安全矩阵

 找回密码
 立即注册
搜索
查看: 706|回复: 0

冰蝎连接恶意Shell的粗浅分析与防范

[复制链接]

417

主题

417

帖子

2391

积分

金牌会员

Rank: 6Rank: 6

积分
2391
发表于 2023-8-16 10:25:14 | 显示全部楼层 |阅读模式
原创 pcat ChaMd5安全团队 2023-08-16 09:42 发表于北京

前言
在朋友圈看到BeichenDream大佬的视频“冰蝎连接恶意Shell导致客户端RCE或任意读取”。


粗浅分析
冰蝎是一款能够动态加密流量的网站管理客户端,它采用JAVA语言开发,支持多种平台运行。一直以来对冰蝎感兴趣,于是请教了BeichenDream大佬。在github上再次下载了冰蝎反编译后的源码(当然也可以通过jadx等软件来反编译Behinder.jar),发现冰蝎使用了JavaFX的WebEngine API,也就是使用了import javafx.scene.web.WebView;。使用WebEngine可以让应用程序中显示网页内容,且WebEngine默认情况下是启用JavaScript脚本,众所周知JavaScript是一种强大的脚本语言,可以用来创建动态和交互式的网页。然而,JavaScript也可能被用来执行恶意代码,例如窃取用户数据或使网站遭受攻击。因此,如果不需要在WebEngine中运行JavaScript代码,禁用JavaScript是一个更安全的选择。

防范示例好久没碰Java了。以下是禁用JavaScript的简单例子:
  1. javafx.scene.web.WebView webView = new WebView();
  2. webView.getEngine().setJavaScriptEnabled(false);
复制代码
BeichenDream大佬已提了security issue。静待冰蝎作者更新新版本

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

小黑屋|安全矩阵

GMT+8, 2024-11-28 13:30 , Processed in 0.013028 second(s), 19 queries .

Powered by Discuz! X4.0

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表