冰蝎连接恶意Shell的粗浅分析与防范

ivi

原创 pcat ChaMd5安全团队 2023-08-16 09:42 发表于北京

前言
在朋友圈看到BeichenDream大佬的视频“冰蝎连接恶意Shell导致客户端RCE或任意读取”。


粗浅分析
冰蝎是一款能够动态加密流量的网站管理客户端，它采用JAVA语言开发，支持多种平台运行。一直以来对冰蝎感兴趣，于是请教了BeichenDream大佬。在github上再次下载了冰蝎反编译后的源码（当然也可以通过jadx等软件来反编译Behinder.jar），发现冰蝎使用了JavaFX的WebEngine API，也就是使用了import javafx.scene.web.WebView;。使用WebEngine可以让应用程序中显示网页内容，且WebEngine默认情况下是启用JavaScript脚本，众所周知JavaScript是一种强大的脚本语言，可以用来创建动态和交互式的网页。然而，JavaScript也可能被用来执行恶意代码，例如窃取用户数据或使网站遭受攻击。因此，如果不需要在WebEngine中运行JavaScript代码，禁用JavaScript是一个更安全的选择。

防范示例好久没碰Java了。以下是禁用JavaScript的简单例子：

1. javafx.scene.web.WebView webView = new WebView();
   
2. webView.getEngine().setJavaScriptEnabled(false);

复制代码

BeichenDream大佬已提了security issue。静待冰蝎作者更新新版本