webshell检测全部bypass (只针对生成shell功能):

https://www.secpulse.com/archives/128942.html 检测手段

  • D盾原版webshell和修改版对比:
image-20210426014953437
  • V站生成版本shell:
  • WEBDIR+ 生成版本结果:
  • 长亭牧云生成版本结果:
loecho