冰蠍3.0 流量特征分析附特征

本文轉載自查看原文 2020-08-17 17:01 2620 雜項

簡介

hw前夜，冰蠍發布3.0版本，主要做了一下改動

取消動態密鑰獲取，目前很多waf等設備都做了冰蠍2.0的流量特征分析。所以3.0取消了動態密鑰獲取
界面由swt改為javafx，這個沒啥說，界面美觀大方

下面主要分析一下冰蠍3.0變化

密鑰生成

根據readme，aes密鑰變為md5("pass")[0:16]。全程不再交互密鑰生成

shell.jsp 中代碼如下

    if (request.getMethod().equals("POST")) {
        String k = "e45e329feb5d925b";
        session.putValue("u", k);
        Cipher c = Cipher.getInstance("AES");
        c.init(2, new SecretKeySpec(k.getBytes(), "AES"));

客戶端的代碼如下

我們可以看出，新增了無動態密鑰交互。只有在無動態密鑰交互失敗后，才會進入常規的密鑰交互階段。

密鑰生成可以看出，使用密碼的md5結果的前16位

特征分析

下面我們隨便截取一個冰蠍3.0請求包

雖然沒有特征可言，但是還是可以找到些許強特征

1. content-type

在冰蠍3.0 的服務端，是通過如下代碼讀取post請求

request.getReader().readLine()

代碼的意思是，直接讀取post請求中body的內容。所以請求的http中，content-type一定為application/octet-stream。否則就會出現非預期http編碼的情況。

下面我們查看一下冰蠍3.0的客戶端中關於發包的代碼

可以看出，該請求頭是冰蠍3.0中寫死的部分，除非反編譯，不然很難修改

下面我們來看一下application/octet-stream的解釋

只能提交二進制，而且只能提交一個二進制，如果提交文件的話，只能提交一個文件,后台接收參數只能有一個，而且只能是流（或者字節數組）
屬於HTTP規范中Content-Type的一種
很少使用

根據上面的結論，Content-Type: application/octet-stream屬於強特征

2. user-Agent

該特征屬於弱特征。普通用戶很容易就可以修改。但是我們也分析一下。

冰蠍3.0 每次請求都會隨機選擇一個user-Agent。但是如果用戶默認不提供ua頭，則從系統中隨機選擇一個ua頭。我們來看一下冰蠍3.0默認的ua頭都有什么

冰蠍3.0內置的默認16個userAgent都比較老，屬於N年前的瀏覽器產品。現實生活中很少有人使用。所以這個也可以作為waf規則特征。附內置的16個ua

Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/535.1 (KHTML, like Gecko) Chrome/14.0.835.163 Safari/535.1
Mozilla/5.0 (Windows NT 6.1; WOW64; rv:6.0) Gecko/20100101 Firefox/6.0 
Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/534.50 (KHTML, like Gecko) Version/5.1 Safari/534.50
Opera/9.80 (Windows NT 6.1; U; zh-cn) Presto/2.9.168 Version/11.50
Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0; .NET CLR 2.0.50727; SLCC2; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; InfoPath.3; .NET4.0C; Tablet PC 2.0; .NET4.0E)
Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; WOW64; Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; .NET4.0C; InfoPath.3)
Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; GTB7.0)
Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1)
Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
Mozilla/5.0 (Windows; U; Windows NT 6.1; ) AppleWebKit/534.12 (KHTML, like Gecko) Maxthon/3.0 Safari/534.12
Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; WOW64; Trident/5.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; InfoPath.3; .NET4.0C; .NET4.0E)
Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; WOW64; Trident/5.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; InfoPath.3; .NET4.0C; .NET4.0E; SE 2.X MetaSr 1.0)
Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US) AppleWebKit/534.3 (KHTML, like Gecko) Chrome/6.0.472.33 Safari/534.3 SE 2.X MetaSr 1.0
Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; WOW64; Trident/5.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; InfoPath.3; .NET4.0C; .NET4.0E)
Mozilla/5.0 (Windows NT 6.1) AppleWebKit/535.1 (KHTML, like Gecko) Chrome/13.0.782.41 Safari/535.1 QQBrowser/6.9.11079.201
Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; WOW64; Trident/5.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; InfoPath.3; .NET4.0C; .NET4.0E) QQBrowser/6.9.11079.201
Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; WOW64; Trident/5.0)

3. Accept&Cache-Control

這幾個http 請求頭，屬於java默認的設置。下面我們來分析一下代碼

冰蠍3.0 通過sun.net.www.protocol.http.HttpURLConnection 實現與服務器的交互。下面我們來分析一下sun.net.www.protocol.http.HttpURLConnection中關於請求的部分
sun.net.www.protocol.http.HttpURLConnection#writeRequests